對於很多首席信息安全官來說,即將到來的2023年是一個很好的時機,可以反思他們在2022年裡學到的經驗和教訓,以及如何將它們應用到未來。
動盪的2022年即將結束,在這一年,埃隆·馬斯克收購了Twitter,俄烏衝突,許多員工重返辦公室。人們還看到,一些安全主管因隱瞞數據泄露而被判入獄。
這些事件以及更多事件改變了業務格局,迫使首席信息安全官在不確定領域前行。Trustwave公司的首席信息官Kory Daniels表示:「隨著網絡安全格局的變化,2022年是一個里程碑式的一年,我們將在研究網絡安全與數字信任何時以及為何融合在一起進行歷史回顧。」
2022年,很多企業都增加了安全預算。Daniels補充說,儘管如此,他們也意識到,如果安全團隊沒有真正展示他們如何幫助保護企業,那麼即使獲得投資也可能沒有更好的效果。
每個人都有自己的方法來分析這一年並反思發生的事情,這一舉措可以為未來提供寶貴的知識,因此人們需要了解一些首席信息安全官在今年學到的經驗和教訓。
Veracode公司的首席信息安全官Sohail Iqbal表示:「如果企業不吸取這些教訓,並完善其安全實踐,我們將看到審計和第三方風險評估中的審查力度加大,這可能會對其業務產生財務、聲譽、運營甚至合規方面的影響。」
1.不要等到出現地緣政治衝突時才提高安全態勢
俄烏衝突促使民族主義組織和犯罪組織各自站隊,迫使企業接受政府部門發布的指導方針,這些指導方針旨在幫助它們提高安全態勢。這包括美國網絡安全和基礎設施安全局(CISA)的「盾牌」網絡安全警報和英國國家網絡安全中心(NCSC)的技術保證。Daniels說:「這場衝突促使許多企業詢問他們的網絡安全彈性準備情況,以阻止這些威脅行為者或擊敗網絡攻擊。」
這些問題早在幾年前就提出了。谷歌雲平台首席信息安全官辦公室主任Taylor Lehmann說:「不要等到擁有強大的進攻性網絡安全團隊的國家之間發生全球性衝突時,才去評估其安全態勢是否能夠合理地抵禦網絡威脅和攻擊。」
企業和機構通常需要數年時間來彌補這些評估中發現的差距,並實施建議的控制措施,因此儘早提出問題是有益的。Lehmann補充說:「我們需要承認,保護企業免受高級安全威脅需要一些時間(有時需要幾十年)和努力。」
2.威脅行為激增,即服務的業務模式降低了進行網絡攻擊的門檻
歐盟網絡安全局(ENISA)稱,勒索軟體團伙在2022年不斷增加或重新整合,網絡威脅組織表現出「供應鏈攻擊和針對託管服務提供商的攻擊能力不斷增強」。此外,「黑客即服務」的業務模式也繼續受到關注。
美國網絡安全服務商Critical Insight公司的首席信息官Mike Hamilton表示:「現在每個人都可以成為網絡罪犯,並且不需要太多的技能。犯罪團伙採用即服務的業務模式降低了進入門檻,這體現在他們收到的誘餌信息的數量和性質上。」
例如,C2aaS平台DarkUtilities的高級訪問費用僅為9.99歐元。該平台提供多種服務,包括遠程系統訪問、DDoS功能和加密貨幣挖掘。
3.未經安全培訓的員工可能會讓企業損失數百萬美元
勒索軟體攻擊數量在2022年有所增加,企業和政府機構是最主要的目標。英偉達、豐田、SpiceJet、Optus、Medibank等公司,以及義大利巴勒莫市、哥斯大黎加、阿根廷和多米尼加共和國的政府機構都在2022年成為受害者,在這一年,出於經濟動機和政治動機的勒索軟體組織之間的界限繼續模糊。
GuidePoint Security公司的首席信息官Gary Brickhouse表示,任何企業防禦戰略的一個關鍵部分都應該是員工的安全意識培訓,因為員工仍然成為網絡釣魚和其他社交工程威脅行為者的目標。
