1. 依靠操作系統(tǒng)供應(yīng)商能完全防止自身的網(wǎng)絡(luò)安全漏洞

依靠操作系統(tǒng)供應(yīng)商來防止其自身的網(wǎng)絡(luò)安全漏洞是不可能實(shí)現(xiàn)的，就好像Microsoft Defender號稱它可以保護(hù)所有的微軟終端一樣。

誰是網(wǎng)絡(luò)安全世界中最大的安全供應(yīng)商?毫無疑問，你會想到Windows，因?yàn)樗仁遣僮飨到y(tǒng)供應(yīng)商又是其安全軟件供應(yīng)商，微軟的安全系統(tǒng)也稱為“Microsoft Defender”、“Windows Defender”和現(xiàn)在的“Windows Security”。

2021 年是 Microsoft系統(tǒng)中出現(xiàn)的漏洞達(dá)到了史上最高峰，比如攻擊者瘋狂地利用了 Exchange Server 中的 Microsoft 漏洞，例如 ProxyLogon 和 ProxyShell。緊接著是 PrintNightmare，接下里是 HiveNightmare。

Microsoft Defender 幾乎沒有阻止 Hafnium 和 Conti 組織利用此類漏洞發(fā)起的任何勒索軟件攻擊，并且它們在 Defender 中存在的時間超過了 12 年的。

最近的歷史表明，依靠操作系統(tǒng)供應(yīng)商來防止其自身的網(wǎng)絡(luò)安全漏洞是不可能實(shí)現(xiàn)的。

2. Mac 是安全的，根本不可能遭遇黑客攻擊

與微軟不同的是，蘋果并不是為了保護(hù)自己的產(chǎn)品而銷售安全軟件，但它仍然借著自己是一個封閉系統(tǒng)積極宣傳自己的安全性，將其作為 Mac 相對于其他硬件的獨(dú)特賣點(diǎn)之一。事實(shí)上，蘋果的產(chǎn)品和其他產(chǎn)品一樣，也需要第三方安全管理。比如最近肆虐的Log4j漏洞，包括蘋果公司、亞馬遜公司、云網(wǎng)絡(luò)安全服務(wù)公司、國際商用機(jī)器公司(IBM)、微軟旗下“我的世界”、帕洛阿爾托網(wǎng)絡(luò)公司和推特公司都向其用戶發(fā)出了安全警告。再比如2021年底的CVE-2021-30853(CVSS 評分：5.5)，攻擊者可以利用該漏洞簡單而可靠地繞過無數(shù)基本的 macOS 安全機(jī)制并執(zhí)行任意代碼。

蘋果今年早些時候承認(rèn) macOS 確實(shí)存在被惡意軟件攻擊的問題，雖然很少有公司將 Mac 用作服務(wù)器或網(wǎng)絡(luò)控制器，從而避免了勒索軟件運(yùn)營商的注意，但它們在企業(yè)高管和開發(fā)人員中都非常受歡迎。這使得企業(yè)級 Mac 成為對高價值攻擊目標(biāo)，而在過去 12 個月中出現(xiàn)的新 macOS 惡意軟件主要是針對特定目標(biāo)的間諜活動和后門。

與此同時，Mac用戶自己在很大程度上并不知道，惡意軟件可以并確實(shí)在許多方面擊敗蘋果使用的內(nèi)置安全技術(shù)。Mac 的內(nèi)置安全性在很大程度上依賴于代碼簽名、證書撤銷檢查和舊文件簽名。攻擊者繞過這些防護(hù)并沒有什么困難，并且與 Microsoft Windows 一樣，操作系統(tǒng)軟件的復(fù)雜性使得修復(fù)漏洞越來越頻繁。

最重要的是，Mac 的內(nèi)置安全控件無法讓用戶或管理員看到。作為首席信息安全官，如果沒有外部安全軟件提供防護(hù)，你如何知道有哪些 Mac感染了后門、間諜軟件或其他 macOS 惡意軟件?

