为什么每个 VPN 都需要一个强大的 SIEM？

虚拟专用网络已被个人和组织使用了二十年的大部分时间。 VPN 创建一个安全隧道，允许加密信息从一个点传输到另一个点。 在商业世界中，它使员工能够连接到其组织的网络并安全地发送和接收信息。 考虑到我们在家庭环境中工作，VPN 发挥了更大的作用。

目前尚不清楚人们将在家工作多长时间。 一些组织已经表明，即使在大流行过去之后，他们仍将有一部分员工远程工作。 越来越多的人在家工作这一事实引起了网络犯罪分子的注意。 他们将家庭环境中的工作视为创造了他们可以利用的漏洞。

针对 VPN 的网络攻击

来自 Privacy Australia 的 Will Ellis 引用专家的话说，网络犯罪分子实施攻击的主要方式之一是试图渗透 VPN。 正如他所提到的，“不幸的是，在许多情况下，他们在最近几个月取得了成功。 这导致企业和政府机构加强了安全措施。”

一旦网络犯罪分子突破 VPN 并获得对组织网络的访问权，他们就像糖果店里的孩子一样。 他们可以通过网络和服务来袭。 在闲暇时，他们可以寻找漏洞、错误配置和弱点。 一旦犯罪分子有权操纵数据、破坏系统或中断传输中的敏感数据，他们可能造成的损害是无限的。

为您推荐： VPN 与代理：有什么区别？ 哪一个更好？

需要的不仅仅是基本的安全措施

大多数组织已经在使用推荐的基本步骤来提高他们的 VPN 安全性。 这包括要求使用复杂、唯一且定期更改的强密码。 配置或基于角色的控制访问意味着按组限制资源。 多因素身份验证也用于特权用户或需要访问敏感数据和软件的用户。

不应低估这些步骤的重要性。 如果一个组织认为这些基本步骤就是保护自己免受日益复杂的网络安全攻击所需的全部，那么它就会自欺欺人。

复杂的攻击需要复杂的解决方案，例如安全信息和事件管理平台。 SIEM 是负责从组织使用的安全工具（包括其 VPN）收集和关联数据的工具。

SIEM 允许将由单独的安全工具收集的信息编译在一起，以深入了解可能不容易通过单独查看数据获得的安全威胁。 这些平台可以帮助组织识别什么是真正的高风险事件，并将它们从噪音中分离出来。

例如，员工可能会从纽约市连接到 VPN。 四十五分钟后，同一名员工从明尼苏达州明尼阿波利斯连接到组织的 VPN。 SIEM 平台应该能够判断这在物理上是不可能的，然后将其标记为需要调查的可疑行为。

SIEM 平台如何使您的组织受益？

SIEM 解决方案提供实时威胁检测。 它们可以提高效率、降低成本、最大限度地减少潜在威胁、改进报告和日志分析并推动 IT 合规性。 由于 SIEM 解决方案可以连接来自各种设备和应用程序的事件日志，因此 IT 人员可以快速识别、响应和审查潜在的安全漏洞。 识别网络安全威胁的速度越快，其影响就越小。 有时，可以完全避免损坏。

SIEM 平台允许 IT 团队全面了解组织的安全工具保护其免受的所有威胁。 来自恶意软件或防病毒过滤器的单个警报可能没什么大不了的，或者它可能不会发出警报。 但是，如果防火墙、防病毒过滤器和 VPN 同时发出警报，则可能表明正在进行严重的破坏。 SIEM 将从不同地方收集警报，然后将它们显示在中央控制台上，从而最大限度地缩短响应时间。

您可能喜欢： VPN vs RDS vs VDI：安全远程访问选择什么？

SIEM 如何帮助减轻在家工作环境中的安全风险？

冠状病毒大流行迫使组织从现场员工转变为完全远程的员工队伍，这比许多组织修复后的速度更快。 这意味着他们必须在为客户提供一致的服务和维持高水平的网络安全之间取得平衡，并可能做出妥协。

手动配置可以成功处理此更改的规则和防御非常耗时。 尚未使用 SIEM 平台的组织在居家令的前几周进行了一场令人沮丧、危险且代价高昂的追赶游戏。

已经在使用 SIEM 的组织可以更轻松地过渡。 因为他们有一个利用行为分析和机器学习的综合系统，所以他们可以自动适应工作环境的变化。 这减轻了他们的 IT 团队的很多压力。

