本文來(lái)自微信公眾號(hào)“安全牛”。
2022年即將過(guò)去,在這一年中新冠疫情發(fā)展進(jìn)入了新的階段,許多員工重返辦公室,由于地緣沖突導(dǎo)致的安全事件大幅度增多,多家大型企業(yè)因網(wǎng)絡(luò)攻擊或數(shù)據(jù)泄露而受到嚴(yán)重處罰,甚至有安全管理者因此而鋃鐺入獄。2022年,許多企業(yè)為了保障數(shù)字化轉(zhuǎn)型的穩(wěn)定開(kāi)展而增加了安全預(yù)算,但是他們也意識(shí)到,如果安全團(tuán)隊(duì)沒(méi)有一套合理的網(wǎng)絡(luò)安全計(jì)劃和方法,這些安全投資可能會(huì)打水漂。
回顧過(guò)往、總結(jié)經(jīng)驗(yàn),可以為未來(lái)發(fā)展指明道路,為此,專(zhuān)業(yè)安全媒體《CSO》網(wǎng)站邀請(qǐng)了多位一線CISO專(zhuān)家,分享了他們?cè)?022年實(shí)際工作中的主要感受和經(jīng)驗(yàn)教訓(xùn)。企業(yè)組織可以通過(guò)借鑒這些經(jīng)驗(yàn)教訓(xùn),更好地完善安全實(shí)踐,加強(qiáng)在審計(jì)和第三方風(fēng)險(xiǎn)評(píng)估方面的審查,保障企業(yè)數(shù)字化業(yè)務(wù)的安全開(kāi)展。
1
提前預(yù)防地緣政治沖突引發(fā)的安全危害
2022年初,東歐地區(qū)爆發(fā)了激烈的地緣軍事沖突,該事件促使一些民族主義分子和犯罪組織卷入其中,并嚴(yán)重波及了很多企業(yè)組織。谷歌云CISO辦公室主任Taylor Lehmann表示,不要等到擁有強(qiáng)大進(jìn)攻性網(wǎng)絡(luò)安全團(tuán)隊(duì)的國(guó)家之間已經(jīng)發(fā)生激烈地緣政治沖突時(shí),才去評(píng)估企業(yè)組織的安全態(tài)勢(shì)是否能合理地抵御這些威脅和攻擊。企業(yè)和政府機(jī)構(gòu)常常需要數(shù)年時(shí)間才能堵住這些評(píng)估中發(fā)現(xiàn)的缺口,并實(shí)施建議的控制措施。網(wǎng)絡(luò)安全方面采取完全被動(dòng)的方法實(shí)際上會(huì)使企業(yè)的競(jìng)爭(zhēng)力、財(cái)務(wù)狀況和市場(chǎng)增長(zhǎng)面臨風(fēng)險(xiǎn),因此盡早提出問(wèn)題大有助益。
2
安全意識(shí)薄弱的后果更嚴(yán)重
勒索軟件攻擊在2022年快速增加,英偉達(dá)、豐田、Optus、Medibank等大型企業(yè)組織在2022年都成為了受害者。GuidePoint Security的CISO Gary Brickhouse表示,員工安全意識(shí)教育和培訓(xùn)應(yīng)該成為任何組織構(gòu)建安全防御戰(zhàn)略的基礎(chǔ),因?yàn)橥{分子越來(lái)越多的通過(guò)網(wǎng)絡(luò)釣魚(yú)及其他社會(huì)工程來(lái)發(fā)起攻擊。不過(guò)目前,我們看到了一個(gè)積極動(dòng)向,由于董事會(huì)和管理層看到了這些攻擊給業(yè)務(wù)運(yùn)營(yíng)造成的影響,已經(jīng)開(kāi)始為加強(qiáng)員工安全意識(shí)付諸行動(dòng)。
3
更密切地跟蹤開(kāi)源軟件
2021年底爆發(fā)的Log4j漏洞危機(jī)所造成的影響幾乎持續(xù)了2022年全年,涉及的企業(yè)組織數(shù)量超過(guò)萬(wàn)家,甚至在未來(lái)很長(zhǎng)時(shí)間還會(huì)繼續(xù)成為風(fēng)險(xiǎn)隱患。Thrive CISO Chip Gibbons表示,Log4j漏洞給業(yè)內(nèi)許多人敲響了警鐘。許多組織只關(guān)注面向互聯(lián)網(wǎng)的應(yīng)用,但卻不知道其中究竟應(yīng)用了哪些開(kāi)源組件。
