您的新远程工作对安全操作可见吗?

由于冠状病毒，公司看到了前所未有的数量远程工作。无论是政府还是该组织的要求，企业都要求许多(如果不是所有)员工在家工作。虽然这一举措在基础设施和能力方面给IT带来了明显的挑战，但它也给安全团队带来了挑战，因为他们正在推动快速和全球层面上的远程工作。

很多人都在利用远程工作系统作为其核心安全操作监控的一部分，这些导弹还没有经过操作测试。对许多人来说，可能的结果是安全警报和问题更少，因为公司的基础设施在互联网浏览等领域的使用水平不同，用户可能在非公司认可的资产上使用基于web的应用程序。

不要停止提问(即使看起来你应该这样做)

对于安全操作中心(SOC)分析师来说，这似乎是一个天堂般的情况:要处理的假阳性更少，安全策略被破坏的可能性更低，有更多的时间来处理所有他们想要集中精力但以前从来没有时间做的事情。

但是更少的警报并不等于更安全;相反，这可能意味着你因为缺乏能见度而更加盲目。缺乏可见性并不等于缺乏安全漏洞。安全领导必须考虑到我们组织面临的这些新风险:

• 我们会知道数据和系统正在被破坏吗?
• 我们现在是否依赖于大量没有适当弹性的关键远程工作解决方案?
• 一旦这一切结束，我们能知道所有敏感数据的位置吗?
• 我们是否仍然符合我们需要的IT安全法规?

召集您的安全指导委员会

是时候把你的团队(假设你还没有这样做)聚集到(可能是虚拟的)桌子周围了。就像政府目前应对社会经济挑战一样，我们必须一天一天地应对这些挑战。

在政府将拥有顶级医疗专家的地方，您的表不仅应该拥有管理，还应该拥有各种安全技能集。目标应该是帮助安全行动优先考虑对这一潜在危机的战略应对这样我们才不会疏忽大意。我们不想采取一种坐视安全问题发生的态度。收集好之后，回答几个关键问题:

1. 我们的方向还对吗?用例、安全数据源、端点代理等是否都集中在将保持业务正常运行的领域，是否存在巨大的差距?
2. 这一切结束后，我们有恢复正常工作的计划吗?我们如何记录数据的去向，如何确保数据的安全性?
3. 我们还在运行正确的安全操作模式吗?

解决方案不是技术

这些问题的解决方案在于坚实的过程，而不是技术。目标有两个:为安全操作团队建立一组优先级，并关注一组调整后的业务风险。但是，当时机成熟时，不要忽视建立一条以非破坏性的方式回归正常的道路。

阅读更多:在2019冠状病毒病疫情期间做坚强的领导者的4个行动

随着业务需求在当前环境中的变化和灵活，安全用例将需要重新评估。首先，我们需要考虑任何新的数据源和新的工作方式。其次，考虑对新的关键业务使能器(例如远程工作平台或vpn)的保护。

这个过程的一部分将是一丝不苟地记录所有的变化，以便它们可以在以后的日期逆转，理解和记录所有产生新风险的东西现在在哪里。即使这些是战略上的改变，也要仔细评估，因为在这一点上大多数可能是战术上的。您需要重新评估所采用的路径，以确保它是健壮的。

我们企业的安全部门需要迅速采取行动。这不仅仅是一个“我们的安全操作和SOC分析师能否远程工作?”，还要问“这会带来什么新风险?”以及“我们的安全优先事项改变了吗?”

无论这些变化纯粹是针对我们的内部团队，还是我们必须让我们的安全服务提供商根据新需求更快地进行更改，很明显，组织需要完成尽职调查，以确保他们为保护组织所做的工作符合将网络风险保持在低水平的目标。根据高优先级和可行性进行调整是一种灵活的变化。

皮特·肖德是安全行动小组的一员。包括威胁检测和响应的分析和选择标准管理安全服务(MSS)，如管理检测和响应(MDR)和漏洞管理(VM)服务。本博客最初发表于Gartner博客网络。