行为分析的主要好处之一是能够查看组织及其用户的基线正常活动，然后在与正常活动存在偏差时自动检测并发出警报。 这样，组织的安全控制就很灵活，可以随着业务环境的变化而变化。 它们会自动适应新事物，例如员工在家工作如何成为新常态。

使用 SIEM 检测和减轻 CEO 欺诈造成的损害

在家工作的环境使电子邮件通信比以往任何时候都更加重要。 这是因为办公室工作中的面对面互动已经不复存在了。 不幸的是，由于来回发送大量电子邮件，因此存在以管理层、董事或其他负责人的名义发送欺诈性电子邮件的可能性。

CEO 欺诈是一种相对新颖的网络犯罪形式。 社会工程攻击用于诱骗组织中的某个人向实施欺诈的个人或个人发送金钱或机密信息。

CEO 欺诈在 COVID-19 之前就存在了。 据估计，在短短三年内，它可能会造成超过 23 亿美元的损失。 当人们在与管理层进行一对一接触的办公环境中工作时，许多组织错误地认为他们很容易自行识别电子邮件诈骗。

然而，在审查 CEO 欺诈案件时，很明显，在受害者不知情的情况下，欺诈者和受害者之间来回发送了多封电子邮件。 CEO 欺诈是一种复杂且几乎不可能在没有适当工具的情况下发现的欺诈类型。 如果说在相对安全的办公环境中很难捕捉到，那么想象一下，现在在员工分散、面对面接触减少的情况下捕捉到它。

CEO 舞弊有两种表现形式。 一个是高级经理的电子邮件帐户被黑的地方。 另一个是从与合法业务域相似的域发送电子邮件的地方。 首先，欺诈者会破坏高级员工的电子邮件帐户。 在第二种情况下，域名仿冒被用来诱使员工相信他们从处于监督职位的个人那里收到了信息。

SIEM 解决方案可以提供帮助。 它使组织能够领先于受损凭证风险。 如果 CEO、经理或其他负有责任的个人的电子邮件帐户遭到入侵，SIEM 解决方案可以帮助识别并在入侵发生之前将其阻止。 这是因为 SIEM 解决方案正在监视整个网络中的数据。 这包括活动目录服务、O365、防火墙、存储单元、Salesforce 等。

一旦所有信息都发布到 SIEM 中，数据将被收集、关联并通过高级分析进行检查。 目标是找到妥协指标或找到显示是否发生可疑行为的模式。 可以记录此信息并立即将其发送给组织的安全团队。

由于这是实时发生的，因此可以在许多攻击产生破坏性影响之前将其阻止。 可以训练高级机器学习来识别潜入网络的缓慢攻击。 可以检测到异常的活动模式，并且可以在威胁发生之前减轻威胁。 他们可以使用这些相同的方法来识别其他类型的电子邮件威胁，例如鱼叉式网络钓鱼诈骗。 在这里，我们再次看到 SIEM 解决方案必须增加 VPN 无法提供的价值的能力。

您可能还喜欢： NordVPN 与 SiteLock VPN – 哪一个最适合您？

使用从 SIEM 收集的信息来提高网络安全

当检测到异常时，组织可以采取保护措施以防止将来受到损害。 第一步可能是对员工进行有关他们面临的网络安全威胁的教育。 通过向员工展示尝试过的不同攻击，鼓励员工减轻风险行为。

一些对 IT 团队来说似乎是常识的预防技巧可能会被员工忽视。 例如，应提醒员工忽略要求立即回复的自发电子邮件。 应鼓励他们经常检查发件人的电子邮件地址和域，并将其与真实的电子邮件地址和域进行比较。 应提醒员工不要打开意外的附件，并在收到来自无法识别的发件人的电子邮件时格外小心。

可以肯定的是，网络犯罪分子不会停止寻找漏洞。 组织需要通过使用 VPN、防病毒工具和恶意软件保护等安全功能来保护自己、他们的数据和员工，然后使用 SIEM 平台进行备份。