Юридическая фирма MinterEllison переориентирует свои усилия в области ИТ-безопасности и инвестиции в защиту конечных точек на ожидание того, что удаленная работа в ее нынешнем виде может сохраняться еще до двух лет.
Руководитель отдела кибербезопасности и информационной безопасности Сунил Саале рассказал на вебинаре, что COVID-19 “полностью изменил динамику” работы 2500 сотрудников фирмы, а это, в свою очередь, повлияло на ее стратегию и подход к безопасности.
“У нас была наша стратегия безопасности и дорожная карта безопасности — все — спланировано, и COVID бросил криволинейный мяч, поэтому нам пришлось изменить наши инвестиции, а также наше мышление, чтобы увидеть, как мы собираемся поддерживать наших сотрудников, работающих удаленно”, — сказал Саале.
“Удаленная работа здесь, чтобы остаться. Мы ожидаем, что это будет продолжаться еще как минимум 1-1, 5 года, если не два.
“Все, что мы хотели инвестировать с точки зрения сетевой безопасности, мы переосмысливаем, чтобы перейти к безопасности конечных точек.”
Как и другие фирмы, восстановление связи и сотрудничества для полностью удаленной рабочей силы было большим ранним фокусом для MinterEllison.
“Федеральные суды и суды штатов перешли к Zoom, BlueJeans и Командам. Они начали использовать все эти коммуникационные платформы и платформы для совместной работы и начали приглашать наших адвокатов на судебные слушания”, — сказал Саале.
— Но все наши пользователи работают со стандартными правами. У них нет прав администратора, поэтому теперь у нас были все эти новые технологии, которые должны были быть установлены на наших ноутбуках.”
Саале сказал, что компания была вынуждена провести черту вокруг использования некоторых инструментов, в частности Zoom, поскольку возникли проблемы с безопасностью платформы.
“Мы заняли позицию по Zoom, например — когда у Zoom были эти проблемы, мы сказали, что на самом деле не можем использовать Zoom, так при каких обстоятельствах мы позволяем Zoom быть открытым в нашей сети?” — спросил Сэйл. “У нас были все эти [типы] проблем.”
В целом MinterEllison больше тяготеет к облачным и ПРОГРАММНЫМ приложениям как к услугам, доступ к которым осуществляется с помощью двухфакторной аутентификации.
Тем не менее, он по-прежнему имеет дело с совершенно иной ИТ-средой, чем до COVID.
До COVID-19 “люди не брали свои ноутбуки домой” и в основном оставляли машины в офисе.
Использование также неустойчиво.
“Мы используем некоторые инструменты поведенческой аналитики, которые полностью сошли с ума во времена COVID, потому что рабочие модели людей изменились”, — сказал Саале.
“Типичное поведение входа в систему, которое мы привыкли видеть, когда кто-то работал из офиса, изменилось. Теперь люди иногда заходят в систему в 8 утра, а иногда мы видим, что логины приходят в 8 вечера. Поскольку люди пытаются сбалансировать свою работу и личную жизнь, их поведение при входе в систему и поведение по электронной почте полностью изменилось.
“Мы все еще работаем над тем, как сбалансировать это, потому что [старые] модели больше не действительны.”
Кроме того, поведение становится более очевидным — и контроль более легко применяется — когда сотрудники подключаются к корпоративным системам MinterEllison через VPN.
“Но когда кто-то отключает VPN, мы полагаемся на их домашнюю сеть Wi-Fi. У нас нет никакой видимости в их домашней настройке Wi-Fi, поэтому у нас есть все эти проблемы вокруг того, как мы защищаем доступ к системе и данные”, — сказал Саале.
“Как вы убедитесь, что, когда они не подключены к VPN, они не подключаются к какому-то случайному веб-сайту, потому что им было отправлено фишинговое письмо?
“Мы должны значительно усилить нашу безопасность конечных точек, так что это довольно сложная задача.”
Выбор технологий
Сэйл сказал, что MinterEllison использует систему обнаружения и реагирования на угрозы Secureworks Red Cloak threat detection and response (TDR), чтобы обеспечить некоторую видимость вокруг endpoint security.
“Мы генерируем около 2 миллиардов событий каждый месяц, и это число только растет”, — сказал он в видео, опубликованном ранее в этом году.
