2020年網(wǎng)絡(luò)安全的六大經(jīng)驗(yàn)教訓(xùn)
2020年,在新冠疫情和網(wǎng)絡(luò)攻擊的雙重“壓力測(cè)試”之下,很多企業(yè)的網(wǎng)絡(luò)安全運(yùn)營(yíng)工作暴露出了新的弱點(diǎn)。面對(duì)充滿不確定性的2021,全球的企業(yè)網(wǎng)絡(luò)安全人士能夠從2020年汲取哪些經(jīng)驗(yàn)?zāi)?以下我們整理了多家美國(guó)網(wǎng)絡(luò)安全企業(yè)的調(diào)研分析,匯總為六大經(jīng)驗(yàn)教訓(xùn):
安全運(yùn)營(yíng)中心(SOC)需要重新校準(zhǔn)
新冠疫情引發(fā)的大規(guī)模遠(yuǎn)程辦公給本就不堪重負(fù)的安全運(yùn)營(yíng)中心(SOC)帶來(lái)了巨大壓力。安全公司Exabeam對(duì)管理和運(yùn)營(yíng)SOC的約1,005名網(wǎng)絡(luò)安全專(zhuān)業(yè)人員的調(diào)查中,有35%的受訪美國(guó)企業(yè)安全人士認(rèn)為疫情期間的團(tuán)隊(duì)交流是最大挑戰(zhàn)。34%的人報(bào)告難以調(diào)查安全事件,而30%的人認(rèn)為缺乏對(duì)單個(gè)網(wǎng)絡(luò)的可見(jiàn)性是一個(gè)問(wèn)題。接受調(diào)查的美國(guó)SOC人員中,近二分之一(47%)表示新工具(包括SaaS應(yīng)用程序)存在問(wèn)題。
SANS研究所新興安全趨勢(shì)主管John Pescatore表示:“流程不成熟的SOC的管理者發(fā)現(xiàn),當(dāng)SOC團(tuán)隊(duì)不在同一房間時(shí),工作沒(méi)有任何效率可言。”
展望未來(lái),安全運(yùn)營(yíng)小組將需要實(shí)施更完善的體系結(jié)構(gòu),以解決大部分人員處于遠(yuǎn)程狀態(tài)的混合辦公環(huán)境需求。
Omdia的分析師Eric Parizo說(shuō):“安全信息和事件管理(SIEM)是SOC的重要引擎,將經(jīng)歷重大變革。新分配的勞動(dòng)力和正在進(jìn)行的數(shù)字化轉(zhuǎn)型計(jì)劃將加快SIEM向云端過(guò)渡。”
“作為基于云的SecOps解決方案的新核心,下一代SIEM將基于SaaS,提供內(nèi)置的活動(dòng)和行為分析,并提供基于固定費(fèi)用的數(shù)據(jù)采集,支持多個(gè)公共云以及傳統(tǒng)的基于云的服務(wù),內(nèi)部和網(wǎng)絡(luò)數(shù)據(jù)源。“Parizo說(shuō)。
CYOIT(自行選擇IT)是個(gè)大問(wèn)題
隨著SaaS的日益普及,以及疫情的推波助瀾,全球企業(yè)辦公正在流行自行選擇IT(CYOIT)模式。SANS研究所的Pescatore說(shuō):“與自帶設(shè)備(BYOD,通常指移動(dòng)設(shè)備)不同,CYOIT自帶的范圍更大,包含了員工用于工作的各種工具(例如軟件、WiFi路由器、存儲(chǔ)、云服務(wù)、智能設(shè)備等等)。”
CYOIT最大的受益者之一是Zoom,由于疫情肆虐,Zoom在企業(yè)應(yīng)用領(lǐng)域大殺四方,迅速超過(guò)了傳統(tǒng)的企業(yè)通訊方案Webex和GoToMeeting。
Pescatore補(bǔ)充說(shuō):“這個(gè)趨勢(shì)對(duì)IT安全性意義重大,對(duì)于BYOD,企業(yè)安全人員主要的擔(dān)心是存儲(chǔ)在設(shè)備上的企業(yè)數(shù)據(jù),因?yàn)锽YOD設(shè)備上沒(méi)有企業(yè)安全堆棧。但盡管BYOD帶來(lái)了問(wèn)題,IT部門(mén)仍然可以控制服務(wù)器端和應(yīng)用程序(白名單)。”
