為什麼每個 VPN 都需要一個強大的 SIEM？

虛擬專用網絡已被個人和組織使用了二十年的大部分時間。 VPN 創建一個安全隧道，允許加密信息從一個點傳輸到另一個點。 在商業世界中，它使員工能夠連接到其組織的網絡並安全地發送和接收信息。 考慮到我們在家庭環境中工作，VPN 發揮了更大的作用。

目前尚不清楚人們將在家工作多長時間。 一些組織已經表明，即使在大流行過去之後，他們仍將有一部分員工遠程工作。 越來越多的人在家工作這一事實引起了網絡犯罪分子的注意。 他們將家庭環境中的工作視為創造了他們可以利用的漏洞。

針對 VPN 的網絡攻擊

來自 Privacy Australia 的 Will Ellis 引用專家的話說，網絡犯罪分子實施攻擊的主要方式之一是試圖滲透 VPN。 正如他所提到的，“不幸的是，在許多情況下，他們在最近幾個月取得了成功。 這導致企業和政府機構加強了安全措施。”

一旦網絡犯罪分子突破 VPN 並獲得對組織網絡的訪問權，他們就像糖果店裡的孩子一樣。 他們可以通過網絡和服務來襲。 在閒暇時，他們可以尋找漏洞、錯誤配置和弱點。 一旦犯罪分子有權操縱數據、破壞系統或中斷傳輸中的敏感數據，他們可能造成的損害是無限的。

為您推薦： VPN 與代理：有什麼區別？ 哪一個更好？

需要的不僅僅是基本的安全措施

大多數組織已經在使用推薦的基本步驟來提高他們的 VPN 安全性。 這包括要求使用複雜、唯一且定期更改的強密碼。 配置或基於角色的控制訪問意味著按組限制資源。 多因素身份驗證也用於特權用戶或需要訪問敏感數據和軟件的用戶。

不應低估這些步驟的重要性。 如果一個組織認為這些基本步驟就是保護自己免受日益複雜的網絡安全攻擊所需的全部，那麼它就會自欺欺人。

複雜的攻擊需要復雜的解決方案，例如安全信息和事件管理平台。 SIEM 是負責從組織使用的安全工具（包括其 VPN）收集和關聯數據的工具。

SIEM 允許將由單獨的安全工具收集的信息編譯在一起，以深入了解可能不容易通過單獨查看數據獲得的安全威脅。 這些平台可以幫助組織識別什麼是真正的高風險事件，並將它們從噪音中分離出來。

例如，員工可能會從紐約市連接到 VPN。 四十五分鐘後，同一名員工從明尼蘇達州明尼阿波利斯連接到組織的 VPN。 SIEM 平台應該能夠判斷這在物理上是不可能的，然後將其標記為需要調查的可疑行為。

SIEM 平台如何使您的組織受益？

SIEM 解決方案提供實時威脅檢測。 它們可以提高效率、降低成本、最大限度地減少潛在威脅、改進報告和日誌分析並推動 IT 合規性。 由於 SIEM 解決方案可以連接來自各種設備和應用程序的事件日誌，因此 IT 人員可以快速識別、響應和審查潛在的安全漏洞。 識別網絡安全威脅的速度越快，其影響就越小。 有時，可以完全避免損壞。

SIEM 平台允許 IT 團隊全面了解組織的安全工具保護其免受的所有威脅。 來自惡意軟件或防病毒過濾器的單個警報可能沒什麼大不了的，或者它可能不會發出警報。 但是，如果防火牆、防病毒過濾器和 VPN 同時發出警報，則可能表明正在進行嚴重的破壞。 SIEM 將從不同地方收集警報，然後將它們顯示在中央控制台上，從而最大限度地縮短響應時間。

您可能喜歡： VPN vs RDS vs VDI：安全遠程訪問選擇什麼？

SIEM 如何幫助減輕在家工作環境中的安全風險？

冠狀病毒大流行迫使組織從現場員工轉變為完全遠程的員工隊伍，這比許多組織修復後的速度更快。 這意味著他們必須在為客戶提供一致的服務和維持高水平的網絡安全之間取得平衡，並可能做出妥協。