“С помощью Secureworks мы можем сократить это число до 20-30 высокоточных оповещений, и это значительно облегчает работу моей команды.
“Наличие беспрецедентного доступа к отчетам об угрозах [и] наборам навыков в области безопасности очень помогает нам в том, как мы проводим наши операции по обеспечению безопасности.”
Однако на вебинаре Саале отметил больше технологий, которые компания рассматривает.
Эти инвестиции стали необходимостью, вызванной жесткими блокировками в Виктории и угрозой распространения подобных блокировок на другие места, где работает фирма.
Саале сказал, что только в “крайних случаях” — когда ноутбук с синими экранами нуждается в повторной визуализации или замене-фирма просит сотрудников прийти в офис за ИТ-помощью.
“Все остальное — исправление безопасности, новое обновление офиса — будет сделано удаленно”, — сказал он.
“Мы рассматриваем технологии, в которых мы можем сделать сплит-туннелирование, где мы можем сделать выход в Интернет SCCM [system center configuration management] и [исследовать] MICROVPN.”
Фирма также рассматривает технологию, позволяющую ей сохранять данные в безопасности, “даже если ноутбук находится вне сети”.
“Данные сейчас больше живут на конечных точках, а конечные точки могут быть внутри сети или вне сети, поэтому мы рассматриваем технологии, в которых мы можем быть уверены, что даже если ноутбук находится вне сети, даже если у нас ограниченная видимость ноутбука, данные по-прежнему безопасны”,-сказал Саале.
Кроме того, хотя Саале сказал, что у Минтера Эллисона уже есть технология, которую он может использовать для “изоляции ноутбука, если мы подозреваем, что на нем есть какое-то вредоносное ПО или вредоносное программное обеспечение [на нем] или любое подозрительное поведение [обнаружено]”, компания не уверена, как она может заблокировать компьютер удаленно и все же позволить сотруднику быть продуктивным.
“В некоторых случаях у наших сотрудников есть только один ноутбук”, — сказал он.
— У них нет свободного рабочего стола для работы, так что … если мы изолируем их ноутбук, у них не будет других способов работать, и они не смогут войти в офис. Мы не можем полностью перекрыть им доступ. Мы все еще работаем над тем, как с этим справиться.”
Защита от фишинга
Опасаясь всплеска мошенничества, связанного с COVID, особенно фишинга, MinterEllison использует многоуровневый подход к информированию и защите.
Саале сказал, что его команда упорно работала над тем, чтобы “обучить пользователей тому, как идентифицировать фишинговое письмо”, и уменьшить внутренние барьеры для сообщения о нем.
“Мы показываем им [примеры] реальных атак, которые мы получили, и почему это фишинг”, — сказал он.
“Настоящая атака попадает в цель, потому что они знают, что кто-то в их организации видел это. Это не какая-то случайная организация, которая получила электронное письмо, которое может получить любой.”
Компания также провела симуляцию фишинга на пользователях, “в частности, на мошенничестве COVID-19”.
— Это был очень интересный результат, — сказал он, не вдаваясь в подробности.
В результате компания предложила новые темы помощи через ежемесячный информационный бюллетень по вопросам безопасности, который она рассылает всем сотрудникам.
“Нам пришлось изменить темы, чтобы обучить наших пользователей домашним сетям, данным и тому, как защитить их собственные маршрутизаторы”, — сказал он.
Саале сказал, что его команда также хотела убедиться в отсутствии каких-либо “барьеров или трений”, с которыми сотрудники столкнутся при попытке сообщить о подозрительной фишинговой афере, которую они получили.
И, чтобы убедиться, что все подозрительные электронные письма были помечены, МинтерЕллисон недавно стимулировал сотрудников делать отчеты.
“Недавно мы запустили фишинговую награду, поэтому, если кто-то сообщает о подозрительном фишинговом письме, мы помещаем его в пул, чтобы иметь право на определенную награду, и каждый месяц выбираем одного победителя”, — сказал он.
“[Мы увидели] немедленное увеличение числа сообщений о фишинговых письмах. Это было хорошо, потому что мы начали получать много отчетов.
“Некоторые из них были спамом, рассылками — это не имело значения. Главное, что они сообщали нам об этом и что в некоторых случаях им удавалось идентифицировать [вредоносные электронные письма].”
