2022年,是网络安全市场高速发展的一年,同时也是企业评估安全项目投资有效性,校准和优化安全防御战略和预算的关键时间节点。
面对快速迭代的网络威胁,每位CISO都有自己的方法和视角来总结和反思即将过去的2022年,此类经验总结可为未来的战略规划提供宝贵的知识,正如Veracode首席信息安全官Sohail Iqbal所言:“如果企业不打算吸取这些教训并完善其安全实践,那么将面对更加严格的安全审计和第三方风险评估,这可能会对其业务产生财务、声誉、运营甚至合规性产生严重影响。”
以下,是知名企业和机构CISO们总结的2022年网络安全十四条经验教训:
1 为地缘政治冲突提前做好安全防御准备
俄乌战争导致全球大量民族主义黑客组织纷纷选边站队,攻击对方阵营的关键基础设施和组织机构,这迫使许多国家政府纷纷发布了加强安全态势的指导方针,包括美国网络安全和基础设施安全局(CISA)的Shields Up和英国国家网络安全中心(NCSC)的技术保障。
谷歌云首席信息安全官办公室主任Taylor Lehmann认为:“地缘冲突相关的网络威胁应该在几年前就有讨论和预案,而不是等冲突发生后再评估和加强安全态势。”
“企业和机构通常需要数年时间来评估安全差距并实施强化控制措施,因此尽早提出问题可能是有益的。我们需要承认,保护组织免受高级安全威胁需要长时间(有时是几十年)的努力。”Lehmann补充道。
2 威胁行为者数量激增,黑客即服务模式使攻击成本不断降低
根据ENISA的说法,2022年勒索软件组织不断“退休”和重塑品牌,威胁组织“在供应链攻击和针对托管服务提供商的攻击方面的能力不断提高”。此外,黑客即服务的商业模式继续保持增长动力。
“现在每个人都可能成为网络罪犯分子,不需要技能,”Critical Insight的首席信息安全官Mike Hamilton说道:“网络犯罪组织采用的联盟和黑客即服务商业模式大大降低了犯罪门槛。”
例如,对C2aaS平台Dark Utilities的高级访问仅为9.99欧元。该平台提供了多种服务,包括远程系统访问、DDoS功能和加密货币挖掘。
3 未经培训的员工会给企业带来巨额损失
勒索软件攻击在2022年有所增加,公司和政府实体是最显著的目标。英伟达、丰田、SpiceJet、Optus、Medibank、意大利巴勒莫市以及哥斯达黎加、阿根廷和多米尼加共和国的政府机构都是2022年的受害者,出于经济和政治动机的勒索软件组织之间的界限进一步模糊。
员工安全意识培训应该是任何组织安全防御策略的关键部分,因为“员工仍然是网络钓鱼和其他社会工程手段的主要目标。”GuidePoint Security的首席信息安全官Gary Brickhouse说道。
4 政府更积极地为网络安全立法
美国、英国、欧盟都加强了立法,以更好地保护组织免受网络事件的侵害。“(各国政府)正在确定关键安全风险,立法干预的趋势将持续发展。”NCC集团首席信息安全官Lawrence Munro指出。
在美国,联邦和州一级发生了变化。现在要求政府机构实施安全培训并遵循安全策略、标准和实践。他们还需要报告安全事件并制定响应计划。
Munro补充说,企业应该调整心态,积极主动地为即将到来的法规做好准备。此外,还需要注意数据隐私和安全规则不断发展演变的事实。Lehmann指出:“了解企业之间的差异,并满足数据驻留、数据主权和数据本地化要求,是企业现在面临的一项关键业务,并且复杂性将继续增加。”
5 应该更好地跟踪开源软件
2021年底爆发的Log4j安全危机在2022年持续了几乎一整年,影响了全球数以万计的组织。根据CISA最近的一份报告,这种涉及远程代码执行的漏洞将在未来继续构成“重大风险”,因为它“将在未来许多年,也许十年或更长时间内保留在系统中”。
Thrive首席信息安全官Chip Gibbons认为:“Log4j漏洞给业内很多人敲响了警钟,许多组织甚至不知道存在漏洞的软件在自己的某些系统中被使用。”
虽然这个安全问题造成了混乱,但它也提供了学习机会。“Log4j是一种诅咒和祝福,”Sumo Logic的CSO兼IT高级副总裁George Gerchow说:“在事件响应和资产跟踪方面,它让我们变得更好。”
越来越多的企业开始投入更多精力来跟踪开源软件,因为他们看到“对开源软件的隐含信任已经导致了严重损失。”
6 应加大力度识别漏洞
组织还应该采取更多措施来应对开源和闭源软件中的漏洞威胁。但是,这并非易事,因为每年会出现数千个漏洞。漏洞管理工具可以帮助识别操作系统应用程序中发现的漏洞并确定其优先级。“我们需要了解第一方代码中的漏洞,并制定漏洞清单和适当的措施来管理第三方代码中的风险。”Veracode首席信息安全官Iqbal说道。