雖然Log4j問(wèn)題造成了混亂,但也帶來(lái)了學(xué)習(xí)的機(jī)會(huì)。Sumo Logic的CSO兼高級(jí)副總裁George Gerchow表示,這讓我們得以改進(jìn)事件響應(yīng)和資產(chǎn)跟蹤。許多公司開(kāi)始投入更多的精力來(lái)跟蹤開(kāi)源軟件,因?yàn)槠髽I(yè)發(fā)現(xiàn)不能盲目信任所使用的軟件。
4
識(shí)別應(yīng)用代碼中的漏洞
組織還應(yīng)該更專(zhuān)注于識(shí)別應(yīng)用代碼中的漏洞,然而這絕非易事。漏洞管理工具有助于識(shí)別操作系統(tǒng)應(yīng)用程序中發(fā)現(xiàn)的漏洞,并確定其優(yōu)先級(jí)。一項(xiàng)好的應(yīng)用程序安全計(jì)劃應(yīng)該是軟件開(kāi)發(fā)生命周期的一部分。從軟件項(xiàng)目的開(kāi)始就編寫(xiě)安全代碼,并預(yù)先管理漏洞,這對(duì)于保護(hù)企業(yè)應(yīng)用安全大有助益。數(shù)字化發(fā)展的一切都是靠代碼去實(shí)現(xiàn)的,所有的軟件、應(yīng)用程序、防火墻、網(wǎng)絡(luò)和策略都是需要代碼支撐,由于代碼常常進(jìn)行版本迭代,所以必須持續(xù)不斷地識(shí)別漏洞。
5
需要加大防范供應(yīng)鏈攻擊的力度
供應(yīng)鏈攻擊是2022年網(wǎng)絡(luò)安全問(wèn)題的主要原因,2023年,防范這些威脅仍將任重而道遠(yuǎn)。軟件材料清單(SBOM)是一種新的軟件供應(yīng)鏈安全框架和技術(shù)。市面上還有很多管理信息整合的工具,比如軟件組件的供應(yīng)鏈級(jí)別(SLSA)、漏洞可利用性交換(VEX)等。這一切增添了供應(yīng)鏈安全管理工作的復(fù)雜性,也加大了企業(yè)面臨的難度。此外,企業(yè)還應(yīng)該考慮:如果硬件供應(yīng)鏈?zhǔn)艿轿:?,我們?huì)受到怎樣的影響;我們現(xiàn)在又有什么能力,或者需要準(zhǔn)備好哪些能力,以考量那些硬件計(jì)算平臺(tái)的可信度。
6
零信任安全建設(shè)成為核心理念
零信任計(jì)劃的重心并非只是部署管理身份或網(wǎng)絡(luò)的技術(shù)。零信任是數(shù)字交易時(shí)消除隱式信任,建立顯式信任的一種理念。這個(gè)流程需要兼顧身份、端點(diǎn)、網(wǎng)絡(luò)、應(yīng)用程序工作負(fù)載和數(shù)據(jù)。企業(yè)要為每個(gè)產(chǎn)品或服務(wù)都賦予數(shù)字化身份,并進(jìn)行有效的驗(yàn)證和管理,企業(yè)中的網(wǎng)絡(luò)系統(tǒng)應(yīng)該做好分類(lèi)并實(shí)現(xiàn)隔離。通過(guò)零信任建設(shè),企業(yè)將可以有效面對(duì)很多未知威脅引發(fā)的安全危害。
7
網(wǎng)絡(luò)保險(xiǎn)需求繼續(xù)加大
由于沒(méi)有絕對(duì)的安全防護(hù),因此近年來(lái),網(wǎng)絡(luò)保險(xiǎn)受到很多企業(yè)的歡迎,但保費(fèi)隨之上漲。此外,企業(yè)組織在投保時(shí),會(huì)受到保險(xiǎn)公司更嚴(yán)格的安全審查,以識(shí)別在哪些方面存在風(fēng)險(xiǎn)。這個(gè)過(guò)程比過(guò)去嚴(yán)格得多,增加了企業(yè)購(gòu)買(mǎi)網(wǎng)絡(luò)責(zé)任險(xiǎn)的時(shí)間和精力。組織應(yīng)該像對(duì)待審計(jì)一樣對(duì)待這個(gè)過(guò)程,即提前做好準(zhǔn)備,詳細(xì)記錄安全計(jì)劃和控制措施,并隨時(shí)準(zhǔn)備接受驗(yàn)證。
8
安全測(cè)試左移的方法已經(jīng)過(guò)時(shí)
