简单地说“2020年对企业网络安全团队来说是艰难的一年”似乎有点轻描淡写。COVID-19大流行及其带来的向“在家工作”范式的转变完全颠覆了以前的安全策略,迫使许多组织重新考虑他们部署远程工作和供应链安全的方法。已经对远程工作人员实施管理控制的安全团队突然被迫面对此类用户数量激增的压力。随着越来越多的用户从家里访问公司系统和数据,攻击面急剧增加。不断增长的风险形势迫使企业安全团队努力制定新的控制策略来管理这些威胁。安全运营团队正忙于解决与通信相关的问题,以及与入侵调查和端点系统可见性相关的挑战。采取“零信任”安全方法的组织似乎正在寻找加速部署的理由。即使软件即服务(SaaS)和“零信任”计划吸引了更多企业的关注和投资,负担过重的安全运营团队必须找到在新的威胁环境中保持有效的方法。接下来,根据安全专家的说法,我们为2020年的网络安全从业者总结了6条教训,希望大家能够从中得到启发。1.安全运营中心(SOC)需要重新校准COVID-19引发的向远程办公的转变给已经不堪重负的安全运营中心(SOC)带来了巨大压力。根据安全公司Exabeam对1,005名负责管理和运营SOC的网络安全专业人员的调查,35%的美国受访者认为与其他团队成员的沟通是他们在疫情期间面临的最大挑战;34%的受访者认为难以调查安全事件是一项挑战;30%的受访者认为缺乏对个人网络的可见性是一个问题。在接受调查的美国SOC人员中,近一半(47%)表示他们在使用新工具(包括SaaS应用程序)时遇到困难。SANSInstitute新兴安全趋势主管JohnPescatore表示:“流程不成熟的SOC管理者会很快意识到,当SOC团队成员不在同一个房间时,任何工作都可能无法做好。”展望未来,安全运营团队将需要实施更复杂的架构,以满足大多数员工远程工作的混合办公环境的需求。Omdia分析师EricParizo表示,安全信息和事件管理(SIEM)是SOC的一个特定领域,将会看到很多变化。新的办公室劳动力分布和正在进行的数字化转型计划将加速向基于云的SIEM的过渡。Parizo解释说:“作为基于云的SecOps解决方案集的新核心,新一代SIEM将基于SaaS,提供内置的活动和行为分析,并提供基于固定费用的数据摄取,支持多个公有云,以及传统的内部和网络数据源。”2.选择你自己的IT(CYOIT)成为一个问题随着软件即服务(SaaS)的日益普及,一个突出的趋势是“选择你自己的IT”(CYOIT)模式的趋势悄然改变。根据SANSInstitute的Pescatore的说法,与通常指您自己拥有的移动设备的自带设备(BYOD)不同,CYOIT涵盖了更广泛的工作工具。由于新冠疫情的推动,Zoom抓住了CYOIT的发展机遇,超越了传统BYOD模式的局限。过去,企业只能在Webex和GoToMeeting两种传统的企业通信解决方案中进行选择。但现在,大多数用户可以使用他们使用过的不同网络会议系统填写表格(一周内)。Pescatore补充说,这对IT安全的影响无疑是巨大的。许多公司允许员工使用私人设备访问公司网络,但在使用BYOD时,主要担心的是公司数据最终可能会存储在企业既没有管理权限也没有能力部署安全策略的设备上。设备丢失或被盗无疑会给公司带来巨大风险。然而,尽管BYOD存在问题,IT经理仍然可以控制服务器端,从而控制它可以访问的应用程序。现在,借助CYOIT,用户可以从不同的基于云的应用程序中进行选择——访问他们的工作电子邮件,例如,通过Gmail或使用Zoom和Webex等工具。CYOIT给组织施加了更大的压力,要求他们更多地关注数据。如果您不控制硬件或应用程序,那么您必须完全控制数据。3、SaaS成为更大的攻击目标。随着越来越多的企业组织将工作负载和数据转移到云端以支持远程和虚拟工作,SaaS环境已成为攻击者的主要目标。AppOmni首席执行官兼联合创始人BrendanO'Connor表示,IT员工将越来越多地参与管理其组织的SaaS应用程序和云足迹。他说,越来越多的工具——例如扫描应用程序之间的API以自动化SaaS供应以及监控用户访问、活动和环境变化所需的工具——将变得越来越重要。