相比BYOD,CYOIT的安全威脅要大得多,因?yàn)橛脩?hù)可以選擇不同的云應(yīng)用程序,例如,網(wǎng)盤(pán)、私人郵箱、視頻會(huì)議APP等。CYOIT給企業(yè)網(wǎng)絡(luò)安全部門(mén)帶來(lái)了更大的壓力,需要將控制的重點(diǎn)從應(yīng)用程序轉(zhuǎn)向數(shù)據(jù)。如果硬件或應(yīng)用程序已經(jīng)失控,就需要對(duì)數(shù)據(jù)進(jìn)行全程管控。
SaaS的攻擊面放大
隨著越來(lái)越多的企業(yè)將工作負(fù)載和數(shù)據(jù)轉(zhuǎn)移到云中以支持遠(yuǎn)程和虛擬勞動(dòng)力,SaaS環(huán)境已成為攻擊者的主要目標(biāo)。AppOmni首席執(zhí)行官兼聯(lián)合創(chuàng)始人布倫丹·奧康納(Brendan O.Connor)說(shuō),IT員工將越來(lái)越多地參與管理其組織的SaaS應(yīng)用程序和云足跡。
他說(shuō),安全管理工具(例如在應(yīng)用程序之間掃描API以自動(dòng)進(jìn)行SaaS配置,以及監(jiān)視用戶(hù)訪問(wèn)、活動(dòng)和環(huán)境變化所需的工具)變得越來(lái)越重要。
奧康納說(shuō):“不幸的是,黑客和不良行為者已經(jīng)注意到云計(jì)算趨勢(shì),并調(diào)整攻擊策略,利用SaaS領(lǐng)域缺乏安全專(zhuān)業(yè)知識(shí)和必要的安全監(jiān)控和防御實(shí)施攻擊行為。”
今年早些時(shí)候AppOmni曾對(duì)200名IT安全專(zhuān)業(yè)人員進(jìn)行了一項(xiàng)調(diào)查,結(jié)果表明,許多IT團(tuán)隊(duì)正在努力跟上新冠疫情帶來(lái)的大規(guī)模運(yùn)營(yíng)變化以及隨之而來(lái)的云采用率的提高。由于疫情牽扯了太多精力和資源,68%的受訪者表示他們管理和保護(hù)SaaS應(yīng)用程序時(shí)間大幅減少了。
疫情成了“零信任”加速器
零信任安全模型(簡(jiǎn)單來(lái)說(shuō)就是不管從企業(yè)網(wǎng)絡(luò)內(nèi)部還是外部,對(duì)企業(yè)數(shù)據(jù)的所有訪問(wèn)請(qǐng)求都需要經(jīng)過(guò)完全的身份驗(yàn)證和審查)今年受到了越來(lái)越多的關(guān)注。尤其是那些尋求解決大規(guī)模遠(yuǎn)程辦公新威脅的企業(yè)IT團(tuán)隊(duì)都不約而同地開(kāi)始轉(zhuǎn)向零信任。
例如,企業(yè)管理協(xié)會(huì)(EMA)在8月進(jìn)行的252位IT專(zhuān)業(yè)人員調(diào)查中,有60%的企業(yè)表示他們的組織已經(jīng)加快了零信任策略部署。40%的受訪者認(rèn)為,提高運(yùn)營(yíng)敏捷性是零信任的主要好處,而35%的人指出,零信任改善了IT治理和風(fēng)險(xiǎn)合規(guī)性。
受訪者提到的其他一些零信任的優(yōu)點(diǎn)包括:防止入侵和遏制、減少攻擊面以及減少未經(jīng)授權(quán)的訪問(wèn),這也是后新冠時(shí)代的共性問(wèn)題。EMA發(fā)現(xiàn),采用正式零信任策略的公司比采用臨時(shí)方法的公司成功的可能性要大得多。具有諷刺意味的是,參與調(diào)查的公司規(guī)模越大,越有可能采用臨時(shí)方法。
微軟在今年早些時(shí)候的博客中說(shuō):“對(duì)于已經(jīng)踏上零信任概念驗(yàn)證旅程的公司,新冠疫情充當(dāng)了加速器,加快了采用的時(shí)間表。”