手動配置可以成功處理此更改的規則和防禦非常耗時。 尚未使用 SIEM 平台的組織在居家令的前幾週進行了一場令人沮喪、危險且代價高昂的追趕遊戲。

已經在使用 SIEM 的組織可以更輕鬆地過渡。 因為他們有一個利用行為分析和機器學習的綜合系統，所以他們可以自動適應工作環境的變化。 這減輕了他們的 IT 團隊的很多壓力。

行為分析的主要好處之一是能夠查看組織及其用戶的基線正常活動，然後在與正常活動存在偏差時自動檢測並發出警報。 這樣，組織的安全控制就很靈活，可以隨著業務環境的變化而變化。 它們會自動適應新事物，例如員工在家工作如何成為新常態。

使用 SIEM 檢測和減輕 CEO 欺詐造成的損害

在家工作的環境使電子郵件通信比以往任何時候都更加重要。 這是因為辦公室工作中的面對面互動已經不復存在了。 不幸的是，由於來回發送大量電子郵件，因此存在以管理層、董事或其他負責人的名義發送欺詐性電子郵件的可能性。

CEO 欺詐是一種相對新穎的網絡犯罪形式。 社會工程攻擊用於誘騙組織中的某個人向實施欺詐的個人或個人發送金錢或機密信息。

CEO 欺詐在 COVID-19 之前就存在了。 據估計，在短短三年內，它可能會造成超過 23 億美元的損失。 當人們在與管理層進行一對一接觸的辦公環境中工作時，許多組織錯誤地認為他們很容易自行識別電子郵件詐騙。

然而，在審查 CEO 欺詐案件時，很明顯，在受害者不知情的情況下，欺詐者和受害者之間來回發送了多封電子郵件。 CEO 欺詐是一種複雜且幾乎不可能在沒有適當工具的情況下發現的欺詐類型。 如果說在相對安全的辦公環境中很難捕捉到，那麼想像一下，現在在員工分散、面對面接觸減少的情況下捕捉到它。

CEO 舞弊有兩種表現形式。 一個是高級經理的電子郵件帳戶被黑的地方。 另一個是從與合法業務域相似的域發送電子郵件的地方。 首先，欺詐者會破壞高級員工的電子郵件帳戶。 在第二種情況下，域名仿冒被用來誘使員工相信他們從處於監督職位的個人那裡收到了信息。

SIEM 解決方案可以提供幫助。 它使組織能夠領先於受損憑證風險。 如果 CEO、經理或其他負有責任的個人的電子郵件帳戶遭到入侵，SIEM 解決方案可以幫助識別並在入侵發生之前將其阻止。 這是因為 SIEM 解決方案正在監視整個網絡中的數據。 這包括活動目錄服務、O365、防火牆、存儲單元、Salesforce 等。

一旦所有信息都發佈到 SIEM 中，數據將被收集、關聯並通過高級分析進行檢查。 目標是找到妥協指標或找到顯示是否發生可疑行為的模式。 可以記錄此信息並立即將其發送給組織的安全團隊。

由於這是實時發生的，因此可以在許多攻擊產生破壞性影響之前將其阻止。 可以訓練高級機器學習來識別潛入網絡的緩慢攻擊。 可以檢測到異常的活動模式，並且可以在威脅發生之前減輕威脅。 他們可以使用這些相同的方法來識別其他類型的電子郵件威脅，例如魚叉式網絡釣魚詐騙。 在這裡，我們再次看到 SIEM 解決方案必須增加 VPN 無法提供的價值的能力。

您可能還喜歡： NordVPN 與 SiteLock VPN – 哪一個最適合您？

使用從 SIEM 收集的信息來提高網絡安全

當檢測到異常時，組織可以採取保護措施以防止將來受到損害。 第一步可能是對員工進行有關他們面臨的網絡安全威脅的教育。 通過向員工展示嘗試過的不同攻擊，鼓勵員工減輕風險行為。

一些對 IT 團隊來說似乎是常識的預防技巧可能會被員工忽視。 例如，應提醒員工忽略要求立即回复的自發電子郵件。 應鼓勵他們經常檢查發件人的電子郵件地址和域，並將其與真實的電子郵件地址和域進行比較。 應提醒員工不要打開意外的附件，並在收到來自無法識別的發件人的電子郵件時格外小心。

可以肯定的是，網絡犯罪分子不會停止尋找漏洞。 組織需要通過使用 VPN、防病毒工具和惡意軟件保護等安全功能來保護自己、他們的數據和員工，然後使用 SIEM 平台進行備份。