作者:Splashtop 首席营销官 Michelle Burrows
Jerry Hsieh 工作已有二十余年,一直处于 IT 风险评估和安全领域的前沿。Jerry 是 Splashtop 的安全与合规高级总监,过去十年他在公司担任过各种 IT 和安全相关职位。不久前,在与 Splashtop 首席营销官 Michelle Burrows 的访谈中,Jerry 谈到了自己早期对安全性感兴趣的原因,以及他对确保系统安全性的看法,尤其是过去几个月安全漏洞显著增加的情况下。
Michelle Burrows:Jerry,感谢你的加入。近来安全问题一直是新闻热点,但在过去这不过是一种补救措施。你最初为什么对安全感兴趣?
Jerry Hsieh:你说得完全正确。我关注安全问题已经有很长一段时间了。很多年前,公司往往不太注重安全性。早在2003年,我经历了一件非常可怕的事件,这段经历让我对安全和风险评估产生了兴趣。
Michelle Burrows:这段经历似乎很糟糕,可以说得具体一些吗?
Jerry Hsieh:这次的 SMTP DDoS 攻击导致许多大公司电子邮件服务中断,我当时就职的公司就是受害者之一。发生时间我记得非常清楚,因为那天刚好是我的婚礼。我非常担心办公室的情况,婚礼当天过得非常糟糕。
这段经历还让我看到了网络攻击的直接影响。我们曾与一家从事电子邮件过滤的公司合作,以保护我们公司免遭此类攻击,但这家公司最终因这次事件而关闭。
我还亲眼目睹了另一起网络攻击事件,AV 供应商刚更新定义,一个产品文件就被归类为病毒。IT 和工程团队花了无数个日夜,加班熬点试图解决问题,因为所有系统都受到了影响,我们有大量工作要做,清理文件、与防病毒供应商合作、修复已归类攻击的定义等等。
Michelle Burrows:我想婚礼被打断会让你时刻谨记安全领域的注意事项。请再与我们分享一些你在安全方面的早期经历。
Jerry Hsieh:我还曾在半导体行业一家公司担任安全工程师。那时,我们在安全方面的工作主要是防止专利侵权。公司有很多安全人员,因为我们的薪资比一屋子律师低得多。这段经历让我意识到,安全措施可以保护公司的知识产权。
Michelle Burrows:现在我们几乎每天都能听到安全漏洞或勒索软件攻击。企业可以采取哪些安全措施?
Jerry Hsieh:经常有人问我这个问题,我也经常思考。在我看来,最薄弱的环节往往是最终用户。大多安全事故都是由小错误引起的,比如员工点击恶意链接、保存有害文件、使用弱密码、转发某些信息等。一个用户足以破坏整个系统。
Michelle Burrows:一个员工也可能意外造成巨大损害,这种说法很有意思。我发现,很多人因为装了防火墙就觉得自己不会受到此类事故的影响。对此你怎么看?
Jerry Hsieh:防火墙往往给人造成虚假的安全感。可能有人会说,“我不会成为攻击对象,因为我有防火墙。”但他们没想到的是,虽然可以采取各种措施保护网络安全,但实际上最大的威胁可能来自企业内部。防火墙并不能解决所有安全问题,尤其是现在为了入侵企业系统,黑客在引诱员工点击某些内容方面越来越有创意。
Michelle Burrows:如果防火墙不能作为解决安全漏洞的唯一方法,你有什么建议?
Jerry Hsieh:我有以下几点建议:
终端用户培训/意识培训 - 对我来说,这是需要关注的最重要的项目�之一,自从我加入Splashtop ,我不断地发出关于安全风险的提醒。 我确保每个人都能看到这个信息,所有员工都知道保持警惕是多么重要。 我们的首席执行官马克-李对我们公司的信息进行了跟进,强调了安全的重要性,以及安全是每个人的责任,这对我们很有帮助。 当人们知道这是一件对CEO来说很重要的事情时,他们往往会更加关注。
安全政策 - 许多公司有安全政策,但他们应该有不断监测和测试的做法。 制定政策是很好的第一步,但执行政策则更为关键。
持续渗透测试 - 持续集成和持续交付/部署(CI/CD)已被许多公司采用。 不断 "测试 "你的网络、应用程序,看看在软件开发生命周期(SDLC)中是否有任何漏洞,这一点很重要。
Michelle Burrows:我相信,如果人们知道你的职业,肯定会向你“坦白”自己的错误做法。哪些错误做法会让你更为担心或不安?
Jerry Hsieh:我一般不会让别人告诉我他们的做法,也不会去判断某种做法好或不好。我发现,大多数人实际上并不知道什么是网络安全。在电视或电影中,反角仅用一个指令就能摧毁整个系统,这就是人们所了解的网络安全。安装了防火墙,就觉得自己是安全的。但他们不知道的是,这个“反角”可能就是公司内部的某个用户。很少有数据泄露事件是由员工故意导致。公司真正需要做的是坚持“不信任任何人”。这是零信任访问(ZTA)的主要原则之一,使用范围越来越广泛。
人们对网络安全的另一个误解是,认为这一过程可以“一蹴而就”。但实际上,网络安全“永无止境”,总是需要不断改进。
Michelle Burrows:如今,CEO、投资者、董事会等都非常注重安全问题。企业应该关注哪些方面��?
