總結與展望:2020年的網絡安全經驗教訓
簡單地稱“2020年對企業網絡安全團隊來說是艱難的一年”似乎太過輕描淡寫了一點。
新冠疫情(COVID-19)大流行及其所帶來的“居家辦公”模式轉變可謂完全顛覆了以往的安全戰略,迫使許多企業組織重新考慮部署能夠確保遠程辦公和供應鏈安全的方法。
那些已經實現了對遠程工作人員進行管理控制的安全團隊,突然間不得不面對此類用戶量急速增長所帶來的壓力。而隨著越來越多的用戶從家中訪問企業系統和數據,攻擊面也在急劇增加。日益嚴峻的風險形勢,迫使企業安全團隊不得不努力尋求新的控制策略來管理這些威脅。
安全運營團隊正忙于解決與通信相關的問題,以及與入侵調查和端點系統可見性相關的挑戰。而在安全問題上采取“零信任”態度的企業組織似乎也找到了加速部署步伐的理由。
負擔過重的安全運營團隊必須找到在新的威脅環境中保持有效性的方法,即便軟件即服務(SaaS)和“零信任”計劃已經吸引了更多的企業關注和投資。
接下來,根據安全專家們的說法,我們總結了2020年對網絡安全從業者的6大經驗教訓,希望大家可以從中獲得啟發。
1. 安全運營中心(SOC)需要重新校準
新冠疫情(COVID-19)所引發的遠程辦公模式轉變,給早已不堪重負的安全運營中心(SOC)帶來了巨大的壓力。根據安全公司Exabeam針對1,005名負責管理和運營SOC的網絡安全專業人員的調查結果發現,35%的美國受訪者認為與其他團隊成員的溝通是疫情期間面臨的最大挑戰;34%的受訪者表示難以調查安全事件是一大挑戰;30%的受訪者表示缺乏對單個網絡的可見性是一個問題。在接受調查的美國SOC人員中,近二分之一(47%)的受訪者表示在使用新工具(包括SaaS應用程序)時遇到了問題。
SANS研究所的新興安全趨勢主管John Pescatore表示:
“擁有不成熟進程的SOC管理者很快就會意識到,當SOC團隊成員不在同一房間時,可能什么工作都做不好。”
展望未來,安全運營小組將需要實現更完善的體系架構,以滿足大部分人員處于遠程工作狀態的混合辦公環境需求。
Omdia的分析師Eric Parizo表示,安全信息和事件管理(SIEM)是SOC的一個特別領域,將發生很多變化。新的辦公人員分布以及正在進行的數字化轉型計劃將加速向基于云的SIEMs的過渡。
Parizo解釋稱:
“作為基于云的SecOps解決方案集的新核心,新一代的SIEM將基于SaaS,提供內置的活動和行為分析,并提供基于固定費用的數據攝入,支持多個公共云,以及傳統的內部和網絡數據源。”
2. 自選IT(Choose-Your-Own-IT,CYOIT)成為一個問題
隨著軟件即服務(SaaS)的日益普及,其突出趨勢之一就是向“自選IT”(CYOIT)模式的悄然轉變。SANS研究所的Pescatore表示,與自帶設備(BYOD)不同——通常指自己擁有的移動設備——CYOIT涵蓋了更廣泛的工作工具。
由于新冠疫情的推動作用,Zoom便很好地抓住了CYOIT的發展機遇,超越了傳統BYOD模式的局限。過去,企業只能在Webex和GoToMeeting兩個傳統的企業通訊方案之間進行選擇。但是現在,大多數用戶都可以用他們(在一周內)使用過的不同網絡會議系統來填寫表格。
Pescatore補充道,這對IT安全的影響無疑是巨大的。不少公司允許員工用私人設備訪問公司網絡,但是使用BYOD時,主要的擔憂是企業數據可能最終會泄露在設備上,而對于這些設備,企業既沒有管理訪問權也無法部署安全策略,一旦這些設備遺失或被竊,無疑會對公司帶來巨大的風險。不過,盡管BYOD存在一些問題,IT管理者仍然可以控制服務器端從而控制其可以訪問的應用程序。
現在,有了CYOIT,用戶可以選擇不同的基于云的應用程序——例如,通過Gmail或使用Zoom和Webex等工具訪問他們的工作郵件。CYOIT對企業組織施加了更大的壓力,讓他們把更多關注點放在數據上。如果你無法控制硬件或應用程序,那么你必須對數據進行全程管控。
3. SaaS已經成為更大的攻擊目標
隨著越來越多的企業組織將工作負載和數據轉移至云端,以支持遠程和虛擬工作,SaaS環境已經成為攻擊者的主要目標。AppOmni首席執行官兼聯合創始人Brendan O'Connor表示,IT人員將越來越多地參與管理其組織的SaaS應用程序和云足跡。
他說,越來越多的工具——例如掃描應用程序之間的API以實現SaaS配置自動化,以及監控用戶訪問、活動和環境變化所需的工具——將變得越來越重要。
