简单地称“2020年对企业网络安全团队来说是艰难的一年”似乎太过轻描淡写了一点。
新冠疫情(COVID-19)大流行及其所带来的“居家办公”模式转变可谓完全颠覆了以往的安全战略,迫使许多企业组织重新考虑部署能够确保远程办公和供应链安全的方法。
那些已经实现了对远程工作人员进行管理控制的安全团队,突然间不得不面对此类用户量急速增长所带来的压力。而随着越来越多的用户从家中访问企业系统和数据,攻击面也在急剧增加。日益严峻的风险形势,迫使企业安全团队不得不努力寻求新的控制策略来管理这些威胁。
安全运营团队正忙于解决与通信相关的问题,以及与入侵调查和端点系统可见性相关的挑战。而在安全问题上采取“零信任”态度的企业组织似乎也找到了加速部署步伐的理由。
负担过重的安全运营团队必须找到在新的威胁环境中保持有效性的方法,即便软件即服务(SaaS)和“零信任”计划已经吸引了更多的企业关注和投资。
接下来,根据安全专家们的说法,我们总结了2020年对网络安全从业者的6大经验教训,希望大家可以从中获得启发。
1.安全运营中心(SOC)需要重新校准
新冠疫情(COVID-19)所引发的远程办公模式转变,给早已不堪重负的安全运营中心(SOC)带来了巨大的压力。根据安全公司Exabeam针对1,005名负责管理和运营SOC的网络安全专业人员的调查结果发现,35%的美国受访者认为与其他团队成员的沟通是疫情期间面临的最大挑战;34%的受访者表示难以调查安全事件是一大挑战;30%的受访者表示缺乏对单个网络的可见性是一个问题。在接受调查的美国SOC人员中,近二分之一(47%)的受访者表示在使用新工具(包括SaaS应用程序)时遇到了问题。
SANS研究所的新兴安全趋势主管John Pescatore表示:
“拥有不成熟进程的SOC管理者很快就会意识到,当SOC团队成员不在同一房间时,可能什么工作都做不好。”
展望未来,安全运营小组将需要实现更完善的体系架构,以满足大部分人员处于远程工作状态的混合办公环境需求。
Omdia的分析师Eric Parizo表示,安全信息和事件管理(SIEM)是SOC的一个特别领域,将发生很多变化。新的办公人员分布以及正在进行的数字化转型计划将加速向基于云的SIEMs的过渡。
Parizo解释称:
“作为基于云的SecOps解决方案集的新核心,新一代的SIEM将基于SaaS,提供内置的活动和行为分析,并提供基于固定费用的数据摄入,支持多个公共云,以及传统的内部和网络数据源。”
2.自选IT(Choose-Your-Own-IT,CYOIT)成为一个问题
随着软件即服务(SaaS)的日益普及,其突出趋势之一就是向“自选IT”(CYOIT)模式的悄然转变。SANS研究所的Pescatore表示,与自带设备(BYOD)不同——通常指自己拥有的移动设备——CYOIT涵盖了更广泛的工作工具。
由于新冠疫情的推动作用,Zoom便很好地抓住了CYOIT的发展机遇,超越了传统BYOD模式的局限。过去,企业只能在Webex和GoToMeeting两个传统的企业通讯方案之间进行选择。但是现在,大多数用户都可以用他们(在一周内)使用过的不同网络会议系统来填写表格。
Pescatore补充道,这对IT安全的影响无疑是巨大的。不少公司允许员工用私人设备访问公司网络,但是使用BYOD时,主要的担忧是企业数据可能最终会泄露在设备上,而对于这些设备,企业既没有管理访问权也无法部署安全策略,一旦这些设备遗失或被窃,无疑会对公司带来巨大的风险。不过,尽管BYOD存在一些问题,IT管理者仍然可以控制服务器端从而控制其可以访问的应用程序。
现在,有了CYOIT,用户可以选择不同的基于云的应用程序——例如,通过Gmail或使用Zoom和Webex等工具访问他们的工作邮件。CYOIT对企业组织施加了更大的压力,让他们把更多关注点放在数据上。如果你无法控制硬件或应用程序,那么你必须对数据进行全程管控。
3.SaaS已经成为更大的攻击目标
随着越来越多的企业组织将工作负载和数据转移至云端,以支持远程和虚拟工作,SaaS环境已经成为攻击者的主要目标。AppOmni首席执行官兼联合创始人Brendan O'Connor表示,IT人员将越来越多地参与管理其组织的SaaS应用程序和云足迹。