3.提前預(yù)防是不可能的，只需要檢測就可以了

它已成為傳統(tǒng)網(wǎng)絡(luò)安全供應(yīng)商的一個防御失敗的借口了，他們試圖用這個借口為防御套件和 EPP 的失敗辯解，聲稱預(yù)防是不可能的，感染后檢測和隔離是唯一現(xiàn)實(shí)的防護(hù)目標(biāo)。

但我們已經(jīng)到了 2022 年，多年來我們一直在使用機(jī)器學(xué)習(xí)和人工智能，任何企業(yè)都明白企業(yè)的安全供應(yīng)商完全有辦法完全阻止基于文件的惡意軟件預(yù)執(zhí)行。

完全依賴基于簽名的檢測的供應(yīng)商應(yīng)該用可以防止大多數(shù)類型的惡意 PE 文件的靜態(tài) AI 引擎補(bǔ)充或替換他們的檢測引擎。更重要的是，信息崗位上的管理者應(yīng)該拒絕那些告訴他們無法預(yù)防的供應(yīng)商。

4. 零信任安全可以完全確保網(wǎng)絡(luò)安全

雖然采用零信任是減少攻擊面的正確方法，但現(xiàn)實(shí)是大多數(shù)組織無法跨多個資產(chǎn)和安全系統(tǒng)有效地實(shí)施完整的零信任架構(gòu) (ZTA)。

當(dāng)供應(yīng)商提供“零信任 SKU”時，組織應(yīng)謹(jǐn)慎行事。除了營銷高談闊論之外，實(shí)現(xiàn) ZTA 安全模型還需要跨所有技術(shù)進(jìn)行集成。沒有“即插即用”的方式可以在一夜之間改變你的組織。事實(shí)上，從傳統(tǒng)的基于邊界的安全模型到 ZTA 安全模型是一個多年的過程，而對企業(yè)的攻擊每天都在發(fā)生。

傳統(tǒng)的安全防護(hù)是以邊界為核心的，基于邊界構(gòu)建的網(wǎng)絡(luò)安全解決方案相當(dāng)于為企業(yè)構(gòu)建了一條護(hù)城河，通過防護(hù)墻、VPN、UTM 及入侵防御檢測等安全產(chǎn)品的組合將安全攻擊阻擋在邊界之外。這種建設(shè)方式一定程度上默認(rèn)內(nèi)網(wǎng)是安全的。零信任的本質(zhì)是以身份為中心進(jìn)行動態(tài)訪問控制。零信任對訪問主體與訪問客體之間的數(shù)據(jù)訪問和認(rèn)證驗(yàn)證進(jìn)行處理，其將一般的訪問行為分解為作用于網(wǎng)絡(luò)通信控制的控制平面及作用于應(yīng)用程序通信的數(shù)據(jù)平面。

與企業(yè)安全方面的許多方法一樣，ZTA 只是提供了一種解決方案，但它不是萬能藥。

5. 移動設(shè)備的安全不是必須的

令人難以置信的是，目前還有些供應(yīng)商和安全從業(yè)者仍然沒有意識到企業(yè)中移動設(shè)備安全保護(hù)的必要性。多年來，我們一直在通過移動設(shè)備查看商務(wù)郵件和訪問工作數(shù)據(jù)。

移動領(lǐng)域由兩大操作系統(tǒng)供應(yīng)商 Google 和 Apple 主導(dǎo)，盡管他們采取了截然不同的方法來保護(hù)安全，但都明白移動安全的必要性。最近，谷歌專門對 iOS 零日、零點(diǎn)擊漏洞如何危害蘋果用戶做了剖析。以色列一家名為NSO的軟件公司推出名為飛馬的間諜軟件可以幾乎監(jiān)視全球任何一部iPhone，只需要被監(jiān)視的人誤點(diǎn)擊一條鏈接就能靜默監(jiān)控，甚至不需要有任何操作就能監(jiān)控，令人望而生畏。

盡管如此復(fù)雜，但該漏洞并非由民族國家行為者開發(fā)，而是由私營企業(yè) NSO 集團(tuán)開發(fā)。在這種環(huán)境下，以利潤為導(dǎo)向的攻擊者可以將這種水平的專業(yè)知識應(yīng)用到危害我們的移動設(shè)備上。移動攻擊是真實(shí)存在的，企業(yè)管理者應(yīng)該應(yīng)用移動威脅防御措施來跟蹤用戶和設(shè)備的行為和操作。