不過在今年的一個積極進展是,企業董事會成員和高管們已經開始更多地關注勒索軟體,因為他們已經看到了這些網絡攻擊可能造成的運營影響。
4.各國政府正在更積極地為網絡安全立法
美國、英國和歐盟加強網絡安全立法,以更好地保護自己免受網絡事件的侵害。NCC集團的首席信息技術官Lawrence Munro表示:「關鍵風險正在被識別,我們看到立法干預的持續趨勢。」
在美國,聯邦和州一級的安全態勢都發生了變化。政府機構現在需要實施安全培訓,並遵循安全政策、標準和實踐。他們還需要報告安全事件並制定應對計劃。
Munro補充說,他的觀點已經改變,應該積極主動地為即將到來的監管做好準備。他說:「我已經制定了監控這一點的策略,我將進一步開發自動化元素,以確保提前為任何變化做好準備。」
企業需要注意數據隱私和安全規則不斷發展的事實。Lehmann表示:「了解企業之間的差異,並使其能夠滿足數據駐留、數據主權和數據本地化要求,這是當前至關重要的業務任務,而且將繼續增加複雜性。」
5.企業應該更好地跟蹤開源軟體
2021年底出現的Log4j危機在2022年持續不斷,影響了全球數萬個行業的企業和組織。根據CISA公司最近發布的一份調查報告,這一涉及遠程代碼執行的漏洞在未來將繼續構成「重大風險」,因為它將在未來長期存在於系統中。
Thrive公司的首席信息安全官Chip Gibbons表示:「Log4j漏洞給很多業內人士敲響了警鐘。許多企業甚至不知道該軟體正在某些系統中使用,因為他們真正關注的是面向網際網路的設備。」
雖然這個安全問題造成了混亂,但它也提供了學習機會。Sumo Logic公司的首席技術官兼高級副總裁George Gerchow說,「Log4j是一種詛咒,也是一種祝福,這讓我們在事件響應和資產跟蹤方面做得更好。」
Lehmann表示,企業開始加大力度跟蹤開源軟體,因為他們發現對他們使用的軟體的來源和質量進行未經驗證的信任會造成損害。
6.應該在識別漏洞方面加大力度
企業還應該採取更多措施來識別開源和閉源軟體中的漏洞。然而,這並不是一項簡單的任務,因為每年都會有成千上萬的漏洞出現。漏洞管理工具可以幫助識別作業系統應用程式中發現的漏洞並確定其優先級。Iqbal表示:「我們需要了解第一方代碼中的漏洞,並有一個漏洞清單和管理第三方代碼風險的適當措施。」
Iqbal認為,一個良好的AppSec程序應該是軟體開發生命周期的一部分。Iqbal說:「如果一開始就編寫安全代碼,並預先管理漏洞,這對保護企業的信息安全將是非常重要的。別忘了,一切都是代碼。企業的軟體、應用程式、防火牆、網絡和策略都是代碼,因為代碼經常變化,所以識別漏洞必須持續進行。」
7.企業需要採取更多措施防範供應鏈攻擊
供應鏈攻擊一直是導致2022年網絡安全問題的主要原因,一些網絡安全事件成為頭條新聞,包括針對Okra、GitHub OAuth令牌和AccessPress的黑客攻擊。2023年,防範這些威脅仍將是一個複雜的過程。Munro說:「我認為,供應鏈風險領域的快速發展讓許多企業感到困惑。我們看到大量資金投入到技術領域以解決問題,但對這些解決方案如何適應現有的生態系統缺乏了解。」
Munro表示,軟體材料清單(SBOM)帶來了新的框架和技術。Munro說: 「具有管理信息聚合的工具、補充框架,如軟體工件的供應鏈級別(SLSA)和技術標準,例如漏洞可利用性交換或VEX。這一切都增加了複雜性,增加了對網絡防禦者的挑戰。」
Lehmann補充說:「我們還應該考慮,如果硬體供應鏈受到損害將會有什麼樣的影響,以及現在擁有什麼能力。」
8. 應該將零信任作為核心理念
零信任計劃不僅僅是部署管理身份或網絡的技術。Iqbal說:「這是一種在數字交易時消除隱含信任並以展示信任取代的紀律和文化。這是一個同時進行的過程,需要跨越身份、端點設備、網絡、應用程式工作負載和數據。」
Iqbal補充說,每個產品和服務都應該支持單點登錄(SSO)/多因素身份驗證(MFA),企業和非生產網絡應該與生產環境隔離。他補充說:「通過關聯多個信號,驗證端點的最新安全態勢,並使用行為分析進行身份驗證、訪問和授權也很重要。」
9.網絡責任保險的需求可能會繼續增加
近年來,網絡責任保險已成為一種必需品,但保險費用也有所增加。此外,在確定風險領域方面,企業還面臨保險公司的更多審查。Brickhouse表示:「這一過程比過去更加嚴格,增加了獲得網絡責任保險的時間和努力。企業應該將這一過程視為一次審計——提前做好準備,將其安全計劃和控制措施記錄在案,並準備好進行驗證。」
10.軟體測試的「左移」方法已經過時
ReversingLabs公司的首席信息官Matt Rose表示,只是將風險「左移」是不夠的,雖然在早期階段通過測試來改進產品的概念是有意義的,但開發人員只是綜合應用程式安全計劃的一部分。他說:「DevOps流程的所有階段都存在風險,因此工具和調查必須在流程的各個階段轉移,而不僅僅是左移。」
Rose表示,更好的方法是在DevOps生態系統中提高安全性,包括構建系統和可部署構件本身。他補充說:「供應鏈風險和安全已變得越來越受重視,如果只實現左移,我認為不可能發現這些風險。」
11.為錯誤的資產使用錯誤的工具並不能解決問題
Halborn公司的聯合創始人、首席信息官Steven Walbroehl表示,「錘子的作用是釘釘子,而不是用來擰螺絲,因此要使用正確的工具。首席信息安全官需要觀察細微差別,為他們想要解決的問題找到合適的工具。他說:「2022年得到的一個教訓是,開發人員和企業不應該試圖將安全性泛化,並將其視為可以用於所有資產或資源的解決方案。我們都應該盡最大努力找到適合或適用於需要保護的特定技術的網絡安全解決方案或服務。」
12.企業需要理解其完整的應用程式架構
科技世界的複雜性每年都在增加,企業必須了解其整個應用程式生態系統,以避免重大安全漏洞。Rose說:「隨著開源軟體包、API、內部開發代碼、第三方開發代碼和微服務的大量使用,應用程式變得越來越複雜,所有這些都與非常靈活的雲原生開發實踐緊密相連。如果不知道要尋找哪種類型的風險,那麼如何才能找到它?」
Rose表示,現代開發實踐關注的是越來越小的責任塊,因此沒有人能夠完全處理應用程式的每個方面。
13.安全應該是一項持續的努力
科技行業以外的很多公司認為,網絡安全是一次性的措施和活動,只需執行一次,然後就會保證安全。然而,技術是動態的,因此保護它應該是一項需要風險管理方法的持續努力。Walbroehl說,「企業不應試圖將網絡安全視為一個成功或失敗的目標。」
Walbroehl建議企業識別關鍵過程和資產。然後,他們應該確定願意接受其資產或流程有何種程度的安全級別。他補充說,一個很好的主意是優先考慮將風險降低到這一水平所需的解決方案或流程。
14.制定計劃
2023年對首席信息安全官來說,很可能會讓人筋疲力盡。再次,他們將在各個方面面臨挑戰:俄烏衝突將會持續,一些國家可能會經濟衰退,科技將繼續發展和進步。這就是他們需要為事件發生的情況制定計劃的原因。Gibbons說:「與其一時衝動,不如現在就做好準備。」
Trustwave公司的Daniels對此表示認同。他說:「我們在今年得到的一個最重要的教訓是,對網絡安全採取嚴格的反應性方法實際上會減緩或危及企業的競爭力、財務狀況和市場增長。主動的、甚至是可預測的網絡安全運營,以及創建有效地將安全融入業務的程序,正在成為安全領導者的一個重要事項。」