與 Jerry Hsieh 討論安全、勒索軟件以及安全團隊應該考慮的問題

作者：Michelle Burrows，首席營銷官，Splashtop

安全和勒索軟件

在其二十多年的職業生涯中，Jerry Hsieh 一直處於 IT 風險評估和安全的最前沿，最近擔任Splashtop 的安全與合規高級總監，在那裡他擔任過各種 IT 和安全角色過去十年。不久前，他與 Splashtop 首席營銷官 Michelle Burrows 討論了是什麼激發了他早期對安全性的興趣，以及他如何考慮保持系統安全，尤其是在過去幾個月廣為人知的安全漏洞增加的情況下。

米歇爾·伯羅斯：傑瑞，謝謝你加入我們。雖然最近安全問題一直是新聞，但它在過去幾乎是事後的想法。您最初是如何對安全產生興趣的？

Jerry Hsieh：你說得完全正確——我很長時間以來一直關注安全性，很多年前，公司往往不太考慮安全性。我在 2003 年有一次令人震驚的經歷，它最終鞏固了我對安全和風險評估的興趣。

Michelle Burrows：這聽起來不祥，請告訴我更多。

Jerry Hsieh：我工作的公司是 SMTP DDoS 攻擊的受害者之一，該攻擊最終導致公司電子郵件服務中斷，包括大公司和我當時所在的公司。我清楚地記得時間，因為它恰逢我的婚禮，也是我因為回到辦公室發生的事情而無法真正享受自己的原因。

它還向我展示了類似事情的第一手影響。我們曾與一家從事電子郵件過濾的公司合作，以保護像我這樣的公司和其他公司免受此類攻擊，但他們最終因這次攻擊而關閉。

我還親眼目睹了另一起事件，該事件發生在 AV 供應商更新定義後，產品文件被歸類為病毒。 IT 和工程團隊花了無數個晚上熬夜試圖解決事件，因為每個系統都受到了影響，我們有很多工作要做來清理文件、與我們的防病毒供應商合作並修復對什麼的定義定義為攻擊。

Michelle Burrows：哇，我猜你的婚禮被打斷會是一個令人難忘的方式來弄清楚在安全領域不要做的所有事情。告訴我您在安全方面的其他早期經歷。

Jerry Hsieh：我在半導體行業的另一家公司工作，擔任安全工程師。那時，我們在安全方面的工作主要是為了阻止專利侵權。公司僱傭了很多保安人員，因為我們比一屋子的律師便宜。這次經歷讓我將安全視為保護公司知識產權的一種方式。

Michelle Burrows：現在似乎我們幾乎每天都會聽到一些安全漏洞或勒索軟件攻擊。企業可以做些什麼來保護自己？

Jerry Hsieh：我被問到這個問題並思考了很多。在我看來，最薄弱的環節通常是最終用戶。大多數馬褲都是由一個簡單的錯誤引起的——員工點擊了有害鏈接、保存了損壞的文件、使用了弱密碼或轉發了一些東西。然後，一個用戶就可以危害整個系統。

Michelle Burrows：一名員工可能會意外造成很多傷害，這一點非常有趣。我認為很多人認為他們不會受到此類事件的影響，因為他們有防火牆。你能對此發表評論嗎？

Jerry Hsieh：防火牆常常給人一種錯誤的安全感。我會聽到有人說，“我不會成為攻擊的犧牲品，因為我有防火牆。”他們沒有考慮到的是，雖然您可以在網絡周圍設置各種保護，但您最大的威脅之一實際上可能來自內部。防火牆並不能解決您的安全問題，尤其是當黑客越來越有創意地誘使員工點擊某些東西以進入您的系統時。

Michelle Burrows：如果防火牆不是解決安全漏洞的唯一方法，您有什麼建議？

Jerry Hsieh：我建議關註三個方面：

最終用戶培訓/意識培訓——對我來說，這是最需要關注的項目之一，自從我加入 Splashtop 以來，我不斷發送有關安全風險的提醒。我確保每個人都能看到這條信息，所有員工都知道保持警惕是多麼重要。我們的首席執行官 Mark Lee 向我們公司傳達信息，強調安全的重要性以及每個人的責任，這對我們很有幫助。當人們知道某件事對 CEO 很重要時，他們往往會更加關注。
安全策略——許多公司都有安全策略，但他們應該有適當的實踐來持續監控和測試它。制定政策是良好的第一步，但執行政策更為關鍵。
持續滲透測試——持續集成和持續交付/部署 (CI/CD) 已被許多公司採用。不斷“測試”您的網絡和應用程序以查看是否在軟件開發生命週期 (SDLC) 期間創建了任何漏洞，這一點很重要。

Michelle Burrows：我敢肯定，當你告訴人們你以什麼為生時，有些人可能會覺得他們需要“承認”自己的不良做法。什麼有問題的做法讓你最猶豫或最擔心？

Jerry Hsieh：我通常不會讓任何人告訴我他們所做的可能是也可能不是最佳實踐。我發現大多數人不知道實踐中的網絡安全是什麼。他們在電視或電影中看到它，並觀看一個“壞人”如何用一個命令摧毀整個系統。然後他們也可能認為由於他們的防火牆他們是安全的。他們不明白的是，“壞人”可能是貴公司的單個用戶。很少有數據洩露事件是由流氓員工造成的。公司真正需要採用的是“不信任任何人”的理念。 “無人信任”是我看到越來越廣泛採用的主要零信任訪問 (ZTA) 原則之一。