勒索軟件引發(fā)的管理難題
勒索軟件攻擊迅速增加,攻擊者不但加密數(shù)據(jù)而且還開(kāi)始竊取數(shù)據(jù)并威脅公開(kāi)泄露,而受害者不但面臨應(yīng)用程序和系統(tǒng)停機(jī)的風(fēng)險(xiǎn),而且還面臨敏感數(shù)據(jù)(包括商業(yè)秘密和知識(shí)產(chǎn)權(quán))公開(kāi)泄漏的威脅。
勒索軟件的攻擊手法升級(jí)并不是新事物,但這確實(shí)引發(fā)了一個(gè)新的管理問(wèn)題:企業(yè)的網(wǎng)絡(luò)安全保險(xiǎn)是否會(huì)支付勒索軟件贖金?對(duì)于大多數(shù)人來(lái)說(shuō),沒(méi)有簡(jiǎn)單的答案。
近來(lái),多個(gè)遭受勒索軟件攻擊的大型企業(yè)提起訴訟,包括制藥巨頭默克公司和食品和飲料企業(yè)集團(tuán)Mondalez,這些訴訟凸顯了企業(yè)向網(wǎng)絡(luò)安全保險(xiǎn)公司索賠時(shí)面臨的挑戰(zhàn)。
除了索賠面臨的挑戰(zhàn),企業(yè)支付贖金還將面臨法律風(fēng)險(xiǎn),上個(gè)月初,美國(guó)財(cái)政部外國(guó)資產(chǎn)控制辦公室(OFAC)發(fā)布咨文警告企業(yè)不要向勒索軟件支付贖金,并聲稱(chēng)此舉存在違反政府對(duì)網(wǎng)絡(luò)犯罪集團(tuán)或國(guó)家黑客施加經(jīng)濟(jì)制裁的法律風(fēng)險(xiǎn)。
Digital Shadows戰(zhàn)略副總裁兼CISO里克·霍蘭德(Rick Holland)表示,勒索軟件攻擊者今年如過(guò)江之鯽。在一季度,Digital Shadows僅跟蹤了兩個(gè)勒索軟件團(tuán)伙,而到第四季度,這個(gè)數(shù)字已經(jīng)增長(zhǎng)到17個(gè)。
霍蘭德說(shuō),那些兜售企業(yè)網(wǎng)絡(luò)初始訪問(wèn)權(quán)的“經(jīng)紀(jì)人”的業(yè)務(wù)今年格外紅火:“將勒索軟件價(jià)值鏈的這一組成部分外包,大大提高了勒索軟件運(yùn)營(yíng)的規(guī)模和速度。”
留神非網(wǎng)絡(luò)安全事件對(duì)安全行業(yè)造成重大影響
新冠疫情就是一個(gè)最好的例子,說(shuō)明并非所有對(duì)網(wǎng)絡(luò)安全有重大影響的事件都與安全相關(guān)。疫情導(dǎo)致企業(yè)迅速向遠(yuǎn)程辦公大規(guī)模轉(zhuǎn)移,迫使網(wǎng)絡(luò)安全部門(mén)/行業(yè)進(jìn)行各種變革。
信息安全論壇(ISF)指出:IT和安全領(lǐng)導(dǎo)者必須將精力和注意力重新集中在確保遠(yuǎn)程辦公的安全上,確保供應(yīng)鏈安全,并開(kāi)展量身定制的安全意識(shí)活動(dòng)和培訓(xùn),以應(yīng)對(duì)與疫情相關(guān)的網(wǎng)絡(luò)釣魚(yú)詐騙的突然泛濫。
Vectra的首席技術(shù)官奧利弗·塔瓦科利(Oliver Tavakoli)表示,疫情告訴我們,為什么具有全球影響力的公司需要制定應(yīng)對(duì)全球危機(jī)的計(jì)劃。我們需要應(yīng)對(duì)的不僅僅是區(qū)域性的災(zāi)難,更要對(duì)全球性的突發(fā)事件和影響做好預(yù)案,遠(yuǎn)程辦公常態(tài)化的同時(shí),網(wǎng)絡(luò)安全投資的配置也要為“端點(diǎn)”做出相應(yīng)的調(diào)整。
【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
