新冠疫情依然在持續(xù)考驗(yàn)企業(yè)安全的韌性,同時(shí)也暴露出企業(yè)網(wǎng)絡(luò)安全方面的許多不足,。
2019年春天,,邁克·扎奇曼(Mike Zachman)為其所在的斑馬科技(Zebra Technologies)公司開展了一次安全演習(xí),。作為這家公司的首席安全官,扎奇曼負(fù)責(zé)這家公司的網(wǎng)絡(luò)安全,,同時(shí)也負(fù)責(zé)產(chǎn)品安全和物理安全。
他將這次演習(xí)的重點(diǎn)聚焦在業(yè)務(wù)連續(xù)性上,以確定公司的計(jì)劃究竟表現(xiàn)如何,。
在過去,他曾組織過類似的演習(xí),,模擬了勒索軟件攻擊和能夠摧毀數(shù)據(jù)中心級(jí)別的自然災(zāi)害事件,。
為進(jìn)一步測(cè)試公司的業(yè)務(wù)連續(xù)性,他在2019年設(shè)計(jì)了全新的場(chǎng)景:假如公司正在經(jīng)歷一場(chǎng)疫情,,需要對(duì)員工進(jìn)行體溫監(jiān)測(cè),。
扎奇曼說,自己并不是先知,,只不過更務(wù)實(shí)而已,。在過去,全球化企業(yè)曾不得不應(yīng)對(duì)SARS和一些本地流行病,,所以,,他將考驗(yàn)公司應(yīng)對(duì)疫情的能力視為一項(xiàng)負(fù)責(zé)任的行動(dòng)。
這項(xiàng)演習(xí)測(cè)試了該公司的“3+2”策略,這項(xiàng)策略旨在確保其災(zāi)難恢復(fù),、供應(yīng)鏈,、勞力(為其“3”)與維修站和配送中心(為其“2”)有足夠的適應(yīng)能力來應(yīng)對(duì)諸如此類的事件。
扎奇曼表示:“正是因?yàn)檫@次演習(xí),,公司在應(yīng)對(duì)新冠疫情的沖擊時(shí)做了提前規(guī)劃,,但這次疫情仍然具有挑戰(zhàn)性。我們投入大量的人力和精力來確保公司能夠應(yīng)對(duì)此次疫情的沖擊,。幸運(yùn)的是,,公司沒有手忙腳亂到一直問”我們應(yīng)該做什么?“,。
公司有一項(xiàng)命令與控制計(jì)劃,,擁有足夠的VPN連接資源,支持廣泛的遠(yuǎn)程辦公接入,。其員工會(huì)將辦公設(shè)備帶在身邊,,就像2019年秋天演習(xí)的一樣,晚上需要將筆記本電腦帶回家中,,確保在有緊急情況時(shí),,能夠保證業(yè)務(wù)連續(xù)性。
然而,,Zebra公司在網(wǎng)絡(luò)安全運(yùn)營(yíng)中仍然遇到了一些需要解決的問題,。比如,公司的辦公筆記本的配置不足以全面保護(hù)員工在家中的遠(yuǎn)程辦公安全,。個(gè)人筆記本電腦網(wǎng)絡(luò)流量的可視化較差,,這都促使Zebra公司加速向更成熟的零信任環(huán)境過渡。
正如Zebra公司經(jīng)歷的那樣,,這場(chǎng)真正的疫情暴露了一些安全防護(hù)措施較好的企業(yè)的安全短板,。問題有大有小,不論企業(yè)規(guī)模和性質(zhì)如何,,都使CISO(首席信息安全官)們及其團(tuán)隊(duì)忙于在持續(xù)的不確定性和在家遠(yuǎn)程辦公的場(chǎng)景中繼續(xù)前進(jìn),。
IT服務(wù)管理公司”TEK系統(tǒng)“的風(fēng)險(xiǎn)與安全實(shí)踐部門負(fù)責(zé)人科瑞·帕特里克(Kory Patrick)表示:這就是我們的差距,我們或許比理想狀態(tài)有很大差距,,但我們每個(gè)人都從這次疫情中學(xué)到了東西。
安全問題暴露
從近幾個(gè)月的眾多報(bào)告中我們得知,,2020年攻擊的數(shù)量,、種類和嚴(yán)重程度都在增長(zhǎng)。比如NETSCOUT在其上半年威脅情報(bào)報(bào)告中稱,,2020年上半年共計(jì)發(fā)生了483萬(wàn)次攻擊,,較去年同期增長(zhǎng)了15%。統(tǒng)計(jì)數(shù)字進(jìn)一步支持了CISO們自3月起一直在表達(dá)的觀點(diǎn):疫情正在不斷考驗(yàn)著企業(yè)安全的健壯性。
