远程工作的应急响应最佳实践

关键要点

在当今新兴的远程和混合工作模式下，应急响应（IR）需要进行适应，以有效保护贵重的数据资源。以下是10条建议，帮助安全领导和团队重启其应急响应流程，以应对这一新环境。

根据最近的SC Media电子书《远程世界的应急响应》，以下是十条建议：

1. 与基础设施和运营团队合作，深入了解关键业务数据的位置、保护措施和访问权限。
团队应为最常见的漏洞场景准备应急手册，并通过技术和高管的桌面演练定期测试这些场景。一些安全主管在技术层面上每季度进行一次此类演练，与其他高管则每年进行两次。

2. 在授权设备访问数据之前，确保其得到妥善管理。
鉴于员工自有设备广泛用于访问公司网络和数据，这一点尤为重要。

监控终端检测与响应、认证及数据访问，以及云服务的安全。安全运营中心需能够快速解析和关联数据，以立即警示安全团队潜在的恶意活动。

3. 实施提供有效远程环境应急响应的工具和服务。
有些解决方案使安全团队无需直接网络连接即可回应事件。

通过在客户端设备上安装代理，事件发生时，安全团队可以通过互联网连接特定设备并进行远程处理。这一机制的有效性尤为重要，因为用户在家工作时可能没有开启VPN。这类工具可从远程设备收集数据，无需将设备送往安全团队进行分析和修复。

4. 加强终端监控和控制。
由于无法使用传统的本地网络安全控制手段处理远程设备，应急响应团队需对最终用户终端拥有更多的可视性和控制力。许多安全团队在维护日益复杂和分散的IT环境的可视性方面面临挑战。这是因为组织架构中的许多部分由于云迁移、影子IT、第三方/供应链活动等因素而未知或未被发现。基于云的终端检测与响应软件以及用户行为分析代理对于拥有大规模远程团队的应急响应团队至关重要。

5. 简化远程最终用户向安全团队报告可疑活动的途径。
在安全工作中，促使用户主动参与变得更为重要，尤其是在很多人离线工作而非连接到信任的企业网络时。他们可以利用如近乎实时的报告机制等技术，通过聊天接口与安全运营团队进行沟通。

6. 理解攻击面如何扩展，并相应地调整应急响应计划。
安全机构需评估威胁环境的变化，并根据需要调整网络安全控制，以应对新的或不断增长的风险领域。

7. 在远程环境中沟通至关重要，必须提升沟通能力。
在远程/混合工作环境中，沟通方式需与主要员工在中心办公地点的工作模式有所不同。由于有些人根据不同的工作日在不同地点工作，确保警报和更新信息能及时传达给应急响应团队及所有员工变得非常重要。

8. 专注于自动化和教育，这是确保混合/远程工作环境中组织安全的关键方面。
不断变化的威胁环境导致事件数量激增，而应急响应团队的人员却没有相应增加，因此团队需在可能的情况下实现响应自动化，并为IT团队提供培训计划。组织应考虑在安全编排和自动响应技术方面进行投资。

9. 将事件检测、响应和缓解纳入自动化工作。
在许多情况下，组织需要这些能力，尤其是在网络安全技能短缺的背景下。需要自动化的增加实际上是技能差距带来的后果。

10. 培训员工识别和报告可疑活动。
这包括教育远程工作者有关设备和网络操作的最佳实践，以及如何留意某些活动并避免成为恶意软件和网络钓鱼攻击的受害者。有效的培训计划能够帮助组织建立更积极主动的网络安全策略，将坏演员置于自己的一步之遥。