O'Connor補充道,
“不幸的是,這種向云轉變的趨勢并沒有逃過黑客和惡意行為者的眼睛。隨著企業組織前赴后繼的向云遷移,攻擊者們也正在調整他們的策略,開始利用SaaS領域缺乏安全專業知識和必要的安全監控和防御來實施攻擊活動。”
今年早些時候,AppOmni針對200名IT安全專業人士進行了一項調查,結果顯示,許多IT團隊正在努力跟上新冠疫情所帶來的大規模運營變化,以及由此導致的云應用速度加快現象。由于疫情相關變化帶來的工作量激增,68%的受訪者表示他們用于管理和保護SaaS應用程序時間大幅減少了。
4. “零信任”模型得到大力推動
零信任安全模型——所有對企業數據的訪問請求,無論是來自企業網絡內部還是外部,都需要經過完全的身份驗證和審查——在今年受到了越來越多的關注。那些希望解決突然激增的遠程工作者所帶來的新威脅的企業IT團隊,在很大程度上都開始轉向零信任模型。
例如,今年8月份,企業管理協會(EMA)代表Pulse Secure針對252位IT專業人員進行了一項調查,結果顯示,其中60%的受訪者表示他們的組織已經加快了零信任戰略部署。40%的受訪者認為,零信任的主要好處是提高了運營靈活性,還有35%的受訪者則認為,零信任改善了IT治理和風險合規性。
除此之外,受訪者還提到的其他一些零信任的主要好處,包括漏洞防御和遏制,減少攻擊面,以及減少未經授權的訪問——所有這些都是后疫情時代的重大關注點。EMA發現,采用正式的零信任策略的公司比采用臨時策略的公司更有可能獲得成功。具有諷刺意味的是,參與調查的公司規模越大,越有可能采用臨時策略。
微軟公司在今年早些時候的一篇博客中說道:
“對于已經開始零信任之路的公司來說,新冠疫情無疑起到了加速器的作用,進一步加快了零信任模型的部署應用。”
5. 勒索軟件觸發了新的管理難題
勒索軟件攻擊正在迅速增加,攻擊者不但竊取數據還有可能將其公開,這使得今年企業面臨的問題變得更為復雜。受害者不但遭遇應用程序和系統被鎖的命運,還面臨著敏感數據——包括商業秘密和知識產權——被攻擊者公開泄漏在相關網站上的威脅。
勒索軟件手法升級并不是什么新鮮事,但這確實引發了一個新的管理問題:我們的標準企業保險會支付勒索贖金嗎?大多數情況下,這個問題沒有一個簡單的答案。
最近,多起遭遇重大網絡攻擊的受害企業提起了訴訟,其中包括制藥巨頭默克公司(Merck)和食品和飲料企業集團Mondalez。這些訴訟凸顯了企業在向其網絡安全保險公司索賠時可能面臨的挑戰。
Digital Shadows戰略副總裁兼首席信息安全官Rick Holland表示,今年,威脅行為者成群結隊地加入了網絡勒索的行列,利用新冠疫情的契機,大肆發動攻擊。在第一季度,Digital Shadows僅跟蹤了兩個有勒索網站的團伙。而到第四季度,這一數字已經增長到了17個。
Holland表示,特別是那些專門入侵企業組織,并將其獲得的初步訪問權限移交給勒索軟件團伙的“代理人”,在勒索攻擊“淘金熱”的結果下蓬勃發展了起來。將勒索軟件價值鏈的這一部分外包,無疑能夠幫助勒索軟件運營商大幅提高勒索業務的規模和速度。
6. 非網絡安全事件同樣會對安全性造成很大影響
新冠疫情(COVID-19)大流行就是一個鮮明的例子,表明并非所有對網絡安全有重大影響的都是安全相關事件。疫情導致遠程工作的快速和大規模遷移,迫使企業信息安全部門進行各種變革。
信息安全論壇(ISF)常務董事Steve Durbin指出,疫情的爆發加速并整合了一些已經在計劃中的工作,例如向遠程工作和云服務遷移。所以,當前來看,IT和安全領導者必須重新將工作重點放在確保遠程工作實踐和供應鏈安全,以及開展專門的安全意識宣傳活動和培訓等任務上面,以應對與疫情相關的網絡釣魚詐騙的突然爆發。
Vectra公司首席技術官(CTO)Oliver Tavakoli表示,這場疫情給了我們一個教訓,告訴我們為什么具有全球業務的公司需要制定一個應對全球危機的計劃。
雖然許多國家都有應對區域性災難的計劃,但卻很少有國家做好了應對全球性災難的準備。對此,Tavakoli建議稱,
“不管你的最終用戶來自哪里,你都需要投資安全技術。要知道當所有人都被打發回家辦公時,你在校園周圍放置的新網絡代理無論再怎么引人注意也都起不了任何作用。”
本文翻譯自:https://www.darkreading.com/attacks-breaches/6-cybersecurity-lessons-from-2020/