Jerry Hsieh:企业需要注意以下几个事项。
企业需要认真执行彻底的风险评估。如果企业遭到攻击,品牌形象会受损,客户、员工甚至董事会的信任也将遭到破坏。企业必须定期评估风险。
监控企业网络中的每一个软硬件和服务供应商。许多部门经常到 IT 部门抢夺时间,希望引入各种“最新最好”的工具,用于客户调查、市场营销、敏捷开发、费用跟踪等。但所有供应商、软硬件都易受攻击。企业必须持续监控安全漏洞,确保员工实时更新软件,确保 IT 团队及时发布更新和打补丁。
持续监测和研究漏洞。现在有数百万软件产品,实时监测这些软件及软件可能为系统引入的漏洞是一项永无止境的工作。企业安全团队需要持续监测和研究漏洞。
要知道,攻击载体已经改变。这些年来,黑客越来越聪明,攻击方式也发生了改变。几年前,危险电子邮件可能非常容易识别,但现在为吸引用户点击,这些电子邮件都经过了定制化处理。企业必须不断测试员工,确保员工始终将安全放在首位。
Michelle Burrows: 最近有一个关于VPN是攻击门户的公告。在您看来,为什么VPN(虚拟私人网络)特别容易受到攻击?
Jerry Hsieh: 是的,近来VPN成为系统攻击的通道的情况多了很多。
在我看来,VPN被更频繁地用于勒索软件攻击,有几个原因。
VPN 是90年代末推出的一项传统技术。一项技术存在时间越长,越有可能存在设计缺陷或针对不同供应商的关键软件漏洞,因为我们现在所了解的当时却并不知晓。例如,早在1999年,我完全依靠指令和友好用户界面(UI),配置了自己的第一个 VPN。回想那次经历,与现在并没有太多不同,配置错误的可能性非常大。
VPN 取决于 IT 部门的正确配置。我经常看到新闻说 VPN 被利用,原因就是缺少设置、操作和分配访问权限的标准方法。所有 IT 部门都按照自己认为有意义的方式配置 VPN,这样会增加风险。
在 VPN 上使用家用电脑。如果员工居家办公,需要在工作中访问文件,我们很难阻止员工使用非公司发行的系统建立 VPN 访问。有些工具可以帮助解决这个问题,但往往非常昂贵且资源密集。
为避免出现上述问题,你可以制定政策,规定员工只能使用工作计算机访问 VPN。即便如此,VPN 还存在另一个风险,即公共网络。如果员工在出差期间使用公共访问网络连接 VPN,他们的设备就更易受攻击。
Michelle Burrows:企业可以使用其他方案代替 VPN 吗?这种替代方案有什么缺点?
Jerry Hsieh:这样说可能非常像自我推销,但更好的选择就是远程访问解决方案。当然这其中也包括 Splashtop。Splashtop 可以降低 VPN 固有的风险,因为它只允许流式传输桌面。这样可以保护公司网络中的数据,因为用户只能查看数据。所有数据仍保存在公司网络中。
相比之下,如果使用 VPN,用户什么都可以下载,同样黑客也可以。而如果使用 Splashtop 等工具,用户只能查看、操作或使用文件,但无法下载。同时,还可以进行配置,确保只有本地计算机可以访问。
此外,在安全性方面,Splashtop 具备设备身份验证、双因素身份验证(2FA)、单点登录(SSO)等安全功能。所有这些安全功能 VPN 都不具备。
你刚才问远程访问技术的缺点,它唯一的缺点就是,采用远程访问解决方案须符合学习曲线。但由于 Splashtop 最初的设计即面向消费者市场,所需学习时间非常短。�我说的“非常短”,指的是普通用户几分钟就能学会。
米歇尔-伯罗斯。告诉我更多关于一个 VPN 对。Splashtop?
Jerry Hsieh:有时我听说,如果比较 VPN 和 Splashtop 的定价,区别可能在于,Splashtop 采取订购模式,而 VPN 则是固定投资。VPN 是一项长期投资,有些人可能只需投资一次。但不要忘了,VPN 网关经常出故障,备份网关的成本非常高。而且 VPN 需要自行维护,用于漏洞和补丁升级。而 Splashtop 会负责维护和安全工作。也就是说,Splashtop 无需支付维护费用,而且全天候可用。
Michelle Burrows: 当你不纠结于安全问题的时候,你会做些什么来消遣?
Jerry Hsieh:你可能也发现了,我没有太多休息时间。但如果真的可以,我喜欢打高尔夫球。我妻子可能不太喜欢我的工作,但我非常热爱自己的工作,我会实时关注安全趋势。
