簡(jiǎn)單地稱“2020年對(duì)企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)來(lái)說(shuō)是艱難的一年”似乎太過(guò)輕描淡寫(xiě)了一點(diǎn)。
新冠疫情(COVID-19)大流行及其所帶來(lái)的“居家辦公”模式轉(zhuǎn)變可謂完全顛覆了以往的安全戰(zhàn)略,迫使許多企業(yè)組織重新考慮部署能夠確保遠(yuǎn)程辦公和供應(yīng)鏈安全的方法。
那些已經(jīng)實(shí)現(xiàn)了對(duì)遠(yuǎn)程工作人員進(jìn)行管理控制的安全團(tuán)隊(duì),突然間不得不面對(duì)此類(lèi)用戶量急速增長(zhǎng)所帶來(lái)的壓力。而隨著越來(lái)越多的用戶從家中訪問(wèn)企業(yè)系統(tǒng)和數(shù)據(jù),攻擊面也在急劇增加。日益嚴(yán)峻的風(fēng)險(xiǎn)形勢(shì),迫使企業(yè)安全團(tuán)隊(duì)不得不努力尋求新的控制策略來(lái)管理這些威脅。
安全運(yùn)營(yíng)團(tuán)隊(duì)正忙于解決與通信相關(guān)的問(wèn)題,以及與入侵調(diào)查和端點(diǎn)系統(tǒng)可見(jiàn)性相關(guān)的挑戰(zhàn)。而在安全問(wèn)題上采取“零信任”態(tài)度的企業(yè)組織似乎也找到了加速部署步伐的理由。
負(fù)擔(dān)過(guò)重的安全運(yùn)營(yíng)團(tuán)隊(duì)必須找到在新的威脅環(huán)境中保持有效性的方法,即便軟件即服務(wù)(SaaS)和“零信任”計(jì)劃已經(jīng)吸引了更多的企業(yè)關(guān)注和投資。
接下來(lái),根據(jù)安全專(zhuān)家們的說(shuō)法,我們總結(jié)了2020年對(duì)網(wǎng)絡(luò)安全從業(yè)者的6大經(jīng)驗(yàn)教訓(xùn),希望大家可以從中獲得啟發(fā)。
1. 安全運(yùn)營(yíng)中心(SOC)需要重新校準(zhǔn)
新冠疫情(COVID-19)所引發(fā)的遠(yuǎn)程辦公模式轉(zhuǎn)變,給早已不堪重負(fù)的安全運(yùn)營(yíng)中心(SOC)帶來(lái)了巨大的壓力。根據(jù)安全公司Exabeam針對(duì)1,005名負(fù)責(zé)管理和運(yùn)營(yíng)SOC的網(wǎng)絡(luò)安全專(zhuān)業(yè)人員的調(diào)查結(jié)果發(fā)現(xiàn),35%的美國(guó)受訪者認(rèn)為與其他團(tuán)隊(duì)成員的溝通是疫情期間面臨的最大挑戰(zhàn);34%的受訪者表示難以調(diào)查安全事件是一大挑戰(zhàn);30%的受訪者表示缺乏對(duì)單個(gè)網(wǎng)絡(luò)的可見(jiàn)性是一個(gè)問(wèn)題。在接受調(diào)查的美國(guó)SOC人員中,近二分之一(47%)的受訪者表示在使用新工具(包括SaaS應(yīng)用程序)時(shí)遇到了問(wèn)題。
SANS研究所的新興安全趨勢(shì)主管John Pescatore表示:
“擁有不成熟進(jìn)程的SOC管理者很快就會(huì)意識(shí)到,當(dāng)SOC團(tuán)隊(duì)成員不在同一房間時(shí),可能什么工作都做不好?!?/p>
展望未來(lái),安全運(yùn)營(yíng)小組將需要實(shí)現(xiàn)更完善的體系架構(gòu),以滿足大部分人員處于遠(yuǎn)程工作狀態(tài)的混合辦公環(huán)境需求。