O'Connor补充说,“不幸的是,这种向云的转变并没有被黑客和恶意行为者忽视。随着组织陆续迁移到云,攻击者正在调整他们的策略。开始利用缺乏安全专业知识和必要的安全措施在SaaS空间中进行监控和防御以开展活动。”今年早些时候,AppOmni对200名IT安全专业人士进行了一项调查,显示许多IT团队都在努力跟上新冠疫情带来的大规模运营变化以及由此带来的云采用加速。由于激增在与疫情相关的变化带来的工作量方面,68%的受访者表示,他们花在管理和保护SaaS应用程序上的时间显着减少。4.“零信任”模型获得巨大提升零信任安全模型——其中所有对公司数据的访问请求,无论是来自公司网络内部还是外部,都经过充分的身份验证和审查——今年受到了越来越多的关注。更多关注。企业IT团队希望解决远程工作人员突然激增带来的新威胁。在很大程度上转向零信任模型。例如,在8月份由企业管理协会(EMA)对252名IT专业人员进行的调查中一半的PulseSecure,60%的受访者表示他们的组织已经加快了他们的零信任战略。40%的受访者认为零信任的主要好处是提高了运营敏捷性,而35%的受访者认为零信任改善了IT治理和风险合规性。除此之外,受访者还列举了零信任的其他一些主要好处,包括漏洞预防和遏制、减少攻击面以及减少未经授权的访问——所有这些都是大流行后世界的重大担忧。EMA发现,采用正式零信任战略的公司比采用临时战略的公司更有可能取得成功。具有讽刺意味的是,参与调查的公司规模越大,他们就越有可能采用临时策略。在今年早些时候的一篇博文中,微软表示:“对于已经踏上零信任之旅的企业来说,新冠疫情无疑起到了加速器的作用,进一步加速了零信任模式的部署和应用。”5.勒索软件引发新的管理挑战今年企业面临的问题因勒索软件攻击的迅速增加而变得更加复杂,攻击者不仅窃取数据,还可能将其公开。受害者不仅面临被锁定的应用程序和系统的命运,还面临敏感数据(包括商业秘密和知识产权)被攻击者在相关网站上公开泄露的威胁。不断升级的勒索软件策略并不是什么新鲜事,但它确实引发了一个新的管理问题:我们的标准商业保险会支付赎金吗?在大多数情况下,这个问题没有简单的答案。重大网络攻击的受害者最近提起了许多诉讼,其中包括制药巨头默克公司和食品饮料集团Mondalez。这些诉讼凸显了公司在向其网络安全保险公司寻求索赔时可能面临的挑战。DigitalShadows战略副总裁兼首席信息安全官RickHolland表示,今年以来,威胁行为者纷纷加入网络勒索行列,以新冠疫情为契机,大规模发动攻击。在第一季度,DigitalShadows仅追踪到两个有勒索网站的团伙。到第四季度,这个数字已经增长到17个。特别是,由于勒索软件攻击的“淘金热”,专门从事黑客组织并将他们获得的初始访问权移交给勒索软件团伙的“代理人”蓬勃发展,荷兰说。将勒索软件价值链的这一部分外包无疑将帮助勒索软件运营商显着提高其勒索软件操作的规模和速度。6.非网络安全事件也可能对安全产生重大影响COVID-19大流行就是一个鲜明的例子,表明并非所有对网络安全产生重大影响的事件都与安全相关。疫情引发的远程办公快速大规模迁移,倒逼企业信息安全部门进行各种变革。信息安全论坛(ISF)常务董事史蒂夫德宾指出,疫情加速并巩固了一些已经计划好的努力,例如转向远程工作和云服务。因此,目前,IT和安全领导者必须重新将工作重点放在确保远程工作实践和供应链的安全上,并开展专门的安全意识活动和培训,以应对与流行病相关的网络钓鱼诈骗的突然爆发。Vectra首席技术官(CTO)奥利弗·塔瓦科利(OliverTavakoli)表示,此次疫情给我们上了一课,让我们明白为什么拥有全球业务的公司需要制定应对全球危机的计划。虽然许多国家都有应对区域性灾难的计划,但很少有人准备好应对全球性灾难。对此,Tavakoli建议,“无论你的最终用户来自哪里,你都需要投资安全技术。要知道,当每个人都被送回家工作时,无论你在校园周围放置的新网络代理多么有吸引力,都无法引起人们的注意。做任何事情。”本文翻译自:https://www.darkreading.com/attacks-breaches/6-cybersecurity-lessons-from-2020/
