當richard mckinney開始将美國交通部(dot)遷移到微軟office 365時,他吸取到了寶貴的影子it教訓,其他人在更新和鞏固其系統時可借鑒這個教訓。
最近剛剛辭去dot首席資訊官職位的mckinney在職時一直在進行轉型任務,但當部署office 365時,他很快發現情況的複雜性,數百台未經授權在網絡中運作而未被發現。
mckinney稱:“當時我們并沒有網絡的總體藍圖。”是以mckinney開始建立這樣的網絡視圖,他聘請了名為decisive communications公司來梳理dot的網絡以及識别在環境中運作的未授權裝置。decisive使用riverbed的技術來分析其網絡,并迅速發現超過200個以前未檢測到的聯網裝置,包括很多仍然在使用預設密碼的裝置。
▲credit: thinkstock
事實證明,美國交通部的各個行政崗位的從業人員通常不得不自己去加強地方辦事處的網絡能力。16端口的交換機已經用盡,而辦公室仍然在增加更多的從業人員,他們的解決方案可能是去網上購買新的交換機來滿足更多使用者的需求。
“這就像是自助服務,”mckinney稱,“它們更像是消費類裝置,而我們會購買更多企業級裝置。”
安全和“最薄弱的環節”
對所有這些未經授權網絡裝置的發現讓mckinney停下了工作,他開始思考有關dot系統安全性的問題。畢竟,如果這麼多潛在入口點都在網絡運作,而沒有中央管理或可視性,這聽起來非常不安全。此外,由于網絡的平面設計,且沒有整體架構的網絡,攻擊者很容易橫向移動到更敏感的關鍵任務領域。
顯然,這些安全問題比it問題更重要。
mckinney稱他還對網絡進行了徹底掃描,并沒有發現dot資料或系統受到攻擊,但他還發現熟練的攻擊者并不會留下任何痕迹。無論如何,mckinney都将其發現報告給了上司層。
由于影子it相關的安全問題,上司層讓mckinney啟動項目來重新架構dot的網絡,這個項目仍然在進行中,目前已經給其網絡帶來更集中的控制和更清晰的分區來隔離不同部門的系統。
這一經驗還讓其辦公室更改了新裝置進入網絡的内部流程,包括通知不同dot管理層不能繼續使用未經授權和不受管理網絡裝置,裝置進入網絡必須通過正式的變更管理流程。
“我認為我們都應該確定對基礎設施和網絡的清晰的了解,我們必須知道我們擁有什麼,并且管理所知道的事物。”
本文轉自d1net(轉載)
![“雲管邊端”協同的邊緣計算安全防護解決方案0 引 言1 5G 及邊緣計算2 邊緣計算面臨的風險3 “雲管邊端”安全防護技術4 “雲管邊端”安全防護實踐5 結 語[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)