他说,越来越多的工具——例如扫描应用程序之间的API以实现SaaS配置自动化,以及监控用户访问、活动和环境变化所需的工具——将变得越来越重要。
O'Connor补充道,
“不幸的是,这种向云转变的趋势并没有逃过黑客和恶意行为者的眼睛。随着企业组织前赴后继的向云迁移,攻击者们也正在调整他们的策略,开始利用SaaS领域缺乏安全专业知识和必要的安全监控和防御来实施攻击活动。”
今年早些时候,AppOmni针对200名IT安全专业人士进行了一项调查,结果显示,许多IT团队正在努力跟上新冠疫情所带来的大规模运营变化,以及由此导致的云应用速度加快现象。由于疫情相关变化带来的工作量激增,68%的受访者表示他们用于管理和保护SaaS应用程序时间大幅减少了。
4.“零信任”模型得到大力推动
零信任安全模型——所有对企业数据的访问请求,无论是来自企业网络内部还是外部,都需要经过完全的身份验证和审查——在今年受到了越来越多的关注。那些希望解决突然激增的远程工作者所带来的新威胁的企业IT团队,在很大程度上都开始转向零信任模型。
例如,今年8月份,企业管理协会(EMA)代表Pulse Secure针对252位IT专业人员进行了一项调查,结果显示,其中60%的受访者表示他们的组织已经加快了零信任战略部署。40%的受访者认为,零信任的主要好处是提高了运营灵活性,还有35%的受访者则认为,零信任改善了IT治理和风险合规性。
除此之外,受访者还提到的其他一些零信任的主要好处,包括漏洞防御和遏制,减少攻击面,以及减少未经授权的访问——所有这些都是后疫情时代的重大关注点。EMA发现,采用正式的零信任策略的公司比采用临时策略的公司更有可能获得成功。具有讽刺意味的是,参与调查的公司规模越大,越有可能采用临时策略。
微软公司在今年早些时候的一篇博客中说道:
“对于已经开始零信任之路的公司来说,新冠疫情无疑起到了加速器的作用,进一步加快了零信任模型的部署应用。”
5.勒索软件触发了新的管理难题
勒索软件攻击正在迅速增加,攻击者不但窃取数据还有可能将其公开,这使得今年企业面临的问题变得更为复杂。受害者不但遭遇应用程序和系统被锁的命运,还面临着敏感数据——包括商业秘密和知识产权——被攻击者公开泄漏在相关网站上的威胁。
勒索软件手法升级并不是什么新鲜事,但这确实引发了一个新的管理问题:我们的标准企业保险会支付勒索赎金吗?大多数情况下,这个问题没有一个简单的答案。
最近,多起遭遇重大网络攻击的受害企业提起了诉讼,其中包括制药巨头默克公司(Merck)和食品和饮料企业集团Mondalez。这些诉讼凸显了企业在向其网络安全保险公司索赔时可能面临的挑战。
Digital Shadows战略副总裁兼首席信息安全官Rick Holland表示,今年,威胁行为者成群结队地加入了网络勒索的行列,利用新冠疫情的契机,大肆发动攻击。在第一季度,Digital Shadows仅跟踪了两个有勒索网站的团伙。而到第四季度,这一数字已经增长到了17个。
Holland表示,特别是那些专门入侵企业组织,并将其获得的初步访问权限移交给勒索软件团伙的“代理人”,在勒索攻击“淘金热”的结果下蓬勃发展了起来。将勒索软件价值链的这一部分外包,无疑能够帮助勒索软件运营商大幅提高勒索业务的规模和速度。
6.非网络安全事件同样会对安全性造成很大影响
新冠疫情(COVID-19)大流行就是一个鲜明的例子,表明并非所有对网络安全有重大影响的都是安全相关事件。疫情导致远程工作的快速和大规模迁移,迫使企业信息安全部门进行各种变革。
信息安全论坛(ISF)常务董事Steve Durbin指出,疫情的爆发加速并整合了一些已经在计划中的工作,例如向远程工作和云服务迁移。所以,当前来看,IT和安全领导者必须重新将工作重点放在确保远程工作实践和供应链安全,以及开展专门的安全意识宣传活动和培训等任务上面,以应对与疫情相关的网络钓鱼诈骗的突然爆发。
Vectra公司首席技术官(CTO)Oliver Tavakoli表示,这场疫情给了我们一个教训,告诉我们为什么具有全球业务的公司需要制定一个应对全球危机的计划。
虽然许多国家都有应对区域性灾难的计划,但却很少有国家做好了应对全球性灾难的准备。对此,Tavakoli建议称,
“不管你的最终用户来自哪里,你都需要投资安全技术。要知道当所有人都被打发回家办公时,你在校园周围放置的新网络代理无论再怎么引人注意也都起不了任何作用。”