为什么每个 VPN 都需要强大的 SIEM?

已发表: 2020-08-05

二十年来,个人和组织一直在使用虚拟专用网络。 VPN 创建一个安全隧道,允许加密信息从一个点传输到另一个点。 在商业世界中,它使员工能够连接到其组织的网络并安全地发送和接收信息。 考虑到我们所处的家庭环境中的工作,VPN 发挥了更大的作用。

目前尚不清楚人们将在家工作多久。 一些组织已经表明,即使在大流行过去之后,他们也将有一部分员工远程工作。 越来越多的人在家工作这一事实引起了网络犯罪分子的注意。 他们将家庭环境中的工作视为创造了他们可以利用的漏洞。

目录显示
  • 针对 VPN 的网络攻击
  • 不仅需要基本的安全措施
  • SIEM 平台如何使您的组织受益?
  • SIEM 如何帮助减轻在家工作环境中的安全风险?
  • 使用 SIEM 检测和减轻 CEO 欺诈造成的损害
  • 使用从 SIEM 收集的信息来改善网络安全

针对 VPN 的网络攻击

网络安全保护隐私加密安全密码防火墙访问

引用专家的话,来自澳大利亚隐私权的 Will Ellis 已经看到,网络犯罪分子进行攻击的主要方式之一是试图渗透 VPN。 正如他所说,“不幸的是,在许多情况下,他们在最近几个月都取得了成功。 这导致企业和政府机构收紧安全措施。”

一旦网络犯罪分子突破 VPN 并获得对组织网络的访问权限,他们就像糖果店里的孩子一样。 他们可以浏览网络和服务。 他们可以在闲暇时寻找漏洞、错误配置和弱点。 一旦犯罪分子有权操纵数据、破坏系统或中断传输中的敏感数据,他们可能造成的损害是无限的。

为您推荐: VPN 与代理:有什么区别? 哪一个更好?

不仅需要基本的安全措施

安全-安全-互联网-密码锁-SIEM

大多数组织已经在使用推荐的基本步骤来提高其 VPN 安全性。 这包括需要复杂、独特且定期更改的强密码。 供应或基于角色的控制访问意味着按组限制资源。 多因素身份验证也用于特权用户或需要访问敏感数据和软件的用户。

不应低估这些步骤的重要性。 如果一个组织认为这些基本步骤是保护自己免受日益复杂的网络安全攻击所需的全部,它就会自欺欺人。

复杂的攻击需要复杂的解决方案,例如安全信息和事件管理平台。 SIEM 是负责从组织使用的安全工具(包括其 VPN)收集和关联数据的工具。

SIEM 允许将单独的安全工具收集的信息汇总在一起,以深入了解通过单独查看数据可能不容易获得的安全威胁。 这些平台可以帮助组织识别真正的高风险事件并将它们与噪音区分开来。

例如,员工可能会从纽约市连接到 VPN。 四十五分钟后,同一名员工从明尼苏达州明尼阿波利斯连接到该组织的 VPN。 SIEM 平台应该能够判断这在物理上是不可能的,然后将其标记为需要调查的可疑行为。

SIEM 平台如何使您的组织受益?

危险-安全-威胁-网络犯罪-诈骗-病毒-黑客

SIEM 解决方案提供实时威胁检测。 它们可以提高效率、降低成本、最大程度地减少潜在威胁、改进报告和日志分析,并推动 IT 合规性。 由于 SIEM 解决方案可以连接来自各种设备和应用程序的事件日志,因此 IT 人员可以快速识别、响应和审查潜在的安全漏洞。 识别网络安全威胁的速度越快,其影响就越小。 有时,可以完全防止损坏。

SIEM 平台允许 IT 团队全面了解组织的安全工具保护其免受的所有威胁。 来自恶意软件或防病毒过滤器的单个警报可能没什么大不了的,或者它可能不会发出警报。 但是,如果防火墙、防病毒过滤器和 VPN 同时发出警报,这可能表明正在发生严重的违规行为。 SIEM 将从不同位置收集警报,然后将它们显示在中央控制台上,从而最大限度地延长响应时间。

您可能会喜欢: VPN、RDS 和 VDI:安全远程访问选择什么?

SIEM 如何帮助减轻在家工作环境中的安全风险?

