当我们都适应远程工作时，世界各地的安全团队正在应对一个非常严峻的挑战。我们的公司几乎一夜之间就改变了。完善的程序正在被重写，最佳实践正在迅速被重新思考，政策也已到了崩溃的地步。

业务转型总是一种安全风险。新技术和工作实践需要新的安全措施；但通常情况下，这种风险是经过仔细和长期的管理的。Covid-19没有给我们提供这种奢侈。对于一些企业来说，这种变化的规模和速度将是前所未有的。它也是非常公开的；攻击者已经意识到了这种情况并已经利用了它。以下是安全小组在未来几周将面临的一些最严重的威胁。

对收件箱应用谨慎和常识

变化带来新奇，新奇给骗子带来机会。在过去48小时内，内部安全小组将一直在竞相推出必要的远程工作工具。下载新软件的链接，更改我们验证服务的方式。当你不知道该期待什么的时候，员工关于识别社会工程的培训就消失了。员工和IT部门都应警惕意外的呼叫和请求：

“嗨，我正在打电话给你，请你把你的2FA码读给我，确认你已经转换到新的双人系统了，好吗？”

“嗨，我忘记了我的O365密码，你能给我的个人Gmail发一个重置码吗？”

此类请求可能是合法的，可能需要在正常渠道之外解决。个人有责任谨慎行事，运用常识，并酌情加以验证。

斯皮尔钓鱼网站也将有大量机会模仿第三方和客户：

“嗨，约翰，我需要把下周的会议改到远程。请参阅下面的链接，以获取缩放呼叫的邀请。“

同时放松安全控制，以便利使用非标准网络会议软件和通过电子邮件共享文件，将加剧这些风险。攻击者既有机会也有手段。

扩大威胁范围

安全控制的削弱远远超出了放松防火墙规则和电子邮件政策的范围。许多现有的安全层不适用于远程工作者。员工们突然把工作电脑带回家，会发现自己在用办公网络换家庭Wi-Fi时被剥夺了保护。如果没有internet代理、NAC、ID和NGFW，客户端设备现在将暴露在可能受到危害的设备之间的潜在不安全网络上。端点安全性将不得不承受保护的全部冲击。

内部网络安全也可能受到损害；员工可能需要访问以前只能在一个位置的有线网络上访问的资源。为了使它可以通过VPN访问，内部分段可能需要扁平化。这将打开恶意软件传播和横向移动的大门。可能需要关闭保护web服务的客户端证书身份验证，以使BYOD能够为没有公司笔记本电脑的员工工作。

必须仔细记录这些更改，并理解依赖关系。额外的负担将不得不转移到其他地方：也许可以收紧主机AV策略以补偿缺乏网络保护，也许可以重新配置员工设备以使用安全的外部DNS提供程序，而不是prem DNS服务器。

新一波攻击

除了现有控制措施的削弱，新基础设施的建设将带来新的风险。一月份，我们看到了大量针对面向web的Citrix基础设施的攻击。公司将迅速部署VPN网关，过渡到Sharepoint，并扩大面向互联网的范围。这个快速增加的攻击面需要监视和保护。安全团队应该提高对暴力和服务器端攻击的警惕。DDoS保护也将变得比以往任何时候都更加重要；对于许多公司来说，这将是第一次DDoS攻击通过阻止远程工作者通过互联网访问服务来削弱其业务。我们应该预料到这两种形式的袭击会立即急剧上升。

不要草率决定

“把它放到一个S3桶里”，“让我们用join.me代替”，“我会通过WeTransfer发送给你”。

IT部门和个人员工都将面临阻碍。他们的需求不会有一个授权的解决方案，而且这些需求可能非常紧急。在企业极度担心自己的财务状况和经营能力之际，人们将面临着向风吹草动、保护“一切照常”的压力。这种压力甚至可能来自高层。安全领导层必须尽最大努力，既要抵制草率的决定，又要提供创造性的解决方案。

善意的员工会变得富有创造力，而团队领导的责任将被赋予“做所需”。安全部门可能不可能对这一点进行集中监控，但需要对危险行为和违规行为进行监控。这说起来容易做起来难；SOC将被要求在变化的海洋中监测事件。现有的用例和规则将不适用，公司将需要一个更加主动和动态的方法来检测和响应。

你的家是一个“零信任”的商业环境

不幸的是，我们公司内部会有人想趁我们不景气时把我们踢出去。突然的远程工作对恶意的内部人员来说是天赐良机。数据现在可以很容易地从一个公司的设备通过USB在他们自己的家里的隐私。安全监视可能会完全瘫痪或禁用。这种风险很难解决。它可能不是可消除的，但它可以与对生产力和数据访问的需求相平衡。

我们也应该提防身边的人。我们都希望我们能信任和我们一起生活的人。但从公司的角度来看，员工之家是零信任的环境。保密谈话现在将在窃听者的范围内进行。知识产权将在全国各地客厅的屏幕和显示器上可见。对于年轻人来说，这种风险更大，可能是合租房子，但对于所有工人、送货员、到家的访客来说，这种风险仍然存在——他们都有可能从厨房的桌子上偷走公司的笔记本电脑。对员工特别是风险群体的教育将是关键。

适应新常态

能够不断进化和适应变化的人工智能系统将提供检测错误配置、攻击和危险行为的最佳机会——当你不知道要寻找什么时，你需要能够识别模式和量化风险的技术。当团队无法阻止恶意活动时，自主响应技术还可以通过手术干预来阻止恶意活动，保护设备和系统，同时允许基本操作继续不受影响。

上述所有的变化和风险都给soc带来了一场监控噩梦。我们正进入一个数字未知的时期，变化将成为新的常态。数据流和拓扑结构将改变。将部署新技术和新服务。日志记录格式将不同。需要12个月开发的SIEM用例需要在一夜之间被废弃。在接下来的几周里，商业惯例将迅速转变。

静态防御和规则将无法跟上，无论我们多么努力和迅速地重写它们。既然连接来自世界各地的数千个不同地点，您将如何在审核日志中发现对O365的恶意登录尝试？企业需要利用技术，使其能够在不确定性中继续运营，而不会在这个关键时刻扼杀生产力。更重要的是，控制这些威胁是至关重要的——如果一台受感染的机器几天内无法重新成像或更换，完全隔离它是不可行的。