疫情暴露了許多安全防護(hù)的薄弱環(huán)節(jié),。安全領(lǐng)導(dǎo)者和專家列出了一些已經(jīng)暴露的常見問題:
1,、計(jì)劃與準(zhǔn)備不足
網(wǎng)絡(luò)安全解決方案與咨詢公司W(wǎng)aite SLTS的創(chuàng)始人、網(wǎng)絡(luò)安全女性組織(WiCyS)成員Shelly Waite-Bey女士表示:”在疫情的最初幾個(gè)月,,眾多機(jī)構(gòu)意識(shí)到對(duì)安全方案的關(guān)注和資金投入不能滿足真正的需要,。這些缺少安全投入的企業(yè)正在設(shè)法糾正這一情況。
2,、安全人員在決策層話語(yǔ)權(quán)不足
McBride的副總裁兼CISO凱瑟琳·薩拉查(Kathryn Salazar)表示:“很多CISO并沒有足夠的決策權(quán),,并且仍面對(duì)不重視安全風(fēng)險(xiǎn)直至發(fā)展成安全事件的決策層。在新環(huán)境下,,CISO們并沒有獲得足夠的資金為機(jī)構(gòu)提供安全保護(hù),。”
SafeGuard Cyber公司在2020年10月發(fā)布的報(bào)告證實(shí)了她的判斷,。報(bào)告指出:感知到的安全,、合規(guī)需求,與機(jī)構(gòu)的規(guī)劃水平之間,,存在明顯的脫節(jié)和不平衡,。未批準(zhǔn)的應(yīng)用程序、勒索軟件攻擊,、技術(shù)棧安全防護(hù)等方面存在明顯的數(shù)字風(fēng)險(xiǎn),,但只有18%的受訪者認(rèn)為安全是決策層需要考慮的問題。
3,、繼續(xù)依賴邊界防御
隨著機(jī)構(gòu)爭(zhēng)相為員工啟用遠(yuǎn)程辦公,,許多CISO意識(shí)到自己既沒有足夠的VPN資源支持負(fù)載,也沒有相應(yīng)的安全基礎(chǔ)設(shè)施,,來保證只有被授權(quán)的人員能夠在規(guī)定的時(shí)間訪問所需的數(shù)據(jù)資源,。
帕特里克將這歸咎于對(duì)邊界防御的嚴(yán)重依賴。這種依賴使得安全的彈性遠(yuǎn)程辦公變得困難,,有時(shí)甚至幾乎不可能,。為了應(yīng)對(duì)這種情況,專家們指出,,CISO們正在加速采用高級(jí)身份和訪問管理(IAM)解決方案以及零信任原則,。
4、補(bǔ)丁管理存在問題
網(wǎng)絡(luò)威脅情報(bào)分析師,、老牌網(wǎng)絡(luò)安全組織VetSec和WiCyS的成員約翰·斯通納(John Stoner)表示,,2020年發(fā)生的事件也暴露了企業(yè)補(bǔ)丁管理的不足。一些機(jī)構(gòu)沒有投入足夠的精力來打補(bǔ)丁,,另一些機(jī)構(gòu)沒有強(qiáng)大的資產(chǎn)管理應(yīng)用,,使其能夠有效地管理補(bǔ)丁。還有一些機(jī)構(gòu)在為公司資產(chǎn)打補(bǔ)丁方面做得非常好,但沒有為員工工作的個(gè)人設(shè)備打補(bǔ)丁,。
黑客們也注意到,,攻擊尚未修補(bǔ)的已知漏洞的成功概率越來越大。斯通納表示:甚至包括一些大公司在內(nèi),,都存在因沒有及時(shí)修復(fù)補(bǔ)丁而導(dǎo)致的入侵現(xiàn)象,。Arctic Wolf 2020年安全運(yùn)營(yíng)報(bào)告指出補(bǔ)丁協(xié)議的問題是一個(gè)關(guān)鍵問題,并指出在疫情期間,,重要漏洞補(bǔ)丁發(fā)布時(shí)間增加了40天,。最新的統(tǒng)計(jì)顯示,2020年上半年的網(wǎng)絡(luò)攻擊中,,80%使用3年前,,甚至更早的披露的漏洞。
5,、可視化和控制能力不足
網(wǎng)絡(luò)安全顧問和CISO吉娜·亞科內(nèi)(Gina Yacone)表示,,她建議企業(yè)客戶考慮遠(yuǎn)程辦公的員工帶來的安全漏洞。她說:“我擔(dān)心他們的個(gè)人家庭網(wǎng)絡(luò),,包括路由器,、Wi-Fi等。員工的網(wǎng)絡(luò)環(huán)境不可能得到企業(yè)級(jí)的保護(hù),,除非他們真的購(gòu)買了相關(guān)服務(wù),。”她補(bǔ)充說,,“家庭網(wǎng)絡(luò)通常沒有加密,,有些甚至沒有密碼保護(hù)。如果公司沒有使用VPN,,或者他們的員工正在處理任何類型的敏感數(shù)據(jù),,這種情況尤其會(huì)帶來問題。員工在家里真的能按要求保護(hù)數(shù)據(jù)嗎,?” 亞科內(nèi)問道,。