有些人對網絡安全的另一個誤解是，它是你可以“完成”的。網絡安全是永遠不會“完成”的事情，總有改進的餘地。

Michelle Burrows：現在，從 CEO 到投資者再到董事會，人們都非常關注安全問題。企業最應該關注什麼？

Jerry Hsieh：公司需要關注多個領域。

他們需要進行徹底和誠實的風險評估。當您的公司受到攻擊時，它會損害您的品牌並侵蝕您的客戶、員工甚至董事會的信任。您必須定期評估您的風險。
監控網絡上的每一個軟件、服務提供商和硬件。許多部門經常爭奪 IT 的時間，並希望為從客戶調查到營銷以及從敏捷開發到費用跟踪的所有領域引入“最新最好的”工具。但是，每個供應商、軟件或硬件都可能容易受到攻擊。您必須不斷監控您的漏洞並確保員工正在更新他們的軟件和/或讓 IT 團隊通過主動發送更新來主動製作補丁。
做你的研究。現在有數以百萬計的產品，並且跟上它們的步伐，它們可能引入您的系統的錯誤是一項永無止境的工作。您的安全團隊需要不斷監控和研究漏洞。
知道攻擊向量已經改變。多年來，黑客變得更加聰明，並且改變了他們的攻擊方式。雖然危險的電子郵件可能在幾年前就已經很明顯了，但現在這些電子郵件都經過了個性化處理，以便更有可能讓某人點擊。您必須不斷測試您的員工，以便始終將安全放在首位。

米歇爾·伯羅斯： 最近有一個關於 VPN 是攻擊網關的公告。在您看來，為什麼 VPN（虛擬專用網絡）特別容易受到攻擊？

Jerry Hsieh：是的，VPN 近來已成為系統攻擊的網關。
在我看來，出於以下幾個原因，VPN 被更頻繁地用於勒索軟件攻擊：

VPN 是一項古老的技術，於 90 年代後期推出。當一項特定技術已經存在了這麼長時間時，更有可能存在設計缺陷或供應商特定的關鍵軟件錯誤，因為我們當時並不知道我們現在所了解的一切。例如，我在 1999 年建立了我的第一個 VPN，完全依靠命令並使用一些友好的用戶界面 (UI)。我回想起那次經歷，並沒有發生太多變化，很可能是有人配置錯誤。
VPN 取決於您的 IT 部門正確配置它。我經常看到 VPN 被利用，因為沒有設置、操作和分發訪問的標準方法。每個 IT 部門都會以對他們有意義的方式對其進行配置，這會帶來風險。
家用電腦在 VPN 上使用。如果員工在家工作，需要在工作中訪問文件，沒有簡單的方法可以阻止員工使用非公司發行的系統建立 VPN 訪問。有一些工具可以幫助解決這個問題，但它們往往非常昂貴且資源密集。
您可以透過策略來緩解上述問題，該策略指示您的員工只能使用他們的工作電腦存取 VPN。然後引入了另一個風險領域——公共網絡。如果有人正在旅行並且他們透過公共存取網絡透過 VPN 進行連接，他們天生就容易受到攻擊。

Michelle Burrows：公司可以部署哪些替代方案來代替 VPN？這種替代方案有什麼缺點嗎？

Jerry Hsieh：我知道這聽起來非常自我推銷，但最好的選擇是利用遠端存取解決方案。而且，是的，這包括 Splashtop。 Splashtop 有助於降低 VPN 固有的風險，因為它使您只能串流傳輸桌面。這意味著您公司網路中的資料受到保護，因為您只能查看資料。所有資料仍在您的公司網路中。

相比之下，當我使用 VPN 時，我可以開始下載我想要的任何東西，這意味著黑客可以這樣做。當我使用Splashtop這樣的工具時，我可以查看和操作或使用該檔案，但我無法下載它。我可以配置它以便只有本地電腦可以存取它。

此外，由於我們談論的是安全性，Splashtop 還提供了許多其他安全功能，例如設備身份驗證、雙因素身份驗證 (2FA)、單點登錄 (SSO) 等。所有這些額外的安全功能都是 VPN 無法提供的。

您詢問了遠程訪問技術的缺點。唯一的缺點是隨著人們採用遠程訪問解決方案，存在學習曲線。但是，由於 Splashtop 最初是為消費者市場設計的，因此學習它所需的時間很少。最低限度，我的意思是普通用戶在幾分鐘內。

米歇爾·伯羅斯： 告訴我更多關於VPN 與 Splashtop 的信息？

Jerry Hsieh：當您比較 VPN 和 Splashtop 的定價時，有時我聽說與 Splashtop 提供的訂閱模式相比，固定投資可能有所不同。 VPN 是一項長期投資，有些人可能只做一次。但是，他們忘記了 VPN 網關經常出現故障並且投資備份網關的成本很高。此外，VPN 需要維護——用於漏洞和補丁升級。 Splashtop 負責維護和安全工作。 Splashtop 無需維護，每週 7 天、每天 24 小時可用。

米歇爾·伯羅斯： 當您不著迷於安全性時，您會做什麼來消遣？

Jerry Hsieh：您可能已經意識到，我沒有很多停機時間。當我有空閒時間時，我喜歡打高爾夫球。我的妻子可能不會對我的角色感到瘋狂，但我喜歡緊跟安全趨勢和我每天所做的工作。