SIEM-安全-信息-事件-管理

冠状病毒大流行迫使组织从现场工作人员转变为完全远程工作人员的速度比许多组织修复的速度更快。 这意味着他们必须在为客户提供一致的服务和保持高水平的网络安全之间取得平衡,并可能做出妥协。

手动配置可以成功处理此更改的规则和防御非常耗时。 尚未使用 SIEM 平台的组织在最初几周的居家订单中进行了一场令人沮丧、危险且代价高昂的追赶游戏。

已经在使用 SIEM 的组织可以更轻松地过渡。 因为他们拥有一个利用行为分析和机器学习的综合系统,所以他们可以自动适应工作环境的变化。 这减轻了他们的 IT 团队的压力。

行为分析的主要好处之一是能够查看组织及其用户的基线正常活动,然后在该正常活动出现偏差时自动检测并发出警报。 通过这种方式,组织的安全控制是灵活的,并且可以随着业务环境的变化而变化。 它们会自动适应新事物,例如员工在家工作的方式已成为新常态。

使用 SIEM 检测和减轻 CEO 欺诈造成的损害

键盘-笔记本电脑-红色-复制-黑客-网络-安全-数据-SIEM

在家工作的环境使电子邮件通信比以往任何时候都更加重要。 这是因为在办公室工作的面对面互动已经不复存在。 不幸的是,由于来回发送大量电子邮件,因此存在以管理层、董事或其他负责人的名义发送欺诈性电子邮件的可能性。

CEO 欺诈是一种相对新颖的网络犯罪形式。 社会工程攻击用于诱骗组织中的人员向实施欺诈的个人或个人发送金钱或机密信息。

在 COVID-19 之前就存在 CEO 欺诈行为。 据估计,在短短三年内,它可能造成超过 23 亿美元的损失。 当人们在与管理层进行一对一接触的办公环境中工作时,许多组织错误地认为他们自己很容易识别电子邮件诈骗。

然而,在审查 CEO 欺诈案件时,很明显,欺诈者和受害者之间来回交流了多封电子邮件,而受害者并不聪明。 CEO 欺诈是一种复杂且几乎不可能在没有适当工具的情况下捕获的欺诈类型。 如果在相对安全的办公环境中很难捕捉到,想象一下现在员工分散,面对面接触减少的情况下捕捉它。

CEO 欺诈以两种方式表现出来。 一种是高级经理的电子邮件帐户被黑客入侵。 另一种是从类似于合法业务域的域发送电子邮件。 首先,欺诈者会入侵高级员工的电子邮件帐户。 在第二种情况下,假冒被用来欺骗员工,让他们相信他们收到了来自监管职位的个人的信息。

SIEM 解决方案可以提供帮助。 它使组织能够领先于受损的凭证风险。 如果 CEO、经理或其他负责职位的个人的电子邮件帐户遭到入侵,SIEM 解决方案可以帮助识别和阻止违规行为发生。 这是因为 SIEM 解决方案正在监控整个网络中的数据。 这包括活动目录服务、O365、防火墙、存储单元、Salesforce 等。

将所有信息发布到 SIEM 后,将通过高级分析收集、关联和检查数据。 目标是找到妥协指标或发现显示可疑行为是否发生的模式。 可以记录此信息并立即将其发送给组织的安全团队。

由于这是实时发生的,因此可以在许多攻击产生破坏性影响之前就阻止它们。 可以训练高级机器学习来识别潜入网络的慢速攻击。 可以检测到异常的活动模式,并且可以在威胁发生之前减轻威胁。 他们可以使用这些相同的方法来识别其他类型的电子邮件威胁,例如鱼叉式网络钓鱼诈骗。 在这里,我们再次看到了 SIEM 解决方案必须增加 VPN 无法提供的价值的能力。

您可能还喜欢: NordVPN 与 SiteLock VPN – 哪一个最适合您?

使用从 SIEM 收集的信息来改善网络安全

网络安全锁定互联网安全黑客加密

当检测到异常时,组织可以采取保护措施来防止未来的危害。 一个步骤可能是对员工进行有关他们面临的网络安全威胁的教育。 通过向员工展示尝试过的不同攻击,鼓励员工减轻危险行为。

一些对 IT 团队来说似乎是常识的预防技巧可能会被员工忽视。 例如,应提醒员工忽略要求立即回复的未经提示的电子邮件。 应鼓励他们经常检查发件人的电子邮件地址和域,并将其与真实的电子邮件地址和域进行比较。 应提醒员工不要打开意外的附件,并在收到来自无法识别的发件人的电子邮件时格外小心。

可以肯定的一件事是,网络犯罪分子不会停止寻找漏洞。 组织需要使用 VPN、防病毒工具和恶意软件保护等安全功能来保护自己、数据和员工,然后使用 SIEM 平台进行备份。