根据Iqbal的说法,应用安全应该从软件开发生命周期左侧做起:从一开始就编写安全代码并预先管理漏洞,这对应用安全非常重要,归根结底,一切都是代码。您的软件、应用程序、防火墙、网络和策略都是代码,由于代码经常更改,因此应用安全必须“内生”和“左移”。
7 公司需要采取更多措施来防范供应链攻击
供应链攻击是2022年网络安全领域的头号威胁之一,已经有多起事件成为头条新闻,例如针对Okra、GitHub OAuth代币和AccessPress的黑客攻击。到2023年,防范此类威胁仍将是一个复杂的过程。“我认为供应链风险的快速增长让许多组织感到困惑,”Munro说,“我们看到,从资金投入到解决问题的技术上,企业普遍缺乏对现有生态系统和威胁的理解。”
根据Munro的说法,软件物料清单(SBOM)带来了新的框架和技术。Munro说:“有管理信息聚合的工具,软件工件的供应链级别(SLSA)等补充框架和技术标准,如漏洞利用交换或VEX。”这一切都增加了复杂性,也增加了防御者的挑战。
Lehmann补充说:“我们还应该考虑,如果我们的硬件供应链受到攻击,会如何影响我们。”
8 零信任应该是核心安全理念
零信任计划不仅仅是部署技术来管理身份或网络。“这是一种在数字交易时消除隐含信任并用显性信任取而代之的纪律和文化,”Iqbal说道:“这是一个同步的过程,需要跨身份、端点设备、网络、应用程序工作负载和数据进行。”
Iqbal补充说,“每个产品或服务都应该支持单点登录(SSO)/多因素身份验证(MFA),企业和非生产网络应该与生产环境隔离。”“同样重要的是,通过关联多个信号来认证端点以获得最新的安全状况,并使用行为分析进行身份验证、访问和授权。”他补充道。
9 网络安全保险需求可能会继续增加
近年来,网络安全保险已成为必需品,但保费却有所增加。此外,组织还面临着保险公司的更多审查,以确定风险领域。“这个过程比过去严格得多,增加了获得网络安全保险的时间和工作量,”Brickhouse指出:“组织应该将这一过程视为一种安全审计,提前准备,将其安全计划和控制措施记录在案,为审计做好准备。”
10 软件测试的“左移”方法已经过时
ReversingLabs首席信息安全官Matt Rose认为,仅仅在“左边”寻找风险是不够的,开发人员只是全面的应用程序安全计划的一部分。DevOps流程的所有阶段都存在风险,因此工具和调查必须转移到流程内的任何地方,而不仅仅是左侧。“如果组织只在左边寻找问题,他们只会在左边发现安全风险。”
根据Rose的说法,更好的方法是在整个DevOps生态系统中提高安全性,包括开发系统和可部署工件本身。“供应链风险和安全变得越来越重要,如果你只看左边,会漏掉更多风险。”他补充道。
11 对错误的资产使用错误的工具
锤子并不适用于所有钉子,例如螺丝钉。Halborn的联合创始人兼首席信息安全官Steven Walbroehl指出:首席信息安全官需要识别问题的细微差别,并为他们想要解决的问题找到合适的工具。他说:“2022年安全厂商和企业用户需要共同吸取的一个教训是,不能将安全性一概而论,没有解决方案能够适用于所有资产或资源。我们都应该尽最大努力找到适应或适用于特定资产的网络安全解决方案或服务。”
12 企业需要了解完整的应用程序架构
技术堆栈的复杂性每年都在增加,企业必须了解其整个应用程序生态系统,以避免重大安全漏洞。“随着开源包、API、内部开发代码、第三方开发代码和微服务的爆炸式使用,应用程序变得越来越复杂,所有这些都与非常流畅的云原生开发实践相关联,”Rose说:“如果你不知道要寻找什么类型的风险,你将如何找到它?”
根据Rose的说法,现代开发实践的责任块越来越小,没有一个人可以完全处理应用程序各个方面的安全风险。
13 安全应该是一场马拉松
太多非技术型企业认为网络安全是静态的,一次性的活动,执行(投入)一次,然后就安全了。然而,技术是动态的,因此安全防御“是一种需要持续努力的风险管理方法,”Walbroehl说道:“公司不应该试图将网络安全视为一次性的测试。”
Walbroehl建议企业确定关键流程和资产,然后确定他们愿意接受的安全暴露级别。他补充说,一个好主意是优先考虑将风险降低到该水平所需的解决方案或流程。
14 2023年,主动安全为王
2023年首席信息安全官可能会筋疲力尽,他们将再次面临各方面的挑战:俄乌战争将继续,一些国家可能会经历严重的经济衰退,网络威胁态势也将快速演变。
Trustwave的Daniels指出:“我们今年学到的最重要的教训之一是,刻板的被动安全策略使企业的竞争力、财务状况和市场增长面临风险,而主动安全甚至预测性的网络安全运营正在成为安全领导者的关注焦点,在复杂性和不确定性驱动的未来,主动安全能更有效地将安全性融合到业务中。”