在过去的一整年里,各企业的CISO和CIO及其网络安全团队面临着大量的入侵、广泛的供应链攻击,以及攻击者对工程系统的利用。黑客还利用了疫情所造成的混乱破坏了有价值的企业系统。黑客攻击的目标是数以百万计的远程工作者,这些远程工作者没有足够的安全保护,也没有接受过足够的培训,无法识别黑客和网络钓鱼企图,因此黑客攻击的数量猛增。
PwC年全球数字信任洞察报告(GlobalDigitalTrustInsights:CybersecurityComesofAge)的调查结果,以及VentureBeat去年与CISO的对话都表明了同样的事实:企业最关心的是保护自己的云基础设施免受基于端点的攻击。
企业将网络安全作为首要目标
根据PwC的报告,96%的企业和技术高管优先考虑他们的网络安全投资。这份报告基于对全球名企业和技术高管的采访,半数接受调查的高管表示,网络安全和隐私被纳入了每一项商业决策和计划。而年,这个数字只有接近25%。
尽管64%的企业高管预计收入将下降,但55%的高管表示,他们今年的网络安全预算将有所增加。为了进一步强调网络安全对企业的重要性,51%的企业表示计划今年增加全职网络安全人员。
Gartner的董事调查(Director’sSurvey)和外媒的报道,也证实了PwC的说法,即网络安全支出正在上升,即使在预计收入将下降的企业,网络安全支出也在快速跟进。
Gartner的调查还有以下内容:
董事会和高级管理团队认为,网络风险是最难防范的,也是对当前和未来收入来源最具潜在危害和破坏性的。董事会对安全和风险管理战略的兴趣和支持达到了历史最高水平,其重点是如何减少人为攻击对其企业成功的发生率。到年,40%的董事会成员将有一个专门的网络安全委员会,由一名合格的董事会成员监督,而目前这一比例还不到10%。到年,60%的CISO将需要与销售、财务和营销领域的主要高管建立关键的合作伙伴关系,而目前这一比例还不到20%,网络安全已经成为企业成功的重要组成部分。年首要网络安全经验教训
企业必须在短时间内找到更好的运营模式,才能在被迫的远程工作中保持更好的状态,而且需要不断学习数字技术。根据麦肯锡最近的调查,企业现在在数字转型方面比计划提前了7年。年创纪录的电子商务收入结果反映了许多组织这一努力的成功。另一方面,许多网络安全事故(其中许多仍未解决)反映了这种努力的失败。
年,黑客利用网络安全漏洞进行了多次攻击。在年学到的许多教训中,或许最有价值的是人的因素必须放在第一位。
以下是这些CISO和CIO总结的十大经验教训:
1.供应链很容易受到网络攻击。美国国土安全部网络安全与基础设施安全局(CISA)的恶意网络行为者威胁分析所利用的数据显示,网络犯罪分子和进阶持续性渗透攻击组织伪装成受信任的实体(例如,制药公司和医疗保健提供商),以获得疫情中疫苗供应链遭受攻击时的特权访问凭证。攻击者依靠的技术包括钓鱼、恶意软件分发、通过使用与疫情相关的术语冒充合法域名,以及攻击远程访问和远程工作基础设施。根据情报特别小组追踪,去年,一场全球性的网络钓鱼攻击将目标对准了美国疫苗冷藏链。CISO们表示,特权访问管理(Privilegedaccessmanagement,PAM)是去年IT预算削减后幸存下来的一个领域。这一领域的领导者包括BeyondTrust、Centrify、CyberArk和Thycotic。
2.在线工作和自我诊断、自我修复的端点成为必要。随着众多员工开始远程工作,端点保护比以往任何时候都更加重要。端点保护平台必须能够安全地配置、修补和管理操作系统和应用程序。这还必须包括更新安全协议。这一领域的领导者包括微软、CrowdStrike、TrendMicro和Sophos等。在AbsoluteSoftware的方法中,这种保护被嵌入到来自戴尔、惠普、联想和其他23家制造商的设备的BIOS中,以提供有用的资产管理数据和持续的保护。
3.非接触式商务意味着QR码现在是增长最快威胁载体。年,企业转而使用QR码进行无接触交易,骗子利用这一趋势大赚了一笔。这种转变使得统一端点管理(UEM)、无密码多因素身份验证(ZeroSign-On)和移动威胁防御(MTD)对移动设备至关重要。攻击者可以访问和窃取受害者的银行账户,在设备上安装恶意软件,并渗透整个公司网络。调查显示,恶意QR码可用于打开网页,付款或发送消息,而无需用户授权。