6. 只要將數(shù)據(jù)備份就可以保護(hù)你免受勒索軟件的攻擊

信息安全世界瞬息萬變，沒有一成不變的防護(hù)措施?；叵?2017 年的 NotPetya 和 WannaCry，當(dāng)時大多數(shù)企業(yè)因?yàn)闆]有備份數(shù)據(jù)而遭受了無法估量的損失，后來，人們對勒索軟件的防護(hù)措施里就多了一條，即備份數(shù)據(jù)。

然而現(xiàn)在這個經(jīng)驗(yàn)并沒有什么參考意義，因?yàn)榈?2019 年，我們看到第一個人為操作的勒索軟件組織——Maze和 DoppelPaymer開始使用雙重勒索方法：通過公開竊取的數(shù)據(jù)來威脅用戶，從而支付贖金?，F(xiàn)在，如果公司重視數(shù)據(jù)的隱私，備份并沒有讓他們擺脫被勒索的困境。

雙重勒索已經(jīng)成為大多數(shù)勒索軟件組織的標(biāo)準(zhǔn)操作方式，有的甚至威脅泄露客戶數(shù)據(jù)或勒索受害組織的客戶。

即便如此，一些組織還是準(zhǔn)備死扛到底，冒著數(shù)據(jù)泄露的風(fēng)險，從備份中恢復(fù)數(shù)據(jù)。不幸的是，這只會讓攻擊者把賭注提高到三重勒索方式上，除了威脅泄露數(shù)據(jù)和加密文件外，他們開始用DDoS攻擊淹沒受害公司，迫使他們回到談判桌前。這意味著，再多的備份都無濟(jì)于事。

信息安全員要注意的是，勒索軟件運(yùn)營商從以前的受害者那里獲得了大量現(xiàn)金。他們有能力購買大規(guī)模的僵尸網(wǎng)絡(luò)，用DDoS攻擊你的網(wǎng)絡(luò)，直到你付錢為止。如果條件允許，他們還可以負(fù)擔(dān)得起從其他罪犯那里購買初始權(quán)限的費(fèi)用，他們也可以負(fù)擔(dān)得起雇傭人工操作人員(也就是“附屬機(jī)構(gòu)”)來實(shí)施攻擊。備份在今天的雙重和三重勒索勒索軟件威脅中毫無意義。

7. 勒索軟件威脅可以由政府解決

我們已經(jīng)看到了多次有價值和勇敢的嘗試，以對抗因美國政府對網(wǎng)絡(luò)犯罪的新關(guān)注而導(dǎo)致的勒索軟件激增。

今年5月7日攻擊美國最大燃油系統(tǒng)Colonial Pipeline受到黑客攻擊，Colonial Pipeline向媒體證實(shí)該公司支付了440萬美元的贖金以換得解密工具，但因該工具的速度太慢，促使Colonial Pipeline繼續(xù)利用自己的備份來恢復(fù)系統(tǒng)，一直至5月15日才恢復(fù)正常運(yùn)行。5月30日，全球最大肉品企業(yè)JB,遭到網(wǎng)絡(luò)攻擊，造成澳洲與北美地區(qū)的部分肉品處理產(chǎn)線中斷，美國白宮在6月1日召開記者會時也提及了此事，表示JBS應(yīng)是遭到來自勒索軟件攻擊。

雖然JBS的總部位于巴西，但此次勒索軟件攻擊的受害者則是JBS的美國子公司JBS USA，因此，當(dāng)JBS USA遭到攻擊時，也同時驚動了美國政府，白宮與美國農(nóng)業(yè)部皆已派員協(xié)助JBS USA。

對抗勒索軟件已成為美國政府的重要政策，美國總統(tǒng)拜登(Joe Biden)也已啟動快速戰(zhàn)略審查，以解決日益增加的勒索軟件意外，包括與私人企業(yè)合作以了解勒索軟件架構(gòu)的分布及參與者，創(chuàng)建一個全球聯(lián)盟以向窩藏罪犯的國家究責(zé)，擴(kuò)大對加密貨幣的分析以發(fā)現(xiàn)及追查犯罪交易，以及重新審查美國政府的勒索軟件政策。

