很多公司都有計(jì)算機(jī)安全事件響應(yīng)小組(CSIRT)來應(yīng)對惡意軟件爆發(fā)以及其他類型的網(wǎng)絡(luò)攻擊和潛在內(nèi)部威脅，在網(wǎng)絡(luò)巨頭思科公司，CSIRT團(tuán)隊(duì)由約60人組成，他們試圖保護(hù)公司和75000名員工。

思科CSIRT團(tuán)隊(duì)信息安全調(diào)查經(jīng)理Matthew Valites表示：“我們主要負(fù)責(zé)監(jiān)測和調(diào)查對思科的政策的違反行為。”這意味著保護(hù)直接由員工使用的企業(yè)IT資產(chǎn)或用于處理目的的業(yè)務(wù)資產(chǎn)，使重要信息不外泄。然而，在思科接受BYOD(攜帶自己設(shè)備到工作場所)戰(zhàn)略后，思科的CSIRT關(guān)心的政策執(zhí)行變得更加復(fù)雜。

“隨著用戶攜帶自己的設(shè)備來公司，政策執(zhí)行變得更加困難，”Valites在討論思科的安全事件響應(yīng)做法時(shí)表示，“BYOD是一個(gè)真正的問題。”為了節(jié)約成本，思科不再向員工提供智能手機(jī)，而希望員工使用他們自己的手機(jī)，除非他們的工作受到政府的監(jiān)管限制而必須使用企業(yè)配備的設(shè)備。Valites承認(rèn)：“對于我的團(tuán)隊(duì)而言，這是一個(gè)很大的問題。”

除了BYOD問題的困擾外，思科CSIRT團(tuán)隊(duì)每天還要面對不斷涌現(xiàn)的惡意軟件，監(jiān)測未經(jīng)授權(quán)流量和抵御隱身在線攻擊。另外，還有很多不可避免的問題，例如錯(cuò)誤登錄，但CSIRT最困難的工作之一是試圖確認(rèn)未經(jīng)授權(quán)訪問。

這一切都需要在合規(guī)性的框架內(nèi)完成。Valites指出：“我們在圣何塞有一個(gè)醫(yī)療中心，在企業(yè)內(nèi)部部署醫(yī)療保健專業(yè)人士被視為對員工的福利。而這意味著所有相關(guān)的安全和隱私政策都必須符合聯(lián)邦HIPAA法案規(guī)定。”

Valites表示，思科公司高層主管是該團(tuán)隊(duì)的重點(diǎn)保護(hù)對象，因?yàn)檫@些高管是網(wǎng)絡(luò)間諜和攻擊者最有價(jià)值的目標(biāo)。與其他員工相比，Valites表示，“我們更加注重他們的資產(chǎn)。”

然后是思科的整體團(tuán)隊(duì)(例如整個(gè)實(shí)驗(yàn)室)，經(jīng)常受到各種攻擊，他們的計(jì)算機(jī)經(jīng)常冒出各種惡意軟件。Valites表示：“實(shí)驗(yàn)室有點(diǎn)像狂野的西部。”對于攻擊者，思科CSIRT團(tuán)隊(duì)別無選擇，只能通過額外的控制，例如切斷整個(gè)實(shí)驗(yàn)室的網(wǎng)絡(luò)或者隔離其網(wǎng)絡(luò)，使實(shí)驗(yàn)室僅限于內(nèi)部局域網(wǎng)。

對于CSIRT團(tuán)隊(duì)而言，每天的主要挑戰(zhàn)是獲取對任何類型安全事件的可視性，然后快速?zèng)Q定何時(shí)以及如何升級響應(yīng)。思科設(shè)計(jì)了自己的事件響應(yīng)跟蹤系統(tǒng)，任何類型的問題都會(huì)被記錄。

當(dāng)一個(gè)事件發(fā)生時(shí)，第一項(xiàng)任務(wù)是確定問題計(jì)算機(jī)設(shè)備的特定所有者，Valites表示：“我們需要資產(chǎn)所有者向我們提供必要的信息，但在我們這樣的大型跨國企業(yè)內(nèi)，這是一個(gè)挑戰(zhàn)。雖然我們部署了各種防病毒、VPN、Web應(yīng)用程序控制、入侵檢測等工具，但最終解決問題還需要依賴于人與人之間的溝通和信息共享。”

CSIRT團(tuán)隊(duì)也需要考慮到潛在的內(nèi)部威脅，在任何企業(yè)，都可能存在“流氓”員工或者承包商想要竊取公司數(shù)據(jù)或者做其他破壞行為。這是非常棘手的問題，權(quán)限升級必須交給人力資源和法律部門來控制。

Valites表示，“我們具有良好的合作伙伴關(guān)系。”并指出，法律顧問很清楚他們在事件響應(yīng)調(diào)查中的角色，并且它們想要參與關(guān)鍵信息泄露等事情的潛在調(diào)查中。所有類型的調(diào)查都需要計(jì)算機(jī)取證，而思科CSIRT需要負(fù)責(zé)做到一點(diǎn)。

由于思科是一家全球性企業(yè)，他們需要跨時(shí)區(qū)和跨北美大陸和亞太地區(qū)來協(xié)調(diào)其CSIRT的工作。Valites表示，思科將受益于物理安全運(yùn)營中心(SOC)，他表示，思科目前正在建設(shè)兩個(gè)這樣的SOC，一個(gè)在圣何塞，另一個(gè)在印度，其中將利用很多類型的技術(shù)，包括思科自己的專用思科網(wǎng)真系統(tǒng)。