4.对托管服务提供商(MSP)的网络攻击正在增长。MSP之所以具有吸引力,是因为一旦网络犯罪分子获得了进入MSP内部系统的权限,所有客户都会暴露。年,网络犯罪团伙以比前几年更大的强度攻击,获取作为其客户的更大组织的信息。美国特勤局在6月12日发布的妥协管理服务提供商信息警报中表示:“威胁行为者正在利用被黑客攻击的MSP对服务提供商客户的销售点(POS)系统发动网络攻击,并实施商务电子邮件攻击和勒索软件攻击。”美国国家网路安全中心和美国国家标准与技术研究所已经为MSP公布了关于如何防御和从攻击中恢复的建议。建议包括加密休息或传输过程中的所有数据,以防止意外和恶意的数据泄露。提供支持多云配置的基于云的密钥管理系统的供应商包括Fortanix、MicroFocus、Sepior、Thales、TownsendSecurity和Utimaco。
5.攻击者可以破坏软件供应链,修改可执行文件。SolarWinds入侵事件表明,攻击者可以渗透软件供应链并修改可执行文件,同时模仿协议流量以避免被发现。企业软件公司,特别是那些参与网络安全的公司,需要在其DevOps程序中设计预防性特权访问控制,并通过基于检测的控制加强这些控制(通常包括在特权身份管理平台中)。SolarWinds告诉每个人将多重预防控制作为PIM策略的一部分是必不可少的。关键因素包括拥有强密码、轮换密码、采用双重身份验证,以及要求拥有特权的用户以自己的身份登录,以便更好地进行审计和问责。根据ForresterWave:PrivilegedIdentityManagement(PIM),第四季度的报告,该领域的领导者包括CyberArk、BeyondTrust、Thycotic和Centrify。
6.社交工程可能会危及社交媒体平台。网络攻击者在犯罪论坛上以美元的价格出售了2.67亿个Facebook用户档案。名人和政治人物的高知名度推特账户被劫持,用于推广一个加密货币骗局。在此次Twitter泄密事件中,黑客们使用了多种技术来访问账户,包括贿赂Twitter员工以获取特权账户凭证和管理工具。这些事件凸显了MFA和PAM价值的鲜明教训,并表明现在是社交媒体平台要求MFA创建一个账户的时候了。领先的MFA解决方案提供商包括微软、DuoSecurity、Okta、PingIdentity和Symantec。
7.使用零信任来管理计算机身份。IT团队将物联网传感器和设备推广到生产环境中,需要以符合组织零信任框架的方式对设备进行微分。为了防止基于恶意软件的僵尸网络攻击,必须采取最低特权访问方法来保护这些设备。僵尸网络之所以能够变得如此庞大和强大,是因为许多机器和物联网设备没有遵循零信任模型,而是使用默认安全凭证在线部署。领先的零信任机器身份安全提供商是BeyondTrust、Centreify、CyberArk和Thycotic。另一个需要注意的是HashiCorp,它提供了一个专用的保管库,该保管库可以扩展以在整个DevOps周期中保护机器身份。
8.恶意行为者公开医疗保健记录。从偷取医疗中心的笔记本电脑到贿赂医务人员以获取管理登录和密码,恶意行为者将窃取和出售受保护的健康信息(PHI)列为高度优先事项。一个最大的基于笔记本电脑的漏洞最近泄露了600个病人的病历,因为有人从俄勒冈州一家为健康服务的运输供应商那里偷走了一台笔记本电脑。这些记录包括患者姓名、联系方式、出生日期和医疗补助号码。对美国卫生和公众服务部(HHS)漏洞门户网站的快速扫描显示,在医疗保健行业,平均被盗笔记本电脑包含超过个可用的PHI记录。
9.云安全错误配置是导致云数据泄露的主要原因。错误配置的云系统为不良分子访问密码存储和密码管理系统提供了机会。根据对个CISO的调查,每10家美国公司中就有8家因为错误配置云服务器和账户而遭遇数据泄露。排在前三位的云安全威胁是:生产环境中的配置错误、缺乏对生产环境中谁拥有访问权限的可见性,以及配置不当的身份访问管理(IAM)和权限。我们需要的是在应用程序和平台的整个生命周期中持续评估和改进云安全配置。云安全态势管理(CSPM)平台提供商包括AlertLogic、CrowdStrike、PaloAltoNetworks、Saviynt、Sonrai和VMWare。
10.基础架构监测对于识别异常现象至关重要。发生违规的原因要么是管理员没有实现监控,要么是没有配置监控来发现异常事件。这也是去年网络安全的主要弱点之一。事实证明,日志监控系统对于实时识别机器端点配置和性能异常非常重要。AIOps可有效地实时识别异常和性能事件相关性,从而有助于提高业务连续性。LogicMonitor是该领域的领导者之一,其基于AIOps的基础架构监视和可观察性平台在解决基础架构问题和确保业务连续性方面被证明是成功的。
编译:芒果果
发自:思否编辑部
本文是翻译,阅读原文: