2021年你必須掌握的4大安全趨勢(shì),看這篇就夠了!

Michael Nadeau
壞消息:勒索軟件的威脅越來(lái)越大,并且更難找到安全人才。好消息:首席信息安全官會(huì)越來(lái)越有影響力,安全基礎(chǔ)設(shè)施將得到改善。

1.webp.jpg

2020年,新冠疫情給安全部門(mén)制造了困難。勒索軟件攻擊在增加。遠(yuǎn)程工作被迫中斷,安全進(jìn)程也被削弱。首席信息安全官不得不調(diào)整其短期和長(zhǎng)期計(jì)劃。2021年會(huì)好一些嗎?

會(huì)有所不同,但有些情況可能會(huì)變得更糟。首席安全官一直在關(guān)注4個(gè)關(guān)鍵趨勢(shì),以預(yù)測(cè)這些趨勢(shì)在2021年怎樣發(fā)展。所有這些都是由這場(chǎng)疫情所造成或者所影響的,這將對(duì)威脅局面以及安全部門(mén)怎樣保護(hù)員工和資產(chǎn)產(chǎn)生長(zhǎng)期影響。

勒索軟件:更大,更卑鄙,更狡猾

網(wǎng)絡(luò)犯罪分子是機(jī)會(huì)主義者。這場(chǎng)疫情使得企業(yè)在疲于應(yīng)對(duì)危機(jī)時(shí)變得更為脆弱。2020年成為勒索軟件攻擊最為猖狂的一年,主要表現(xiàn)在攻擊量的增加。網(wǎng)絡(luò)保險(xiǎn)提供商Coalition報(bào)告稱(chēng),勒索軟件攻擊占2020年上半年提交的所有網(wǎng)絡(luò)保險(xiǎn)索賠的41%。

努力應(yīng)對(duì)這場(chǎng)疫情的企業(yè)、學(xué)校和醫(yī)療健康機(jī)構(gòu),無(wú)法承受由于勒索軟件攻擊而導(dǎo)致系統(tǒng)離線,攻擊者知道他們因此而更有可能支付贖金。據(jù)去年8月和9月進(jìn)行的2020年Crowdstrike全球安全態(tài)度調(diào)查,在過(guò)去12個(gè)月中,27%的勒索軟件受害者支付了贖金,平均支付了110萬(wàn)美元。

攻擊者最近改變了策略,對(duì)受害者變本加厲。他們改進(jìn)了其加密方案的實(shí)施,使其更難被破解?,F(xiàn)在,一些犯罪分子不再簡(jiǎn)單地加密關(guān)鍵數(shù)據(jù),而是竊取敏感數(shù)據(jù),并威脅說(shuō),如果不支付贖金,就會(huì)將數(shù)據(jù)公開(kāi)。例如,F(xiàn)IN11集團(tuán)直到最近還是一直專(zhuān)注于從金融、零售和餐飲企業(yè)勒索錢(qián)財(cái)。去年,他們把重點(diǎn)轉(zhuǎn)移到勒索軟件上,并建立了一個(gè)網(wǎng)站,公布從拒絕支付贖金的公司竊取的數(shù)據(jù)。

Cloudflare報(bào)告說(shuō),包括Fancy Bear、Cozy Bear和Lazarus在內(nèi)的一些組織正在實(shí)施基于贖金的分布式拒絕服務(wù)(DDoS)攻擊。攻擊者威脅說(shuō),如果不支付贖金,他們會(huì)用DDoS攻擊來(lái)破壞目標(biāo)受害者的網(wǎng)絡(luò),有時(shí)還會(huì)同步進(jìn)行可造成輕微破壞的“挑逗式”攻擊。

勒索的越來(lái)越狠,目標(biāo)是最脆弱的受害者,以及使加密數(shù)據(jù)更加難以恢復(fù)的策略,等等,所有這些將使勒索軟件成為2021年網(wǎng)絡(luò)犯罪最有利可圖的“業(yè)務(wù)”,也是所有企業(yè)面臨的最大威脅。因此,首席信息安全官在未來(lái)一年中一定要遵守最佳實(shí)踐以緩解勒索軟件風(fēng)險(xiǎn),這一點(diǎn)非常重要。

