2020年，在新冠疫情和網(wǎng)絡(luò)攻擊的雙重“壓力測試”之下，很多企業(yè)的網(wǎng)絡(luò)安全運營工作暴露出了新的弱點。面對充滿不確定性的2021，全球的企業(yè)網(wǎng)絡(luò)安全人士能夠從2020年汲取哪些經(jīng)驗?zāi)?以下我們整理了多家美國網(wǎng)絡(luò)安全企業(yè)的調(diào)研分析，匯總為六大經(jīng)驗教訓(xùn)：

[[350811]]

安全運營中心(SOC)需要重新校準(zhǔn)

新冠疫情引發(fā)的大規(guī)模遠程辦公給本就不堪重負的安全運營中心(SOC)帶來了巨大壓力。安全公司Exabeam對管理和運營SOC的約1,005名網(wǎng)絡(luò)安全專業(yè)人員的調(diào)查中，有35%的受訪美國企業(yè)安全人士認為疫情期間的團隊交流是最大挑戰(zhàn)。34%的人報告難以調(diào)查安全事件，而30%的人認為缺乏對單個網(wǎng)絡(luò)的可見性是一個問題。接受調(diào)查的美國SOC人員中，近二分之一(47%)表示新工具(包括SaaS應(yīng)用程序)存在問題。

SANS研究所新興安全趨勢主管John Pescatore表示：“流程不成熟的SOC的管理者發(fā)現(xiàn)，當(dāng)SOC團隊不在同一房間時，工作沒有任何效率可言。”

展望未來，安全運營小組將需要實施更完善的體系結(jié)構(gòu)，以解決大部分人員處于遠程狀態(tài)的混合辦公環(huán)境需求。

Omdia的分析師Eric Parizo說：“安全信息和事件管理(SIEM)是SOC的重要引擎，將經(jīng)歷重大變革。新分配的勞動力和正在進行的數(shù)字化轉(zhuǎn)型計劃將加快SIEM向云端過渡。”

“作為基于云的SecOps解決方案的新核心，下一代SIEM將基于SaaS，提供內(nèi)置的活動和行為分析，并提供基于固定費用的數(shù)據(jù)采集，支持多個公共云以及傳統(tǒng)的基于云的服務(wù)，內(nèi)部和網(wǎng)絡(luò)數(shù)據(jù)源。“Parizo說。

CYOIT(自行選擇IT)是個大問題

隨著SaaS的日益普及，以及疫情的推波助瀾，全球企業(yè)辦公正在流行自行選擇IT(CYOIT)模式。SANS研究所的Pescatore說：“與自帶設(shè)備(BYOD，通常指移動設(shè)備)不同，CYOIT自帶的范圍更大，包含了員工用于工作的各種工具(例如軟件、WiFi路由器、存儲、云服務(wù)、智能設(shè)備等等)。”

CYOIT最大的受益者之一是Zoom，由于疫情肆虐，Zoom在企業(yè)應(yīng)用領(lǐng)域大殺四方，迅速超過了傳統(tǒng)的企業(yè)通訊方案Webex和GoToMeeting。

Pescatore補充說：“這個趨勢對IT安全性意義重大，對于BYOD，企業(yè)安全人員主要的擔(dān)心是存儲在設(shè)備上的企業(yè)數(shù)據(jù)，因為BYOD設(shè)備上沒有企業(yè)安全堆棧。但盡管BYOD帶來了問題，IT部門仍然可以控制服務(wù)器端和應(yīng)用程序(白名單)。”

相比BYOD，CYOIT的安全威脅要大得多，因為用戶可以選擇不同的云應(yīng)用程序，例如，網(wǎng)盤、私人郵箱、視頻會議APP等。CYOIT給企業(yè)網(wǎng)絡(luò)安全部門帶來了更大的壓力，需要將控制的重點從應(yīng)用程序轉(zhuǎn)向數(shù)據(jù)。如果硬件或應(yīng)用程序已經(jīng)失控，就需要對數(shù)據(jù)進行全程管控。

SaaS的攻擊面放大

隨著越來越多的企業(yè)將工作負載和數(shù)據(jù)轉(zhuǎn)移到云中以支持遠程和虛擬勞動力，SaaS環(huán)境已成為攻擊者的主要目標(biāo)。AppOmni首席執(zhí)行官兼聯(lián)合創(chuàng)始人布倫丹·奧康納(Brendan O.Connor)說，IT員工將越來越多地參與管理其組織的SaaS應(yīng)用程序和云足跡。

他說，安全管理工具(例如在應(yīng)用程序之間掃描API以自動進行SaaS配置，以及監(jiān)視用戶訪問、活動和環(huán)境變化所需的工具)變得越來越重要。

奧康納說:“不幸的是，黑客和不良行為者已經(jīng)注意到云計算趨勢，并調(diào)整攻擊策略，利用SaaS領(lǐng)域缺乏安全專業(yè)知識和必要的安全監(jiān)控和防御實施攻擊行為。”

