1.依靠操作系统供应商可以完全防止他们自己的网络安全漏洞可以保护所有Microsoft端点。谁是网络安全领域最大的安全供应商?想必你会想到Windows,因为它既是操作系统供应商,又是其安全软件供应商,微软的安全系统也被称为“MicrosoftDefender”、“WindowsDefender”和现在的“WindowsSecurity”。2021年,微软系统的漏洞数量达到历史最高峰。例如,攻击者疯狂利用MicrosoftExchangeServer中的ProxyLogon、ProxyShell等漏洞。接下来是PrintNightmare,接着是HiveNightmare。MicrosoftDefender几乎没有阻止任何来自Hafnium和Conti组织利用此类漏洞的勒索软件攻击,他们已经在Defender中使用了12年多。最近的历史表明,不可能依靠操作系统供应商来防止他们自己的网络安全漏洞。2.Mac是安全的,没有被黑客攻击的机会与微软不同,苹果不出售安全软件来保护其产品,但它仍然凭借封闭系统的优势积极宣传其安全性,并将其作为其中之一Mac相对于其他硬件的独特卖点。事实上,苹果产品和其他产品一样,需要第三方安全管理。比如最近肆虐的Log4j漏洞,包括Apple、Amazon、CloudNetworkSecurityServices、国际商业机器公司(IBM)、微软的“我的世界”、PaloAltoNetworks和Twitter都向其用户报告了安全警告是发布。另一个例子是2021年底的CVE-2021-30853(CVSS评分:5.5)。攻击者可以利用该漏洞简单可靠地绕过无数基本的macOS安全机制并执行任意代码。苹果公司今年早些时候承认macOS确实存在恶意软件攻击问题,虽然很少有公司将Mac用作服务器或网络控制器,以避免勒索软件运营商的注意,但企业高管和开发人员中就有。很受欢迎。这使得企业Mac成为高价值的攻击目标,过去12个月出现的新macOS恶意软件主要针对间谍活动和后门程序。与此同时,Mac用户自己基本上不知道,恶意软件可以而且确实会以多种方式破坏Apple使用的内置安全技术。Mac的内置安全性在很大程度上依赖于代码签名、证书撤销检查和遗留文件签名。攻击者可以轻而易举地绕过这些保护措施,并且与MicrosoftWindows一样,操作系统软件的复杂性使得修补漏洞的频率越来越高。最重要的是,用户或管理员无法看到Mac的内置安全控制。作为CISO,在没有外部安全软件保护的情况下,您如何知道哪些Mac感染了后门程序、间谍软件或其他macOS恶意软件?3.预防不可能,检测就是一切只有现实的保护目标。但现在是2022年,多年来我们一直在使用机器学习和人工智能,任何企业都明白企业的安全供应商有办法完全阻止基于文件的恶意软件预执行。完全依赖基于签名的检测的供应商应该用静态AI引擎来补充或替换他们的检测引擎,以防止大多数类型的恶意PE文件。更重要的是,担任信息职位的经理应该拒绝那些告诉他们无法阻止的供应商。4.零信任安全可以完全保护网络虽然采用零信任是减少攻击面的正确方法,但现实情况是大多数组织无法有效地跨多个资产和安全系统实施完全零信任架构(ZTA)。当供应商提供“零信任SKU”时,组织应谨慎行事。除了营销花言巧语之外,实施ZTA安全模型还需要整合所有技术。没有“即插即用”的方式可以在一夜之间改变您的组织。事实上,从传统的基于边界的安全模型到ZTA安全模型是一个多年的过程,针对企业的攻击每天都在发生。传统的安全防护以边界为中心。基于边界的网络安全解决方案,相当于为企业构建护城河。通过防护墙、VPN、UTM、入侵防御检测等安全产品组合,将安全攻击阻断在边界。外部。这种构建方式在一定程度上默认了内网是安全的。零信任的本质是以身份为中心的动态访问控制。零信任处理访问主体和访问客体之间的数据访问和身份验证,将一般的访问行为分解为网络通信控制的控制平面和应用程序通信的数据平面。与许多企业安全方法一样,ZTA提供了一种解决方案,但它不是灵丹妙药。5.移动设备安全不是必须的。令人难以置信的是,一些供应商和安全从业者仍然没有意识到企业对移动设备安全的需求。多年来,我们一直在通过移动设备查看企业电子邮件和访问工作数据。移动领域由两大操作系统供应商主导,谷歌和苹果,虽然他们采取了截然不同的安全方法,但都了解移动安全的需求。近日,谷歌专门分析了iOS零日和零点击漏洞是如何危害苹果用户的。一家名为NSO的以色列软件公司推出了一款名为Pegasus的间谍软件,可以监控世界上几乎所有的iPhone。只需要被监控的人不小心点了一个链接就可以无声无息地监控,甚至不做任何操作。令人生畏。尽管非常复杂,但该漏洞并非由民族国家行为者开发,而是由私营企业NSOGroup开发。在这种环境中,以利益为导向的攻击者可以运用这种专业知识来破坏我们的移动设备。移动攻击是真实存在的,业务经理应该应用移动威胁防御来跟踪用户和设备的行为和操作。6.只需备份您的数据即可保护您免受勒索软件攻击。信息安全世界瞬息万变,没有万能的保护措施。回想2017年的NotPetya和WannaCry,当时大部分公司都因为没有备份数据而遭受了无法估量的损失。后来人们又增加了一种针对勒索软件的防护措施,那就是备份数据。不过,这段经历现在已经不适用了,因为在2019年,我们看到了第一个由人为操作的勒索软件组织——Maze和DoppelPaymer开始使用双重勒索方式:通过暴露窃取的数据来威胁用户,从而支付赎金。现在,如果公司重视其数据的隐私,备份并不能使他们免于被勒索。双重勒索已成为大多数勒索软件团体的标准做法,有些甚至威胁要泄露客户数据或勒索受害组织的客户。即便如此,一些组织仍准备通过从备份中恢复数据来应对并冒数据泄露的风险。不幸的是,这只会让攻击者提高赌注,采用三重勒索方法,除了威胁泄露数据和加密文件外,他们还开始向受害公司发起DDoS攻击,迫使他们回到谈判桌上。这意味着再多的备份也无济于事。当心,信息安全人员,勒索软件运营商正在从以前的受害者那里赚取大量现金。他们有能力购买大量的僵尸网络,并在您付款之前对您的网络进行DDoS攻击。如果他们负担得起,他们还可以负担得起从其他犯罪分子那里购买初始访问权限,并且他们还可以负担得起雇用人工操作员(也称为“附属机构”)来执行他们的攻击。在当今的双重和三重勒索勒索软件威胁中,备份毫无意义。7.勒索软件威胁可以由政府解决我们已经看到一些有价值和勇敢的尝试来应对由于美国政府对网络犯罪的新关注而导致的勒索软件激增。美国最大的燃料系统ColonialPipeline在今年5月7日遭到黑客攻击。ColonialPipeline向媒体证实,该公司支付了440万美元的赎金以换取解密工具,但该工具速度太慢,促使ColonialPipeline继续使用自己的备份来恢复系统,确实如此直到5月15日才能恢复正常运营。5月30日,全球最大的肉类公司JB遭到网络攻击,导致澳大利亚和北美的部分肉类加工生产线中断。白宫在6月1日的新闻发布会上也提到了此事,称JBS应该是遭到了勒索软件的攻击。尽管JBS总部位于巴西,但勒索软件攻击的受害者是JBS在美国的子公司JBSUSA。因此,当JBSUSA遭到攻击时,也惊动了美国政府。派遣人员协助JBSUSA。打击勒索软件已经成为美国政府的一项重要政策,美国总统乔·拜登也启动了快速战略审查以应对日益增多的勒索软件事件,包括与私营公司合作了解勒索软件架构和参与者的分布,创建一个全球联盟追究窝藏罪犯的国家的责任,扩大对加密货币的分析以检测和追踪犯罪交易,并重新审查美国政府的勒索软件政策。虽然政府采取行动的努力值得称赞,但网络犯罪分子并没有被执法部门吓倒。8.自动化你的网络防御,这样你就不需要人为干预防御者网络安全技能的短缺是真实的,但是虽然自动化可以为保护和效率做出有价值的贡献,但自动化永远不会取代网络安全中的人为因素。风险不是一成不变的,随着组织的成熟和业务的扩展,风??险面在不断扩大和变化。更多的服务、更多的生产服务器、更多的流和更多的客户数据使得降低风险的挑战不断增加。由于没有灵丹妙药可以让您了解业务风险,也没有量化保护业务的方法,因此始终需要能够创新、评估和缩小这些差距的网络安全人才。攻击媒介也在不断发展,三年前,组织依靠对PE和其他可执行文件的静态分析来检测和预防恶意软件。不久之后,我们开始看到无文件、基于脚本的攻击,以及成功渗透企业网络的横向移动尝试。像SolarWinds、Kaseya等大规模的供应链攻击风暴给风险管理增加了另一个维度。与此同时,勒索软件经济创造了一个庞大的附属网络,这些附属网络使用新的垃圾邮件技术来绕过传统解决方案。人类需要技术来帮助扩展、最大限度地提高生产力、消除平凡的任务并专注于需要注意的关键事情,但最好的情况是网络安全自动化将减少不断增长的领域和攻击面。9.MDR安全服务一切都很好虽然自动化永远不会取代对人类分析师的需求,但相反的情况也会发生:人类永远无法像计算机一样快速检测、响应和补救可识别的攻击。我们需要以最适合任务的方式使用我们的人力和计算机资源。托管检测和响应是软件和服务提供商中越来越受欢迎的产品。随着部署率的增加,此类产品的种类也在增加。除了MDR,现在还有MEDR、MNDR和MXDR。托管端点检测和响应(MEDR)。这个服务的重点主要在终端。那些具有端点检测保护代理的供应商通常会扩展他们的产品以为其软件提供托管检测和响应。说到安全,几乎没有灵丹妙药。但是,在决定哪种服务最适合您的业务和需求时,您需要回答几个问题,包括以下内容:您的端点是否涵盖在内?远程工作和零信任架构突出了端点对整体安全态势的重要性。如果您没有强大的端点保护程序,MEDR是一个不错的选择。结论网络安全是一项复杂的业务。做基础是第一步,这是无法回避的事实。只有减少对操作系统供应商的依赖,在设备上部署终端防护,提供全行业的可见性,培养网络安全人才,才能避免上述网络安全误区。本文翻译自:https://www.sentinelone.com/blog/the-9-biggest-cybersecurity-lies-told-to-cisos/如有转载请注明出处。