首席信息安全官承擔(dān)了更多的角色

正如網(wǎng)絡(luò)犯罪分子在破壞中看到機(jī)會(huì)一樣,首席信息安全官也有機(jī)會(huì)在管理層發(fā)揮更大的作用。疫情提高了對(duì)安全的重視。越來(lái)越多的攻擊,尤其是勒索軟件導(dǎo)致的攻擊,已經(jīng)引起了首席執(zhí)行官、首席財(cái)務(wù)官和董事會(huì)的注意,他們期待著首席信息安全官做出回應(yīng)。疫情引發(fā)的企業(yè)進(jìn)行數(shù)字化轉(zhuǎn)型的熱潮反而會(huì)增大安全風(fēng)險(xiǎn),首席信息安全官因此應(yīng)參與轉(zhuǎn)型工作。突然間需要為大量遠(yuǎn)程工作員工提供安全支持,這引起了對(duì)系統(tǒng)和數(shù)據(jù)漏洞的擔(dān)憂。

2.webp.jpg

最成功的首席信息安全官總是在業(yè)務(wù)大環(huán)境下看待安全功能。隨著他們現(xiàn)在得到了更多的關(guān)注,這一點(diǎn)也更為重要了。那么,他們?cè)趫?zhí)行力上要有信心,更要有信心管理好疫情導(dǎo)致的復(fù)雜運(yùn)營(yíng)變化。

在最近召開(kāi)的CSO50大會(huì)上,麥當(dāng)勞公司副總裁兼全球首席信息安全官Tim Youngblood討論了首席信息安全官要想取得成功,現(xiàn)在應(yīng)該做些什么。首先是要熟悉工作的技術(shù)方面,而Youngblood強(qiáng)調(diào)了卓越運(yùn)營(yíng)的必要性,他認(rèn)為這是首席信息安全官開(kāi)展其他工作的前提。

他以管理身份為例。他說(shuō):“這是你與公司所有資產(chǎn)進(jìn)行聯(lián)系的途徑。歸根結(jié)底,盡管身份認(rèn)證的一個(gè)重要作用是安全保護(hù),但我們實(shí)際是在為環(huán)境中的一切創(chuàng)造條件。這就是卓越運(yùn)營(yíng)變得如此重要的原因。如果你在運(yùn)營(yíng)上得不到信任,那么在任何其他事情上也得不到信任。”

Youngblood還建議安全部門(mén)領(lǐng)導(dǎo)與業(yè)務(wù)部門(mén)領(lǐng)導(dǎo)展開(kāi)合作。“我們擁有了話語(yǔ)權(quán)。我們經(jīng)常被要求向董事會(huì)匯報(bào)。既然我們有了話語(yǔ)權(quán),那就必須展示我們的價(jià)值。”這意味著不僅要討論威脅和緩解措施,還要解釋安全因素怎樣促使業(yè)務(wù)部門(mén)成為合作伙伴。他說(shuō):“如果你是合作伙伴,而且大家都認(rèn)同,那么你的成功就是他們的成功。”

成功的合作需要良好的溝通。沃特迪斯尼公司負(fù)責(zé)信息安全和風(fēng)險(xiǎn)管理的高級(jí)副總裁Greg Wood在CSO50會(huì)議上談到了首席信息安全官在進(jìn)入2021年后應(yīng)該怎樣討論安全性。“首席信息安全官應(yīng)能夠在企業(yè)不同的層面談?wù)摼W(wǎng)絡(luò)安全問(wèn)題,他們要知道自己所在的層面。”他說(shuō),首席信息安全官在與精通技術(shù)的同事交談時(shí)必須能夠展示自己的技術(shù)知識(shí),這樣才能讓人覺(jué)得自己有“街頭信譽(yù)”,而更重要的是,首席信息安全官在進(jìn)行交流時(shí),一定要使用業(yè)務(wù)部門(mén)每個(gè)合作伙伴的“語(yǔ)言、焦點(diǎn)、視角”。

