2020年,在新冠疫情和网络攻击的双重“压力测试”下,不少企业的网络安全运营暴露出新的薄弱环节。面对充满不确定性的2021年,全球企业网络安全从业者可以从2020年学到哪些经验?下面我们整理了多家美国网络安全公司的研究分析,归纳为六大教训:安全运营中心(SOC)需要重新校准。新冠疫情引发的大规模远程办公给本已不堪重负的安全运营中心(SOC)带来了巨大压力。在安全公司Exabeam对大约1,005名管理和运营SOC的网络安全专业人员进行的一项调查中,35%的受访美国企业安全专业人员认为大流行期间的团队沟通是最大的挑战。34%的受访者表示难以调查安全事件,而30%的受访者表示缺乏对单个网络的可见性是一个问题。在接受调查的美国SOC人员中,近二分之一(47%)报告了新工具的问题,包括SaaS应用程序。SANSInstitute新兴安全趋势主管JohnPescatore表示:“流程不成熟的SOC的管理人员发现,当SOC团队不在同一个房间时,他们无法有效地工作。”展望未来,安全运营团队将需要实施更好的架构,以满足大多数员工远程办公的混合办公环境的需求。Omdia分析师EricParizo表示:“安全信息和事件管理(SIEM)是SOC的重要引擎,将发生重大变化。新分配的劳动力和正在进行的数字化转型计划将加速SIEM向云端的过渡。”“云的SecOps解决方案的新核心,下一代SIEM将基于SaaS,提供内置的活动和行为分析,并提供基于固定费用的数据采集,支持多种公有云以及传统的基于云的服务、内部和网络数据源,”Parizo说。CYOIT(chooseyourownIT)是个大问题随着SaaS的日益普及和疫情的推波助澜,全球企业办公室开始流行选择自己的IT(CYOIT)模式。“与自带设备(BYOD,通常指移动设备)不同,CYOIT范围更广,包括员工用来完成工作的工具(例如,软件、WiFi路由器、存储、云服务、智能设备等)。“CYOIT最大的受益者之一是Zoom。由于疫情肆虐,Zoom在企业应用领域杀遍了各个方向,迅速超越了传统的企业通信解决方案Webex和GoToMeeting。”Pescatore补充道:“这一趋势意义重大到IT安全。对于BYOD,企业安全人员主要关心的是存储在设备上的公司数据,因为BYOD设备上没有企业安全堆栈。但是尽管BYOD带来了问题,IT仍然可以控制服务器端和应用程序(白名单)。“相比BYOD,CYOIT的安全威胁要大很多,因为用户可以选择不同的云应用,比如网盘、私人邮箱、视频会议APP等,CYOIT给企业网络安全部门带来了更大的压力,重点控制权需要从应用转移到数据,如果硬件或应用失控,则需要完全控制数据。随着越来越多的企业将工作负载和数据转移到云端,SaaS的攻击面被扩大,以支持远程和虚拟化劳动力,SaaS环境已成为攻击者的主要目标。IT人员将越来越多地参与管理其组织的SaaS应用程序和云足迹。安全管理工具,例如扫描应用程序之间的API以自动化SaaS供应和监控用户访问所需的工具,活动和环境的变化,变得越来越重要,他说O'Connor说:“不幸的是,黑客攻击者和不法分子注意到云计算趋势,调整攻击策略,利用SaaS领域缺乏安全专业知识和必要的安全监控和防御来实施攻击。AppOmni今年早些时候对200名IT安全专业人员进行的一项调查显示,许多IT团队正在努力跟上COVID-19大流行带来的大规模运营变化以及随之而来的云采用率的增加。因为这种流行病涉及太多能源和资源方面,68%的受访者表示他们管理和保护SaaS应用程序的时间已大大减少。疫情成为“零信任”加速器。对企业数据(无论是网络内部还是外部)的所有访问请求进行全面身份验证和审查今年受到了越来越多的关注,尤其是在企业IT团队寻求解决大规模远程办公的新威胁时,他们开始转向零信任。例如,在企业管理协会(EMA)8月对252名IT专业人士进行的一项调查中,60%的人表示他们的组织已经加速了零信任策略的部署。40%的受访者认为提高运营敏捷性是零信任的主要好处,而35%的受访者指出零信任改善了IT治理和风险合规性。受访者提到的零信任的其他一些好处包括:入侵预防和遏制、减少攻击面和减少未经授权的访问,这些也是后COVID-19时代的常见问题。EMA发现,采用正式零信任战略的公司比采用临时方法的公司成功的可能性要大得多。具有讽刺意味的是,参与的公司越大,他们就越有可能采用临时方法。微软在今年早些时候的一篇博文中表示:“对于已经开始零信任概念验证之旅的公司来说,COVID-19起到了加速器的作用,加快了采用的时间表。”勒索软件引发的管理挑战勒索软件攻击呈上升趋势,攻击者不仅加密数据,还开始窃取数据并威胁公开披露,而受害者不仅面临应用程序和系统停机的风险,还可能公开披露敏感数据,包括商业机密和知识产权。不断升级的勒索软件策略并不新鲜,但它确实引发了一个新的管理问题:公司的网络安全保险是否会支付勒索软件费用?对于大多数人来说,没有简单的答案。最近受到勒索软件攻击的几家大公司的诉讼,包括制药巨头默克公司和食品和饮料集团Mondalez,突显了公司在向网络安全保险公司寻求索赔时面临的挑战。除了索赔面临的挑战,企业在支付赎金方面也会面临法律风险。上个月初,美国财政部外国资产控制办公室(OFAC)发布咨询地址,警告企业不要为勒索软件支付赎金,称这违反了政府打击网络犯罪的规定。团体或国家黑客实施经济制裁的法律风险。DigitalShadows战略副总裁兼首席信息安全官RickHolland表示,勒索软件攻击者今年的日子不好过。在第一季度,DigitalShadows只跟踪了两个勒索软件团伙,但到第四季度,这个数字已经增加到17个。“经纪人”,吹嘘最初进入公司网络的机会,今年特别繁荣,Holland说:“外包这部分的勒索软件价值链极大地增加了勒索软件操作的规模和速度。”网络安全事件对安全行业产生重大影响COVID-19大流行是一个很好的例子,说明并非所有具有重大网络安全影响的事件都与安全相关。大流行导致企业迅速而大规模地转向远程工作,迫使网络安全部门/行业发生各种变化。信息安全论坛(ISF)指出:IT和安全领导者必须将精力和注意力重新集中在保护远程工作、保护供应链以及开展安全意识活动和培训上,以应对大流行相关网络钓鱼诈骗的突然泛滥。Vectra的首席技术官OliverTavakoli表示,疫情让我们明白了为什么具有全球影响力的公司需要为全球危机做好准备。我们需要应对的不仅是地区性灾害,还有全球性突发事件和影响的预案。在远程工作常态化的同时,网络安全投入的配置也必须针对“端点”做出相应调整。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
