与 Jerry Hsieh 探讨安全性、勒索软件以及安全团队的职责

作者:Splashtop 首席营销官 Michelle Burrows

安全性与勒索软件

Jerry Hsieh 工作已有二十余年,一直处于 IT 风险评估和安全领域的前沿。Jerry 是 Splashtop 的安全与合规高级总监,过去十年他在公司担任过各种 IT 和安全相关职位。不久前,在与 Splashtop 首席营销官 Michelle Burrows 的访谈中,Jerry 谈到了自己早期对安全性感兴趣的原因,以及他对确保系统安全性的看法,尤其是过去几个月安全漏洞显著增加的情况下。

Michelle Burrows:Jerry,感谢你的加入。近来安全问题一直是新闻热点,但在过去这不过是一种补救措施。你最初为什么对安全感兴趣?

Jerry Hsieh:你说得完全正确。我关注安全问题已经有很长一段时间了。很多年前,公司往往不太注重安全性。早在2003年,我经历了一件非常可怕的事件,这段经历让我对安全和风险评估产生了兴趣。

Michelle Burrows:这段经历似乎很糟糕,可以说得具体一些吗?

Jerry Hsieh:这次的 SMTP DDoS 攻击导致许多大公司电子邮件服务中断,我当时就职的公司就是受害者之一。发生时间我记得非常清楚,因为那天刚好是我的婚礼。我非常担心办公室的情况,婚礼当天过得非常糟糕。

这段经历还让我看到了网络攻击的直接影响。我们曾与一家从事电子邮件过滤的公司合作,以保护我们公司免遭此类攻击,但这家公司最终因这次事件而关闭。

我还亲眼目睹了另一起网络攻击事件,AV 供应商刚更新定义,一个产品文件就被归类为病毒。IT 和工程团队花了无数个日夜,加班熬点试图解决问题,因为所有系统都受到了影响,我们有大量工作要做,清理文件、与防病毒供应商合作、修复已归类攻击的定义等等。

Michelle Burrows:我想婚礼被打断会让你时刻谨记安全领域的注意事项。请再与我们分享一些你在安全方面的早期经历。

Jerry Hsieh:我还曾在半导体行业一家公司担任安全工程师。那时,我们在安全方面的工作主要是防止专利侵权。公司有很多安全人员,因为我们的薪资比一屋子律师低得多。这段经历让我意识到,安全措施可以保护公司的知识产权。

Michelle Burrows:现在我们几乎每天都能听到安全漏洞或勒索软件攻击。企业可以采取哪些安全措施?

Jerry Hsieh:经常有人问我这个问题,我也经常思考。在我看来,最薄弱的环节往往是最终用户。大多安全事故都是由小错误引起的,比如员工点击恶意链接、保存有害文件、使用弱密码、转发某些信息等。一个用户足以破坏整个系统。

Michelle Burrows:一个员工也可能意外造成巨大损害,这种说法很有意思。我发现,很多人因为装了防火墙就觉得自己不会受到此类事故的影响。对此你怎么看?

Jerry Hsieh:防火墙往往给人造成虚假的安全感。可能有人会说,“我不会成为攻击对象,因为我有防火墙。”但他们没想到的是,虽然可以采取各种措施保护网络安全,但实际上最大的威胁可能来自企业内部。防火墙并不能解决所有安全问题,尤其是现在为了入侵企业系统,黑客在引诱员工点击某些内容方面越来越有创意。

Michelle Burrows:如果防火墙不能作为解决安全漏洞的唯一方法,你有什么建议?

Jerry Hsieh:我有以下几点建议:

  1. 最终用户培训 / 安全意识培训:我认为这一方面需要重点关注。自加入 Splashtop 以来,我不断发送有关安全风险的提醒,以确保所有员工都能看到提醒消息,都了解保持警惕的重要性。Splashtop 的首席执行官 Mark Lee 也会实时跟进,强调安全的重要性以及每个员工的责任,这一点对我们非常有用。如果员工知道 CEO 非常重视某件事,往往会更加关注。
  2. 安全策略:许多公司都有安全策略,但他们更应该付诸行动,持续监控和测试安全策略。制定政策是良好的开端,但执行政策更为关键。
  3. 持续渗透测试:许多公司已采用持续集成和持续交付/部署(CI/CD)。不断“测试”网络和应用程序,查看在软件开发生命周期(SDLC)是否存在任何漏洞,这一点很重要。

Michelle Burrows:我相信,如果人们知道你的职业,肯定会向你“坦白”自己的错误做法。哪些错误做法会让你更为担心或不安?

Jerry Hsieh:我一般不会让别人告诉我他们的做法,也不会去判断某种做法好或不好。我发现,大多数人实际上并不知道什么是网络安全。在电视或电影中,反角仅用一个指令就能摧毁整个系统,这就是人们所了解的网络安全。安装了防火墙,就觉得自己是安全的。但他们不知道的是,这个“反角”可能就是公司内部的某个用户。很少有数据泄露事件是由员工故意导致。公司真正需要做的是坚持“不信任任何人”。这是零信任访问(ZTA)的主要原则之一,使用范围越来越广泛。

人们对网络安全的另一个误解是,认为这一过程可以“一蹴而就”。但实际上,网络安全“永无止境”,总是需要不断改进。

Michelle Burrows:如今,CEO、投资者、董事会等都非常注重安全问题。企业应该关注哪些方面?

Jerry Hsieh:企业需要注意以下几个事项。

  1. 企业需要进行彻底且真实的风险评估。如果企业遭到攻击,品牌形象会受损,客户、员工甚至董事会的信任也将遭到破坏。企业必须定期评估风险。
  2. 监控企业网络中的每一个软硬件和服务供应商。许多部门经常到 IT 部门抢夺时间,希望引入各种“最新最好”的工具,用于客户调查、市场营销、敏捷开发、费用跟踪等。但所有供应商、软硬件都易受攻击。企业必须持续监控安全漏洞,确保员工实时更新软件,确保 IT 团队及时发布更新和打补丁。
  3. 持续监测和研究漏洞。现在有数百万软件产品,实时监测这些软件及软件可能为系统引入的漏洞是一项永无止境的工作。企业安全团队需要持续监测和研究漏洞。
  4. 要知道,攻击载体已经改变。这些年来,黑客越来越聪明,攻击方式也发生了改变。几年前,危险电子邮件可能非常容易识别,但现在为吸引用户点击,这些电子邮件都经过了定制化处理。企业必须不断测试员工,确保员工始终将安全放在首位。

Michelle Burrows: 最近有公告称 VPN 是攻击网关。在你看来,为什么 VPN(虚拟专用网络)尤其易受攻击?

Jerry Hsieh:是的,VPN 近来已成为系统攻击网关。
我认为,VPN 被频繁用于勒索软件攻击有以下几个原因:

  1. VPN 是90年代末推出的一项传统技术。一项技术存在时间越长,越有可能存在设计缺陷或针对不同供应商的关键软件漏洞,因为我们现在所了解的当时却并不知晓。例如,早在1999年,我完全依靠指令和友好用户界面(UI),配置了自己的第一个 VPN。回想那次经历,与现在并没有太多不同,配置错误的可能性非常大。
  2. VPN 取决于 IT 部门的正确配置。我经常看到新闻说 VPN 被利用,原因就是缺少设置、操作和分配访问权限的标准方法。所有 IT 部门都按照自己认为有意义的方式配置 VPN,这样会增加风险。
  3. 在 VPN 上使用家用电脑。如果员工居家办公,需要在工作中访问文件,我们很难阻止员工使用非公司发行的系统建立 VPN 访问。有些工具可以帮助解决这个问题,但往往非常昂贵且资源密集。
  4. 为避免出现上述问题,你可以制定政策,规定员工只能使用工作计算机访问 VPN。即便如此,VPN 还存在另一个风险,即公共网络。如果员工在出差期间使用公共访问网络连接 VPN,他们的设备就更易受攻击。

Michelle Burrows:企业可以使用其他方案代替 VPN 吗?这种替代方案有什么缺点?

Jerry Hsieh:这样说可能非常像自我推销,但更好的选择就是远程访问解决方案。当然这其中也包括 Splashtop。Splashtop 可以降低 VPN 固有的风险,因为它只允许流式传输桌面。这样可以保护公司网络中的数据,因为用户只能查看数据。所有数据仍保存在公司网络中。

相比之下,如果使用 VPN,用户什么都可以下载,同样黑客也可以。而如果使用 Splashtop 等工具,用户只能查看、操作或使用文件,但无法下载。同时,还可以进行配置,确保只有本地计算机可以访问。

此外,在安全性方面,Splashtop 具备设备身份验证、双因素身份验证(2FA)、单点登录(SSO)等安全功能。所有这些安全功能 VPN 都不具备。

你刚才问远程访问技术的缺点,它唯一的缺点就是,采用远程访问解决方案须符合学习曲线。但由于 Splashtop 最初的设计即面向消费者市场,所需学习时间非常短。我说的“非常短”,指的是普通用户几分钟就能学会。

Michelle Burrows: 请详细介绍下 VPN 与 Splashtop 的区别。

Jerry Hsieh:有时我听说,如果比较 VPN 和 Splashtop 的定价,区别可能在于,Splashtop 采取订购模式,而 VPN 则是固定投资。VPN 是一项长期投资,有些人可能只需投资一次。但不要忘了,VPN 网关经常出故障,备份网关的成本非常高。而且 VPN 需要自行维护,用于漏洞和补丁升级。而 Splashtop 会负责维护和安全工作。也就是说,Splashtop 无需支付维护费用,而且全天候可用。

Michelle Burrows: 除了对安全领域感兴趣,你还有什么业余爱好?

Jerry Hsieh:你可能也发现了,我没有太多休息时间。但如果真的可以,我喜欢打高尔夫球。我妻子可能不太喜欢我的工作,但我非常热爱自己的工作,我会实时关注安全趋势。

您可能会感兴趣:

网络风险与软件生产反思的问答

VPN 和 RDP 在勒索软件攻击中的作用

如何为员工提供安全的远程访问?立刻联系 Splashtop

博客底部的免费试用横幅