很多公司都有計算機安全事件響應小組(CSIRT)來應對惡意軟件爆發以及其他類型的網絡攻擊和潛在內部威脅,在網絡巨頭思科公司,CSIRT團隊由約60人組成,他們試圖保護公司和75000名員工。
思科CSIRT團隊信息安全調查經理Matthew Valites表示:“我們主要負責監測和調查對思科的政策的違反行為。”這意味著保護直接由員工使用的企業IT資產或用于處理目的的業務資產,使重要信息不外泄。然而,在思科接受BYOD(攜帶自己設備到工作場所)戰略后,思科的CSIRT關心的政策執行變得更加復雜。
“隨著用戶攜帶自己的設備來公司,政策執行變得更加困難,”Valites在討論思科的安全事件響應做法時表示,“BYOD是一個真正的問題。”為了節約成本,思科不再向員工提供智能手機,而希望員工使用他們自己的手機,除非他們的工作受到政府的監管限制而必須使用企業配備的設備。Valites承認:“對于我的團隊而言,這是一個很大的問題。”
除了BYOD問題的困擾外,思科CSIRT團隊每天還要面對不斷涌現的惡意軟件,監測未經授權流量和抵御隱身在線攻擊。另外,還有很多不可避免的問題,例如錯誤登錄,但CSIRT最困難的工作之一是試圖確認未經授權訪問。
這一切都需要在合規性的框架內完成。Valites指出:“我們在圣何塞有一個醫療中心,在企業內部部署醫療保健專業人士被視為對員工的福利。而這意味著所有相關的安全和隱私政策都必須符合聯邦HIPAA法案規定。”
Valites表示,思科公司高層主管是該團隊的重點保護對象,因為這些高管是網絡間諜和攻擊者最有價值的目標。與其他員工相比,Valites表示,“我們更加注重他們的資產。”
然后是思科的整體團隊(例如整個實驗室),經常受到各種攻擊,他們的計算機經常冒出各種惡意軟件。Valites表示:“實驗室有點像狂野的西部。”對于攻擊者,思科CSIRT團隊別無選擇,只能通過額外的控制,例如切斷整個實驗室的網絡或者隔離其網絡,使實驗室僅限于內部局域網。
對于CSIRT團隊而言,每天的主要挑戰是獲取對任何類型安全事件的可視性,然后快速決定何時以及如何升級響應。思科設計了自己的事件響應跟蹤系統,任何類型的問題都會被記錄。
當一個事件發生時,第一項任務是確定問題計算機設備的特定所有者,Valites表示:“我們需要資產所有者向我們提供必要的信息,但在我們這樣的大型跨國企業內,這是一個挑戰。雖然我們部署了各種防病毒、VPN、Web應用程序控制、入侵檢測等工具,但最終解決問題還需要依賴于人與人之間的溝通和信息共享。”
CSIRT團隊也需要考慮到潛在的內部威脅,在任何企業,都可能存在“流氓”員工或者承包商想要竊取公司數據或者做其他破壞行為。這是非常棘手的問題,權限升級必須交給人力資源和法律部門來控制。
Valites表示,“我們具有良好的合作伙伴關系。”并指出,法律顧問很清楚他們在事件響應調查中的角色,并且它們想要參與關鍵信息泄露等事情的潛在調查中。所有類型的調查都需要計算機取證,而思科CSIRT需要負責做到一點。
由于思科是一家全球性企業,他們需要跨時區和跨北美大陸和亞太地區來協調其CSIRT的工作。Valites表示,思科將受益于物理安全運營中心(SOC),他表示,思科目前正在建設兩個這樣的SOC,一個在圣何塞,另一個在印度,其中將利用很多類型的技術,包括思科自己的專用思科網真系統。
京公網安備 11010502049343號