2020年，在新冠疫情和網絡攻擊的雙重“壓力測試”之下，很多企業的網絡安全運營工作暴露出了新的弱點。面對充滿不確定性的2021，全球的企業網絡安全人士能夠從2020年汲取哪些經驗呢?以下我們整理了多家美國網絡安全企業的調研分析，匯總為六大經驗教訓：

[[350811]]

安全運營中心(SOC)需要重新校準

新冠疫情引發的大規模遠程辦公給本就不堪重負的安全運營中心(SOC)帶來了巨大壓力。安全公司Exabeam對管理和運營SOC的約1,005名網絡安全專業人員的調查中，有35%的受訪美國企業安全人士認為疫情期間的團隊交流是最大挑戰。34%的人報告難以調查安全事件，而30%的人認為缺乏對單個網絡的可見性是一個問題。接受調查的美國SOC人員中，近二分之一(47%)表示新工具(包括SaaS應用程序)存在問題。

SANS研究所新興安全趨勢主管John Pescatore表示：“流程不成熟的SOC的管理者發現，當SOC團隊不在同一房間時，工作沒有任何效率可言。”

展望未來，安全運營小組將需要實施更完善的體系結構，以解決大部分人員處于遠程狀態的混合辦公環境需求。

Omdia的分析師Eric Parizo說：“安全信息和事件管理(SIEM)是SOC的重要引擎，將經歷重大變革。新分配的勞動力和正在進行的數字化轉型計劃將加快SIEM向云端過渡。”

“作為基于云的SecOps解決方案的新核心，下一代SIEM將基于SaaS，提供內置的活動和行為分析，并提供基于固定費用的數據采集，支持多個公共云以及傳統的基于云的服務，內部和網絡數據源。“Parizo說。

CYOIT(自行選擇IT)是個大問題

隨著SaaS的日益普及，以及疫情的推波助瀾，全球企業辦公正在流行自行選擇IT(CYOIT)模式。SANS研究所的Pescatore說：“與自帶設備(BYOD，通常指移動設備)不同，CYOIT自帶的范圍更大，包含了員工用于工作的各種工具(例如軟件、WiFi路由器、存儲、云服務、智能設備等等)。”

CYOIT最大的受益者之一是Zoom，由于疫情肆虐，Zoom在企業應用領域大殺四方，迅速超過了傳統的企業通訊方案Webex和GoToMeeting。

Pescatore補充說：“這個趨勢對IT安全性意義重大，對于BYOD，企業安全人員主要的擔心是存儲在設備上的企業數據，因為BYOD設備上沒有企業安全堆棧。但盡管BYOD帶來了問題，IT部門仍然可以控制服務器端和應用程序(白名單)。”

相比BYOD，CYOIT的安全威脅要大得多，因為用戶可以選擇不同的云應用程序，例如，網盤、私人郵箱、視頻會議APP等。CYOIT給企業網絡安全部門帶來了更大的壓力，需要將控制的重點從應用程序轉向數據。如果硬件或應用程序已經失控，就需要對數據進行全程管控。

SaaS的攻擊面放大

隨著越來越多的企業將工作負載和數據轉移到云中以支持遠程和虛擬勞動力，SaaS環境已成為攻擊者的主要目標。AppOmni首席執行官兼聯合創始人布倫丹·奧康納(Brendan O.Connor)說，IT員工將越來越多地參與管理其組織的SaaS應用程序和云足跡。

他說，安全管理工具(例如在應用程序之間掃描API以自動進行SaaS配置，以及監視用戶訪問、活動和環境變化所需的工具)變得越來越重要。

奧康納說:“不幸的是，黑客和不良行為者已經注意到云計算趨勢，并調整攻擊策略，利用SaaS領域缺乏安全專業知識和必要的安全監控和防御實施攻擊行為。”