Omdia的分析師Eric Parizo表示,安全信息和事件管理(SIEM)是SOC的一個(gè)特別領(lǐng)域,將發(fā)生很多變化。新的辦公人員分布以及正在進(jìn)行的數(shù)字化轉(zhuǎn)型計(jì)劃將加速向基于云的SIEMs的過(guò)渡。
Parizo解釋稱:
“作為基于云的SecOps解決方案集的新核心,新一代的SIEM將基于SaaS,提供內(nèi)置的活動(dòng)和行為分析,并提供基于固定費(fèi)用的數(shù)據(jù)攝入,支持多個(gè)公共云,以及傳統(tǒng)的內(nèi)部和網(wǎng)絡(luò)數(shù)據(jù)源。”
2. 自選IT(Choose-Your-Own-IT,CYOIT)成為一個(gè)問(wèn)題
隨著軟件即服務(wù)(SaaS)的日益普及,其突出趨勢(shì)之一就是向“自選IT”(CYOIT)模式的悄然轉(zhuǎn)變。SANS研究所的Pescatore表示,與自帶設(shè)備(BYOD)不同——通常指自己擁有的移動(dòng)設(shè)備——CYOIT涵蓋了更廣泛的工作工具。
由于新冠疫情的推動(dòng)作用,Zoom便很好地抓住了CYOIT的發(fā)展機(jī)遇,超越了傳統(tǒng)BYOD模式的局限。過(guò)去,企業(yè)只能在Webex和GoToMeeting兩個(gè)傳統(tǒng)的企業(yè)通訊方案之間進(jìn)行選擇。但是現(xiàn)在,大多數(shù)用戶都可以用他們(在一周內(nèi))使用過(guò)的不同網(wǎng)絡(luò)會(huì)議系統(tǒng)來(lái)填寫(xiě)表格。
Pescatore補(bǔ)充道,這對(duì)IT安全的影響無(wú)疑是巨大的。不少公司允許員工用私人設(shè)備訪問(wèn)公司網(wǎng)絡(luò),但是使用BYOD時(shí),主要的擔(dān)憂是企業(yè)數(shù)據(jù)可能最終會(huì)泄露在設(shè)備上,而對(duì)于這些設(shè)備,企業(yè)既沒(méi)有管理訪問(wèn)權(quán)也無(wú)法部署安全策略,一旦這些設(shè)備遺失或被竊,無(wú)疑會(huì)對(duì)公司帶來(lái)巨大的風(fēng)險(xiǎn)。不過(guò),盡管BYOD存在一些問(wèn)題,IT管理者仍然可以控制服務(wù)器端從而控制其可以訪問(wèn)的應(yīng)用程序。
現(xiàn)在,有了CYOIT,用戶可以選擇不同的基于云的應(yīng)用程序——例如,通過(guò)Gmail或使用Zoom和Webex等工具訪問(wèn)他們的工作郵件。CYOIT對(duì)企業(yè)組織施加了更大的壓力,讓他們把更多關(guān)注點(diǎn)放在數(shù)據(jù)上。如果你無(wú)法控制硬件或應(yīng)用程序,那么你必須對(duì)數(shù)據(jù)進(jìn)行全程管控。
3. SaaS已經(jīng)成為更大的攻擊目標(biāo)
隨著越來(lái)越多的企業(yè)組織將工作負(fù)載和數(shù)據(jù)轉(zhuǎn)移至云端,以支持遠(yuǎn)程和虛擬工作,SaaS環(huán)境已經(jīng)成為攻擊者的主要目標(biāo)。AppOmni首席執(zhí)行官兼聯(lián)合創(chuàng)始人Brendan O'Connor表示,IT人員將越來(lái)越多地參與管理其組織的SaaS應(yīng)用程序和云足跡。
他說(shuō),越來(lái)越多的工具——例如掃描應(yīng)用程序之間的API以實(shí)現(xiàn)SaaS配置自動(dòng)化,以及監(jiān)控用戶訪問(wèn)、活動(dòng)和環(huán)境變化所需的工具——將變得越來(lái)越重要。