ReversingLabs公司CISO Matt Rose表示,僅僅尋找左側(cè)(即早期)的風(fēng)險(xiǎn)還不夠。雖然在早期階段通過(guò)測(cè)試來(lái)改進(jìn)產(chǎn)品這個(gè)概念很明智,但開(kāi)發(fā)人員只是綜合應(yīng)用程序安全計(jì)劃的一部分。DevOps流程的所有階段都存在風(fēng)險(xiǎn),因此工具和調(diào)查必須在流程的各個(gè)階段都要有所轉(zhuǎn)變,而不僅僅是早期。如果組織只關(guān)注尋找早期的安全問(wèn)題,那么也只會(huì)發(fā)現(xiàn)早期的安全風(fēng)險(xiǎn)。更好的方法是在DevOps生態(tài)系統(tǒng)中全面提高安全性,包括構(gòu)建系統(tǒng)和可部署構(gòu)件本身。供應(yīng)鏈風(fēng)險(xiǎn)和安全已變得越來(lái)越重要,如果你只關(guān)注左側(cè),將不可能全面發(fā)現(xiàn)風(fēng)險(xiǎn)。
9
用錯(cuò)誤的工具解決不了網(wǎng)絡(luò)安全問(wèn)題
Halborn公司的聯(lián)合創(chuàng)始人兼CISO Steven Walbroehl表示,錘子是用來(lái)釘釘子的,而不是用來(lái)擰螺絲的。2022年,我們要汲取的一個(gè)教訓(xùn)是,企業(yè)不可能通過(guò)一套安全方案建設(shè),解決所有資產(chǎn)或資源的網(wǎng)絡(luò)安全問(wèn)題。因此,CISO需要觀察細(xì)致入微,為想要解決的各種網(wǎng)絡(luò)安全問(wèn)題分別找到合適的工具和方法。
10
幫助CISO了解完整的應(yīng)用程序架構(gòu)
信息化技術(shù)的發(fā)展一年比一年來(lái)得復(fù)雜,組織必須了解整個(gè)應(yīng)用系統(tǒng)的整體生態(tài),才可以避免重大的安全漏洞存在。2022年,我們看到開(kāi)源軟件包、API、自研代碼、第三方開(kāi)發(fā)的代碼和微服務(wù)的使用繼續(xù)快速增加,而所有這些都與極具流動(dòng)性的云原生開(kāi)發(fā)實(shí)踐密切相關(guān),現(xiàn)代應(yīng)用程序變得越來(lái)越復(fù)雜。如果企業(yè)都不知道要尋找什么類(lèi)型的風(fēng)險(xiǎn),那么安全防護(hù)將無(wú)從談起。在現(xiàn)代開(kāi)發(fā)實(shí)踐側(cè)重于細(xì)分責(zé)任,因此沒(méi)有人能夠完全掌控應(yīng)用程序的每個(gè)方面。CISO需要更多幫助,才能了解完整的應(yīng)用程序架構(gòu)。
11
安全工作需要持之以恒
網(wǎng)絡(luò)安全不是一蹴而就的,信息技術(shù)應(yīng)用在動(dòng)態(tài)變化,因此安全保護(hù)技術(shù)也應(yīng)該是持續(xù)性工作,需要一套風(fēng)險(xiǎn)管理方法。企業(yè)需要識(shí)別關(guān)鍵業(yè)務(wù)過(guò)程和資產(chǎn),然后確定它們能夠接受何種程度的安全暴露。一個(gè)好的方法是優(yōu)先考慮將安全風(fēng)險(xiǎn)降低到業(yè)務(wù)人員愿意接受的程度,并以此開(kāi)展安全建設(shè)工作和流程計(jì)劃。
12
關(guān)注網(wǎng)絡(luò)安全法規(guī)的更新變化
NCC Group集團(tuán)CISO Lawrence Munro表示,我們看到有關(guān)政府機(jī)構(gòu)正在繼續(xù)通過(guò)立法來(lái)干預(yù)網(wǎng)絡(luò)安全的態(tài)勢(shì)發(fā)展。美國(guó)、英國(guó)和歐盟均已加強(qiáng)了立法,以更有效地防范網(wǎng)絡(luò)事件。
因此,企業(yè)組織需要密切注意數(shù)據(jù)隱私和安全保護(hù)法規(guī)不斷變化和完善這一事實(shí)。CISO要了解數(shù)據(jù)駐留、數(shù)據(jù)主權(quán)和數(shù)據(jù)本地化之間的差異,并使組織準(zhǔn)備好滿足這三方面的要求,這是企業(yè)數(shù)字化發(fā)展中至關(guān)重要的合規(guī)需求,而將來(lái)只會(huì)越來(lái)越嚴(yán)格。