今年早些時候AppOmni曾對200名IT安全專業人員進行了一項調查，結果表明，許多IT團隊正在努力跟上新冠疫情帶來的大規模運營變化以及隨之而來的云采用率的提高。由于疫情牽扯了太多精力和資源，68%的受訪者表示他們管理和保護SaaS應用程序時間大幅減少了。

疫情成了“零信任”加速器

零信任安全模型(簡單來說就是不管從企業網絡內部還是外部，對企業數據的所有訪問請求都需要經過完全的身份驗證和審查)今年受到了越來越多的關注。尤其是那些尋求解決大規模遠程辦公新威脅的企業IT團隊都不約而同地開始轉向零信任。

例如，企業管理協會(EMA)在8月進行的252位IT專業人員調查中，有60%的企業表示他們的組織已經加快了零信任策略部署。40%的受訪者認為，提高運營敏捷性是零信任的主要好處，而35%的人指出，零信任改善了IT治理和風險合規性。

受訪者提到的其他一些零信任的優點包括：防止入侵和遏制、減少攻擊面以及減少未經授權的訪問，這也是后新冠時代的共性問題。EMA發現，采用正式零信任策略的公司比采用臨時方法的公司成功的可能性要大得多。具有諷刺意味的是，參與調查的公司規模越大，越有可能采用臨時方法。

微軟在今年早些時候的博客中說:“對于已經踏上零信任概念驗證旅程的公司，新冠疫情充當了加速器，加快了采用的時間表。”

勒索軟件引發的管理難題

勒索軟件攻擊迅速增加，攻擊者不但加密數據而且還開始竊取數據并威脅公開泄露，而受害者不但面臨應用程序和系統停機的風險，而且還面臨敏感數據(包括商業秘密和知識產權)公開泄漏的威脅。

勒索軟件的攻擊手法升級并不是新事物,但這確實引發了一個新的管理問題：企業的網絡安全保險是否會支付勒索軟件贖金?對于大多數人來說，沒有簡單的答案。

近來，多個遭受勒索軟件攻擊的大型企業提起訴訟，包括制藥巨頭默克公司和食品和飲料企業集團Mondalez，這些訴訟凸顯了企業向網絡安全保險公司索賠時面臨的挑戰。

除了索賠面臨的挑戰，企業支付贖金還將面臨法律風險，上個月初，美國財政部外國資產控制辦公室(OFAC)發布咨文警告企業不要向勒索軟件支付贖金，并聲稱此舉存在違反政府對網絡犯罪集團或國家黑客施加經濟制裁的法律風險。

Digital Shadows戰略副總裁兼CISO里克·霍蘭德(Rick Holland)表示，勒索軟件攻擊者今年如過江之鯽。在一季度，Digital Shadows僅跟蹤了兩個勒索軟件團伙，而到第四季度，這個數字已經增長到17個。

霍蘭德說，那些兜售企業網絡初始訪問權的“經紀人”的業務今年格外紅火：“將勒索軟件價值鏈的這一組成部分外包，大大提高了勒索軟件運營的規模和速度。”

留神非網絡安全事件對安全行業造成重大影響

新冠疫情就是一個最好的例子，說明并非所有對網絡安全有重大影響的事件都與安全相關。疫情導致企業迅速向遠程辦公大規模轉移，迫使網絡安全部門/行業進行各種變革。

信息安全論壇(ISF)指出：IT和安全領導者必須將精力和注意力重新集中在確保遠程辦公的安全上，確保供應鏈安全，并開展量身定制的安全意識活動和培訓，以應對與疫情相關的網絡釣魚詐騙的突然泛濫。

Vectra的首席技術官奧利弗·塔瓦科利(Oliver Tavakoli)表示，疫情告訴我們，為什么具有全球影響力的公司需要制定應對全球危機的計劃。我們需要應對的不僅僅是區域性的災難，更要對全球性的突發事件和影響做好預案，遠程辦公常態化的同時，網絡安全投資的配置也要為“端點”做出相應的調整。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文