O'Connor補(bǔ)充道,“不幸的是,這種向云轉(zhuǎn)變的趨勢(shì)并沒(méi)有逃過(guò)黑客和惡意行為者的眼睛。隨著企業(yè)組織前赴后繼的向云遷移,攻擊者們也正在調(diào)整他們的策略,開(kāi)始利用SaaS領(lǐng)域缺乏安全專(zhuān)業(yè)知識(shí)和必要的安全監(jiān)控和防御來(lái)實(shí)施攻擊活動(dòng)?!?/span>
今年早些時(shí)候,AppOmni針對(duì)200名IT安全專(zhuān)業(yè)人士進(jìn)行了一項(xiàng)調(diào)查,結(jié)果顯示,許多IT團(tuán)隊(duì)正在努力跟上新冠疫情所帶來(lái)的大規(guī)模運(yùn)營(yíng)變化,以及由此導(dǎo)致的云應(yīng)用速度加快現(xiàn)象。由于疫情相關(guān)變化帶來(lái)的工作量激增,68%的受訪者表示他們用于管理和保護(hù)SaaS應(yīng)用程序時(shí)間大幅減少了。
4. “零信任”模型得到大力推動(dòng)
零信任安全模型——所有對(duì)企業(yè)數(shù)據(jù)的訪問(wèn)請(qǐng)求,無(wú)論是來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi)部還是外部,都需要經(jīng)過(guò)完全的身份驗(yàn)證和審查——在今年受到了越來(lái)越多的關(guān)注。那些希望解決突然激增的遠(yuǎn)程工作者所帶來(lái)的新威脅的企業(yè)IT團(tuán)隊(duì),在很大程度上都開(kāi)始轉(zhuǎn)向零信任模型。
例如,今年8月份,企業(yè)管理協(xié)會(huì)(EMA)代表Pulse Secure針對(duì)252位IT專(zhuān)業(yè)人員進(jìn)行了一項(xiàng)調(diào)查,結(jié)果顯示,其中60%的受訪者表示他們的組織已經(jīng)加快了零信任戰(zhàn)略部署。40%的受訪者認(rèn)為,零信任的主要好處是提高了運(yùn)營(yíng)靈活性,還有35%的受訪者則認(rèn)為,零信任改善了IT治理和風(fēng)險(xiǎn)合規(guī)性。
除此之外,受訪者還提到的其他一些零信任的主要好處,包括漏洞防御和遏制,減少攻擊面,以及減少未經(jīng)授權(quán)的訪問(wèn)——所有這些都是后疫情時(shí)代的重大關(guān)注點(diǎn)。EMA發(fā)現(xiàn),采用正式的零信任策略的公司比采用臨時(shí)策略的公司更有可能獲得成功。具有諷刺意味的是,參與調(diào)查的公司規(guī)模越大,越有可能采用臨時(shí)策略。
微軟公司在今年早些時(shí)候的一篇博客中說(shuō)道:
“對(duì)于已經(jīng)開(kāi)始零信任之路的公司來(lái)說(shuō),新冠疫情無(wú)疑起到了加速器的作用,進(jìn)一步加快了零信任模型的部署應(yīng)用。”
5. 勒索軟件觸發(fā)了新的管理難題
勒索軟件攻擊正在迅速增加,攻擊者不但竊取數(shù)據(jù)還有可能將其公開(kāi),這使得今年企業(yè)面臨的問(wèn)題變得更為復(fù)雜。受害者不但遭遇應(yīng)用程序和系統(tǒng)被鎖的命運(yùn),還面臨著敏感數(shù)據(jù)——包括商業(yè)秘密和知識(shí)產(chǎn)權(quán)——被攻擊者公開(kāi)泄漏在相關(guān)網(wǎng)站上的威脅。
勒索軟件手法升級(jí)并不是什么新鮮事,但這確實(shí)引發(fā)了一個(gè)新的管理問(wèn)題:我們的標(biāo)準(zhǔn)企業(yè)保險(xiǎn)會(huì)支付勒索贖金嗎?大多數(shù)情況下,這個(gè)問(wèn)題沒(méi)有一個(gè)簡(jiǎn)單的答案。
最近,多起遭遇重大網(wǎng)絡(luò)攻擊的受害企業(yè)提起了訴訟,其中包括制藥巨頭默克公司(Merck)和食品和飲料企業(yè)集團(tuán)Mondalez。這些訴訟凸顯了企業(yè)在向其網(wǎng)絡(luò)安全保險(xiǎn)公司索賠時(shí)可能面臨的挑戰(zhàn)。
Digital Shadows戰(zhàn)略副總裁兼首席信息安全官Rick Holland表示,今年,威脅行為者成群結(jié)隊(duì)地加入了網(wǎng)絡(luò)勒索的行列,利用新冠疫情的契機(jī),大肆發(fā)動(dòng)攻擊。在第一季度,Digital Shadows僅跟蹤了兩個(gè)有勒索網(wǎng)站的團(tuán)伙。而到第四季度,這一數(shù)字已經(jīng)增長(zhǎng)到了17個(gè)。
Holland表示,特別是那些專(zhuān)門(mén)入侵企業(yè)組織,并將其獲得的初步訪問(wèn)權(quán)限移交給勒索軟件團(tuán)伙的“代理人”,在勒索攻擊“淘金熱”的結(jié)果下蓬勃發(fā)展了起來(lái)。將勒索軟件價(jià)值鏈的這一部分外包,無(wú)疑能夠幫助勒索軟件運(yùn)營(yíng)商大幅提高勒索業(yè)務(wù)的規(guī)模和速度。
6. 非網(wǎng)絡(luò)安全事件同樣會(huì)對(duì)安全性造成很大影響
新冠疫情(COVID-19)大流行就是一個(gè)鮮明的例子,表明并非所有對(duì)網(wǎng)絡(luò)安全有重大影響的都是安全相關(guān)事件。疫情導(dǎo)致遠(yuǎn)程工作的快速和大規(guī)模遷移,迫使企業(yè)信息安全部門(mén)進(jìn)行各種變革。
信息安全論壇(ISF)常務(wù)董事Steve Durbin指出,疫情的爆發(fā)加速并整合了一些已經(jīng)在計(jì)劃中的工作,例如向遠(yuǎn)程工作和云服務(wù)遷移。所以,當(dāng)前來(lái)看,IT和安全領(lǐng)導(dǎo)者必須重新將工作重點(diǎn)放在確保遠(yuǎn)程工作實(shí)踐和供應(yīng)鏈安全,以及開(kāi)展專(zhuān)門(mén)的安全意識(shí)宣傳活動(dòng)和培訓(xùn)等任務(wù)上面,以應(yīng)對(duì)與疫情相關(guān)的網(wǎng)絡(luò)釣魚(yú)詐騙的突然爆發(fā)。
Vectra公司首席技術(shù)官(CTO)Oliver Tavakoli表示,這場(chǎng)疫情給了我們一個(gè)教訓(xùn),告訴我們?yōu)槭裁淳哂腥驑I(yè)務(wù)的公司需要制定一個(gè)應(yīng)對(duì)全球危機(jī)的計(jì)劃。
雖然許多國(guó)家都有應(yīng)對(duì)區(qū)域性災(zāi)難的計(jì)劃,但卻很少有國(guó)家做好了應(yīng)對(duì)全球性災(zāi)難的準(zhǔn)備。對(duì)此,Tavakoli建議稱,“不管你的最終用戶來(lái)自哪里,你都需要投資安全技術(shù)。要知道當(dāng)所有人都被打發(fā)回家辦公時(shí),你在校園周?chē)胖玫男戮W(wǎng)絡(luò)代理無(wú)論再怎么引人注意也都起不了任何作用?!?/p>
參考及來(lái)源:https://www.darkreading.com/attacks-breaches/6-cybersecurity-lessons-from-2020/ 嘶吼專(zhuān)業(yè)版