盡管政府采取行動的努力值得稱道，但網(wǎng)絡(luò)犯罪分子并未受到執(zhí)法部門的威懾。

8.實(shí)現(xiàn)網(wǎng)路防御自動化后，你就不需要人工干預(yù)了

防護(hù)人員的網(wǎng)絡(luò)安全技能的短缺是真實(shí)存在的，但盡管自動化可以為防護(hù)力和效率做出寶貴的貢獻(xiàn)，但自動化永遠(yuǎn)不會取代網(wǎng)絡(luò)安全中的人的因素。

風(fēng)險不是靜態(tài)的，隨著組織的成熟和業(yè)務(wù)的擴(kuò)展，風(fēng)險面也在不斷增長和變化。更多的服務(wù)、更多的生產(chǎn)服務(wù)器、更多的流和更多的客戶數(shù)據(jù)使得降低風(fēng)險的挑戰(zhàn)不斷提高。由于沒有什么靈丹妙藥可以讓你了解企業(yè)的風(fēng)險，也沒有量化保護(hù)企業(yè)安全的手段，因此始終需要能夠創(chuàng)新、評估和縮小這些差距的網(wǎng)絡(luò)安全人才。

攻擊載體也在不斷進(jìn)化，三年前，組織依靠對PE和其他可執(zhí)行文件的靜態(tài)分析來檢測和防止惡意軟件。不久之后，我們開始看到無文件的、基于腳本的攻擊，以及成功滲透企業(yè)網(wǎng)絡(luò)的橫向移動嘗試。像SolarWinds、Kaseya等大規(guī)模供應(yīng)鏈攻擊風(fēng)暴為風(fēng)險管理增加了另一個維度。與此同時，勒索軟件經(jīng)濟(jì)創(chuàng)造了一個龐大的附屬網(wǎng)絡(luò)，這些附屬網(wǎng)絡(luò)使用新的垃圾郵件技術(shù)來繞過傳統(tǒng)解決方案。

人類需要技術(shù)來幫助擴(kuò)展、最大化生產(chǎn)力、消除日常的任務(wù)并專注于需要關(guān)注的關(guān)鍵事項(xiàng)，但最好的情況是網(wǎng)絡(luò)安全自動化將減少不斷增長的領(lǐng)域和攻擊面。

9. 有了MDR安全服務(wù)則萬事大吉

雖然自動化永遠(yuǎn)不會取代對人類分析師的需求，但也有相反的情況：人類永遠(yuǎn)無法像計(jì)算機(jī)一樣快速地檢測、響應(yīng)和修復(fù)可識別的攻擊。我們需要以最適合任務(wù)的方式使用我們的人力和計(jì)算機(jī)資源。

在軟件和服務(wù)供應(yīng)商中，托管檢測和響應(yīng)是越來越受歡迎的產(chǎn)品。隨著部署率增加，這類產(chǎn)品的種類也隨之增加。除MDR外，現(xiàn)在還有MEDR、MNDR和MXDR等。托管終端檢測和響應(yīng)(MEDR)。此服務(wù)的重點(diǎn)主要在終端。那些具有終端檢測保護(hù)代理的供應(yīng)商通常會擴(kuò)展其產(chǎn)品，為其軟件提供托管檢測和響應(yīng)。在安全性方面，幾乎沒有萬能的解決方案。但是，在決定哪種服務(wù)最適合你的企業(yè)和需求時，你需要回答幾個問題，包括以下：

是否涵蓋你的終端?遠(yuǎn)程工作和零信任架構(gòu)突顯終端對企業(yè)整體安全狀況的重要性。如果你沒有強(qiáng)大的終端保護(hù)程序，MEDR是不錯的選擇。

總結(jié)

網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的業(yè)務(wù)，這是一個無法回避的事實(shí)，但做好基礎(chǔ)工作是第一步。減少對操作系統(tǒng)供應(yīng)商的依賴，部署設(shè)備上的終端保護(hù)，提供對整個產(chǎn)業(yè)的可見性，并培養(yǎng)網(wǎng)絡(luò)安全人才，才會避免上述網(wǎng)路安全誤區(qū)。

本文翻譯自:https://www.sentinelone.com/blog/the-9-biggest-cybersecurity-lies-told-to-cisos/如若轉(zhuǎn)載，請注明原文地址。