根據(jù)安全企業(yè)Arctic Wolf公司的報(bào)告顯示,自3月份以來,,連接開放Wi-Fi網(wǎng)絡(luò)的設(shè)備數(shù)量增長(zhǎng)了243%,,這意味著如果沒有得到適當(dāng)?shù)目刂疲稚⒃诟鞯氐膯T工使用不安全網(wǎng)絡(luò)將面臨不斷增加的攻擊風(fēng)險(xiǎn),。
風(fēng)險(xiǎn)管理和法律咨詢服務(wù)的Consilio公司副總裁馬特·米勒(Matt Miller)認(rèn)為,,如果企業(yè)沒有成熟的數(shù)據(jù)分類、有力的資產(chǎn)管理流程及成熟的監(jiān)測(cè)項(xiàng)目,,那么將在實(shí)現(xiàn)保護(hù)自身足夠安全的可視化方面將充滿挑戰(zhàn)。他舉了一個(gè)客戶的例子:一家企業(yè)在在6000個(gè)電子表格中,存儲(chǔ)有550萬(wàn)個(gè)社保號(hào)碼,,這些表格既沒有密碼保護(hù),,也沒有加密。米勒表示,,這樣的場(chǎng)景促使企業(yè)安全團(tuán)隊(duì)匆忙開發(fā)和實(shí)施用于提高對(duì)終端,、數(shù)據(jù)流和網(wǎng)絡(luò)流量的可視化和控制的策略和解決方案。
6,、缺乏敏捷性
米勒表示:在過去幾個(gè)月里,,一些安全團(tuán)隊(duì)努力掙扎著應(yīng)對(duì)一個(gè)挑戰(zhàn)又一個(gè)挑戰(zhàn)。的確,,他們有一份令人生畏的危機(jī)清單要處理,,但在快速應(yīng)對(duì)任務(wù)時(shí)遇到的困難表明,許多CISO的安全部門沒有想象的那么敏捷,。
專家將敏捷性的不足與安全領(lǐng)域中長(zhǎng)期存在的問題聯(lián)系起來,,即缺少足夠的人員和自動(dòng)化能力,無(wú)法使員工從處理例行的手工雜務(wù)中解脫出來,,去從事更高價(jià)值的項(xiàng)目,。不管原因是什么,其影響都是重大的,。
“由于不夠敏捷,,不能足夠迅速地轉(zhuǎn)變,他們過度暴露在安全風(fēng)險(xiǎn)急劇上升的環(huán)境,,”米勒表示,,他注意到一些機(jī)構(gòu)花了數(shù)月時(shí)間來解決安全問題?!艾F(xiàn)在的情況是,,他們需要更加靈活,以便能夠處理超常規(guī)的情況,?!?/p>
經(jīng)驗(yàn)教訓(xùn)
2020年頻發(fā)的安全事件凸顯了企業(yè)安全方面的薄弱環(huán)節(jié),但安全專家表示,,其中許多問題是CISO計(jì)劃在長(zhǎng)期路線圖上解決的已知問題,。
帕特里克表示:“許多機(jī)構(gòu)一直指望利用更長(zhǎng)的時(shí)間實(shí)現(xiàn)改變,但疫情加速了這些計(jì)劃,,因?yàn)樾鹿谝咔楸┞读嗽S多機(jī)構(gòu)的網(wǎng)絡(luò)安全問題,,直接影響了業(yè)務(wù)的可用性?!?/p>
現(xiàn)在,,補(bǔ)救工作正在進(jìn)行中,。
帕特里克和其他人說,越來越多的CISO轉(zhuǎn)向部署或完善零信任架構(gòu),,以便能夠更好地確保安全性,。隨著遠(yuǎn)程辦公人員終端數(shù)量和連接設(shè)備的增長(zhǎng),公司網(wǎng)絡(luò)邊界正在消失,。CISO們同時(shí)還在加強(qiáng)終端安全管理,,并推進(jìn)數(shù)據(jù)分類和控制。
所有這一切都將使整個(gè)網(wǎng)絡(luò)世界更加安全——這或許是烏云背后的光明與希望,。
米勒表示:“我也能看到一些對(duì)今年的安全事件沒有特別準(zhǔn)備的CISO,,但他們現(xiàn)在會(huì)說,我們要改進(jìn)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃,,同時(shí)要確定面向未來的計(jì)劃,,以應(yīng)對(duì)未來可能發(fā)生的任何情況?!?/p>