今年早些時候AppOmni曾對200名IT安全專業(yè)人員進行了一項調(diào)查，結(jié)果表明，許多IT團隊正在努力跟上新冠疫情帶來的大規(guī)模運營變化以及隨之而來的云采用率的提高。由于疫情牽扯了太多精力和資源，68%的受訪者表示他們管理和保護SaaS應(yīng)用程序時間大幅減少了。

疫情成了“零信任”加速器

零信任安全模型(簡單來說就是不管從企業(yè)網(wǎng)絡(luò)內(nèi)部還是外部，對企業(yè)數(shù)據(jù)的所有訪問請求都需要經(jīng)過完全的身份驗證和審查)今年受到了越來越多的關(guān)注。尤其是那些尋求解決大規(guī)模遠程辦公新威脅的企業(yè)IT團隊都不約而同地開始轉(zhuǎn)向零信任。

例如，企業(yè)管理協(xié)會(EMA)在8月進行的252位IT專業(yè)人員調(diào)查中，有60%的企業(yè)表示他們的組織已經(jīng)加快了零信任策略部署。40%的受訪者認為，提高運營敏捷性是零信任的主要好處，而35%的人指出，零信任改善了IT治理和風(fēng)險合規(guī)性。

受訪者提到的其他一些零信任的優(yōu)點包括：防止入侵和遏制、減少攻擊面以及減少未經(jīng)授權(quán)的訪問，這也是后新冠時代的共性問題。EMA發(fā)現(xiàn)，采用正式零信任策略的公司比采用臨時方法的公司成功的可能性要大得多。具有諷刺意味的是，參與調(diào)查的公司規(guī)模越大，越有可能采用臨時方法。

微軟在今年早些時候的博客中說:“對于已經(jīng)踏上零信任概念驗證旅程的公司，新冠疫情充當(dāng)了加速器，加快了采用的時間表。”

勒索軟件引發(fā)的管理難題

勒索軟件攻擊迅速增加，攻擊者不但加密數(shù)據(jù)而且還開始竊取數(shù)據(jù)并威脅公開泄露，而受害者不但面臨應(yīng)用程序和系統(tǒng)停機的風(fēng)險，而且還面臨敏感數(shù)據(jù)(包括商業(yè)秘密和知識產(chǎn)權(quán))公開泄漏的威脅。

勒索軟件的攻擊手法升級并不是新事物,但這確實引發(fā)了一個新的管理問題：企業(yè)的網(wǎng)絡(luò)安全保險是否會支付勒索軟件贖金?對于大多數(shù)人來說，沒有簡單的答案。

近來，多個遭受勒索軟件攻擊的大型企業(yè)提起訴訟，包括制藥巨頭默克公司和食品和飲料企業(yè)集團Mondalez，這些訴訟凸顯了企業(yè)向網(wǎng)絡(luò)安全保險公司索賠時面臨的挑戰(zhàn)。

除了索賠面臨的挑戰(zhàn)，企業(yè)支付贖金還將面臨法律風(fēng)險，上個月初，美國財政部外國資產(chǎn)控制辦公室(OFAC)發(fā)布咨文警告企業(yè)不要向勒索軟件支付贖金，并聲稱此舉存在違反政府對網(wǎng)絡(luò)犯罪集團或國家黑客施加經(jīng)濟制裁的法律風(fēng)險。

Digital Shadows戰(zhàn)略副總裁兼CISO里克·霍蘭德(Rick Holland)表示，勒索軟件攻擊者今年如過江之鯽。在一季度，Digital Shadows僅跟蹤了兩個勒索軟件團伙，而到第四季度，這個數(shù)字已經(jīng)增長到17個。

霍蘭德說，那些兜售企業(yè)網(wǎng)絡(luò)初始訪問權(quán)的“經(jīng)紀人”的業(yè)務(wù)今年格外紅火：“將勒索軟件價值鏈的這一組成部分外包，大大提高了勒索軟件運營的規(guī)模和速度。”

留神非網(wǎng)絡(luò)安全事件對安全行業(yè)造成重大影響

新冠疫情就是一個最好的例子，說明并非所有對網(wǎng)絡(luò)安全有重大影響的事件都與安全相關(guān)。疫情導(dǎo)致企業(yè)迅速向遠程辦公大規(guī)模轉(zhuǎn)移，迫使網(wǎng)絡(luò)安全部門/行業(yè)進行各種變革。

信息安全論壇(ISF)指出：IT和安全領(lǐng)導(dǎo)者必須將精力和注意力重新集中在確保遠程辦公的安全上，確保供應(yīng)鏈安全，并開展量身定制的安全意識活動和培訓(xùn)，以應(yīng)對與疫情相關(guān)的網(wǎng)絡(luò)釣魚詐騙的突然泛濫。

Vectra的首席技術(shù)官奧利弗·塔瓦科利(Oliver Tavakoli)表示，疫情告訴我們，為什么具有全球影響力的公司需要制定應(yīng)對全球危機的計劃。我們需要應(yīng)對的不僅僅是區(qū)域性的災(zāi)難，更要對全球性的突發(fā)事件和影響做好預(yù)案，遠程辦公常態(tài)化的同時，網(wǎng)絡(luò)安全投資的配置也要為“端點”做出相應(yīng)的調(diào)整。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文