Wood說(shuō):“我們現(xiàn)在更多地被拉去參加業(yè)務(wù)戰(zhàn)略會(huì)議,而以前只是參加技術(shù)戰(zhàn)略會(huì)議。如果不是因?yàn)槭紫畔⒐傧胱屇闳?,而是首席?cái)務(wù)官想讓你去的時(shí)候,這就標(biāo)志著企業(yè)和各個(gè)業(yè)務(wù)部門(mén)本身的成熟。”

重塑首席信息安全官角色的不僅僅是新冠疫情。新的隱私和安全法規(guī)也在發(fā)揮作用。TikTok的首席安全官Roland Cloutier在CSO50會(huì)議上說(shuō):“我們的工作已經(jīng)從根本上改變了。我們的服務(wù)需要改變,特別是在怎樣保護(hù)數(shù)據(jù)方面。你怎樣推動(dòng)數(shù)據(jù)防御計(jì)劃,這與企業(yè)中的其他專(zhuān)業(yè)相互交叉,涉及到隱私、IT、數(shù)據(jù)管理和數(shù)據(jù)治理等。這遠(yuǎn)遠(yuǎn)超出了網(wǎng)絡(luò)防御行動(dòng)的范疇。我們的重點(diǎn)是數(shù)據(jù)級(jí)別的控制、保證和監(jiān)控,以及怎樣將其集成到安全平臺(tái)中。”

Cloutier說(shuō),首席信息安全官要想很好地應(yīng)對(duì)這些新的監(jiān)管要求,關(guān)鍵是要與自己企業(yè)的總法律顧問(wèn)和隱私管理部門(mén)保持良好的關(guān)系。我們需要對(duì)我們的業(yè)務(wù)、我們提供的服務(wù)以及在哪里提供服務(wù)有清晰的認(rèn)識(shí)。一旦了解了自己的具體業(yè)務(wù),而且建立了良好的關(guān)系,你就可以開(kāi)始構(gòu)建所要提供的服務(wù)了。

重新評(píng)估安全策略和技術(shù)堆棧

如果端點(diǎn)可以在任何地方,或者可能在不受你控制的設(shè)備上,那么怎么保護(hù)它們呢?你的企業(yè)是否準(zhǔn)備好應(yīng)對(duì)越來(lái)越復(fù)雜和專(zhuān)業(yè)化的有組織網(wǎng)絡(luò)犯罪了嗎?你的安全基礎(chǔ)設(shè)施和員工能否進(jìn)行調(diào)整并適應(yīng)快速的變化?

3.webp.jpg

在疫情期間由于轉(zhuǎn)為居家辦公模式而導(dǎo)致安全部門(mén)突然要保護(hù)很多新上的遠(yuǎn)程端點(diǎn),而這些端點(diǎn)很可能將成為永久性的。Skybox新常態(tài)下的網(wǎng)絡(luò)安全調(diào)查顯示,70%的企業(yè)預(yù)計(jì),至少有1/3的遠(yuǎn)程員工會(huì)在18個(gè)月內(nèi)一直保持遠(yuǎn)程工作狀態(tài)。必須重新考慮認(rèn)為此舉是臨時(shí)性的安全措施。

此次疫情還促使企業(yè)啟動(dòng)并加快數(shù)字轉(zhuǎn)型項(xiàng)目,這意味著要將更多的系統(tǒng)遷移到云端。這也需要重新思考安全戰(zhàn)略和基礎(chǔ)設(shè)施。

安全領(lǐng)導(dǎo)們?cè)絹?lái)越關(guān)注民族國(guó)家及其代理人造成的直接和間接威脅。在Crowdstrike的調(diào)查中,87%的受訪者表示,國(guó)家發(fā)起的攻擊比大多數(shù)人想象的要普遍,73%的受訪者表示,此類(lèi)攻擊是2021年他們這樣的企業(yè)面臨的最大威脅。毫不奇怪,在疫情期間,生物技術(shù)和制藥企業(yè)說(shuō)他們面臨的風(fēng)險(xiǎn)最高(82%)。這還沒(méi)有考慮到他們的代理人獨(dú)立行動(dòng)所帶來(lái)的間接的民族國(guó)家威脅,也沒(méi)有考慮到犯罪集團(tuán)能更好地利用他們的策略、工具和程序(TTP,Tactics,Tools and Procedures)。

