思科安全团队努力应对BYOD、恶意软件

很多公司都有计算机安全事件响应小组(CSIRT)来应对恶意软件爆发以及其他类型的网络攻击和潜在内部威胁,在网络巨头思科公司,CSIRT团队由约60人组成,他们试图保护公司和75000名员工。

思科CSIRT团队信息安全调查经理Matthew Valites表示:“我们主要负责监测和调查对思科的政策的违反行为。”这意味着保护直接由员工使用的企业IT资产或用于处理目的的业务资产,使重要信息不外泄。然而,在思科接受BYOD(携带自己设备到工作场所)战略后,思科的CSIRT关心的政策执行变得更加复杂。

“随着用户携带自己的设备来公司,政策执行变得更加困难,”Valites在讨论思科的安全事件响应做法时表示,“BYOD是一个真正的问题。”为了节约成本,思科不再向员工提供智能手机,而希望员工使用他们自己的手机,除非他们的工作受到政府的监管限制而必须使用企业配备的设备。Valites承认:“对于我的团队而言,这是一个很大的问题。”

除了BYOD问题的困扰外,思科CSIRT团队每天还要面对不断涌现的恶意软件,监测未经授权流量和抵御隐身在线攻击。另外,还有很多不可避免的问题,例如错误登录,但CSIRT最困难的工作之一是试图确认未经授权访问。

这一切都需要在合规性的框架内完成。Valites指出:“我们在圣何塞有一个医疗中心,在企业内部部署医疗保健专业人士被视为对员工的福利。而这意味着所有相关的安全和隐私政策都必须符合联邦HIPAA法案规定。”

Valites表示,思科公司高层主管是该团队的重点保护对象,因为这些高管是网络间谍和攻击者最有价值的目标。与其他员工相比,Valites表示,“我们更加注重他们的资产。”

然后是思科的整体团队(例如整个实验室),经常受到各种攻击,他们的计算机经常冒出各种恶意软件。Valites表示:“实验室有点像狂野的西部。”对于攻击者,思科CSIRT团队别无选择,只能通过额外的控制,例如切断整个实验室的网络或者隔离其网络,使实验室仅限于内部局域网。

对于CSIRT团队而言,每天的主要挑战是获取对任何类型安全事件的可视性,然后快速决定何时以及如何升级响应。思科设计了自己的事件响应跟踪系统,任何类型的问题都会被记录。

当一个事件发生时,第一项任务是确定问题计算机设备的特定所有者,Valites表示:“我们需要资产所有者向我们提供必要的信息,但在我们这样的大型跨国企业内,这是一个挑战。虽然我们部署了各种防病毒、VPN、Web应用程序控制、入侵检测等工具,但最终解决问题还需要依赖于人与人之间的沟通和信息共享。”

CSIRT团队也需要考虑到潜在的内部威胁,在任何企业,都可能存在“流氓”员工或者承包商想要窃取公司数据或者做其他破坏行为。这是非常棘手的问题,权限升级必须交给人力资源和法律部门来控制。

Valites表示,“我们具有良好的合作伙伴关系。”并指出,法律顾问很清楚他们在事件响应调查中的角色,并且它们想要参与关键信息泄露等事情的潜在调查中。所有类型的调查都需要计算机取证,而思科CSIRT需要负责做到一点。

由于思科是一家全球性企业,他们需要跨时区和跨北美大陆和亚太地区来协调其CSIRT的工作。Valites表示,思科将受益于物理安全运营中心 (SOC),他表示,思科目前正在建设两个这样的SOC,一个在圣何塞,另一个在印度,其中将利用很多类型的技术,包括思科自己的专用思科网真系统。