據(jù)IDG的安全重要事項(xiàng)研究,為了應(yīng)對(duì)這些永久性的變化和加劇的威脅,一些企業(yè)打算在2021年試驗(yàn)或者實(shí)施幾項(xiàng)技術(shù)。受訪者表示,他們將在2021年評(píng)估或者投資以下這些技術(shù):

零信任(40%)。

欺騙技術(shù)(32%)。

身份驗(yàn)證解決方案(32%)。

訪問(wèn)控制(27%)。

應(yīng)用程序監(jiān)控(25%)。

基于云的安全服務(wù)(22%)。

對(duì)安全人才的需求上升

隨著安全領(lǐng)導(dǎo)們逐漸適應(yīng)了此次疫情帶來(lái)的長(zhǎng)期變化,很多企業(yè)可能想增加工作人員或者改變其安全部門(mén)的組成。即使在形勢(shì)最好的時(shí)候,這也很困難,隨著所有企業(yè)都在重新評(píng)估人員需求,2021年,肯定會(huì)更難招到安全人才。

安全部門(mén)在很大程度上躲過(guò)了疫情導(dǎo)致的裁員——在Crowdstrike的調(diào)查中,只有24%的受訪者說(shuō)他們的員工因疫情而流失,35%的受訪者表示停止了招聘安全方面的新人。所以,不要指望2021年會(huì)因?yàn)椴脝T而有大量人才涌入市場(chǎng)。對(duì)人才的需求似乎也在增長(zhǎng)。提供網(wǎng)絡(luò)安全就業(yè)市場(chǎng)數(shù)據(jù)的CyberSeek公司指出,在撰寫(xiě)本文時(shí),美國(guó)約有52.5萬(wàn)個(gè)開(kāi)放安全崗位,而疫情開(kāi)始前只有39萬(wàn)個(gè)。然而糟糕的是,Emsi研究公司在去年7月份報(bào)告說(shuō),符合條件的求職者只有不到20萬(wàn)人。

一種選擇是考慮遠(yuǎn)程安全工作員工。很多企業(yè)拒絕聘用遠(yuǎn)程安全專(zhuān)業(yè)人員,但這場(chǎng)疫情證明,并不是所有安全人才都需要在現(xiàn)場(chǎng)工作。這樣,企業(yè)可以將其對(duì)難覓人才的搜索范圍擴(kuò)大到不同的地理區(qū)域。

Emsi研究公司的報(bào)告提出了一些填補(bǔ)空缺安全職位的建議。首先是培訓(xùn)非安全人員,這就是所謂的“自建,不買(mǎi)”的方法。該報(bào)告稱(chēng),IT、財(cái)務(wù)和業(yè)務(wù)運(yùn)營(yíng)人員是最有可能接受再培訓(xùn)的員工,向網(wǎng)絡(luò)安全轉(zhuǎn)型的比率最高。每個(gè)人都有自己的領(lǐng)域知識(shí),比如網(wǎng)絡(luò)系統(tǒng)、金融交易和業(yè)務(wù)流程等,這些知識(shí)可以增強(qiáng)他們所學(xué)的任何安全技能。

另一個(gè)建議是用人單位、教育機(jī)構(gòu)和當(dāng)?shù)貑T工一起發(fā)展合作項(xiàng)目。通過(guò)確定具體的安全需求,他們可以在當(dāng)?shù)毓餐囵B(yǎng)人才。例如,廣泛說(shuō)明安全認(rèn)證的價(jià)值并降低認(rèn)證成本,使求職者更容易從事安全工作。

作者:Michael Nadeau是CSO Online的高級(jí)編輯。他是雜志、書(shū)籍和知識(shí)庫(kù)出版商和編輯,幫助企業(yè)充分發(fā)揮其ERP系統(tǒng)的優(yōu)勢(shì)。

編譯:Charles

原文網(wǎng)址:https://www.csoonline.com/article/3600126/top-4-security-trends-to-watch-for-2021.html

微信排版:??伸?/p>

排版審核:劉沙

THEEND

最新評(píng)論(評(píng)論僅代表用戶(hù)觀點(diǎn))

更多
暫無(wú)評(píng)論