2021年是行业人士应该反思的一年。2020年我们的工作转向远程办公,基础设施、应用程序和访问控制几乎在一夜之间发生了迅速的变化,而网络安全团队仍在忙于防御一系列的攻击。
美国网络安全企业Arctic Wolf的2022年安全趋势报告展示了网络安全团队当前的状态和未来的趋势,这些团队试图在应对不断变化的威胁环境的同时推进其安全计划。
研究结果表明,勒索软件、网络钓鱼和漏洞不仅占据了新闻头条,还占据了有限的安全专业人员。对于许多企业来说,用更多的资源来防御越来越多来自攻击者的威胁似乎是不可行的。
随着2021年辞职热潮的兴起,许多安全职位的空缺无法得到填补,各组织也在努力地寻找、培训和留住网络安全人才。
此外,现在99%的组织都在使用一种形式的公共或私有云,云的采用率正迅速超过组织内部保护云环境的能力,导致组织更容易受到威胁。
在2022年,执行基础的安全任务和应对长期的威胁将继续成为IT和安全领导者的首要任务,以更好地保护其组织。
可以依赖成熟安全运营实践的公司将会发现自己变得更安全、更有弹性,并且能够更好地适应众多内部和外部的风险因素。
新的市场、技术和首字母缩略词几乎每天都在出现,而风险投资公司对新的网络安全工具的投资却没有放缓的迹象。
对于企业来说,最主要的感觉是不断变化。
许多公司面临着网络安全技能缺口这一越来越大的障碍,勒索软件、网络钓鱼和有针对性的攻击每年都在增加。
因为负担过重和人员不足,各组织一次又一次地问同样的问题:在哪里?怎么样?什么时候事情会改善?在哪些领域?现在和将来最应关心的是什么?这对安全战略有何影响?
有些组织可能注定要失败
调查发现,50%的IT领导者确认其网络安全预算未能达到维持安全目标所需的最低数字。
安全技能缺失迫使许多企业在人手不足的情况下运营。安全预算没有增长,无法反映出网络风险情况,许多公司发现自己无法吸引基本安全计划所需的人才。
在公司缺乏人力和财力的同时,网络安全活动的规模也在不断增长,如云监控、安全意识培训和漏洞管理等,各种因素相结合,使这些公司在行动开始前就落后于所要达到的安全目标。
尽管安全市场引入了新的技术和产品,但大多数组织仍然选择将其网络安全技术栈建立在传统的“城堡和护城河”模式上,将防火墙作为其计划的中心。这是可以理解的,因为防火墙长期以来一直被认为是安全程序的第一道防御。
研究发现,在过去12个月内,有74%的受访者在维护或购买防火墙/UTM解决方案方面有所投资。
虽然购买和维护防火墙是确保大多数环境安全的一个重要步骤,但也必须谨慎使用它们。
首先,防火墙应被视为深入防御战略的一个关键因素。然而,它们不应该被认为是唯一必要的安全技术。虽然防火墙是控制环境中访问和流量的关键,但它们缺乏许多对现代安全程序来说至关重要的功能。
在过去的一年里,热门的防火墙供应商遭受了安全和漏洞问题的困扰。例如,在常用的防火墙中发现的几个高危漏洞,一旦被利用,攻击者就会获得远程攻击的能力。在组织将防火墙作为唯一安全措施的情况下,这种性质的利用会使防火墙几乎完全没有防御能力。
因此,防火墙必须得到堆栈内其他技术的支持,以提供全面的防御战略。还必须定期对它们进行积极的监测和审查,以确保它们的安全和有效的运行。此外,由于不断发展的架构和在家工作的业务模式,传统的网络边界变得模糊不清,在许多情况下,通过防火墙处理所有数据的传统方法已经过时了,这使得一些企业不再将防火墙作为安全堆栈的第一道防线。
终端工具至关重要
终端解决方案是深度防御策略的另一个重要因素,因为它们旨在监控和保护网络中的终端设备。这包括笔记本电脑、台式电脑和服务器,在某些情况下还包括虚拟或云系统。考虑端点解决方案时,组织必须了解他们希望实现的目标,因为这些技术有一系列的目的和设计。
研究中一个令人惊讶的数据是,只有80%的受访决策者称目前在其环境中使用了某种形式的终端技术。
由于微软在Windows中默认提供Defender,而macOS/Linux在交互式、笔记本电脑和桌面终端领域的份额相对较小,剩下20%的IT领导者可能会使用终端技术,但他们要么会对不断变化的营销术语(AV、EPP、EDR、XDR等)感到困惑,要么没有足够的人员以合适的方式使用它们。所有可能性都是合理的,因为从业人员经常忘记没有专职安全人员的组织远远多于有专职安全人员的组织。
防病毒和终端保护平台主要用于防止恶意活动。
它们可能会使用各种方法来识别威胁活动,如机器学习、签名匹配或行为分析,但其最终目标是在潜在威胁被执行之前就加以阻止。终端检测和响应是一项并行技术,旨在观察和检测端点上发生的威胁,而不是完全阻止它们,最终将验证和解决警报的责任推给了安全分析师,使其比对手实现目标的速度更快。
在大多数情况下,EDR被视为一种更全面、更精细的技术,因为它旨在观察终端上发生的活动,在发现潜在威胁时发出警报,而不是终止进程。
许多EDR工具也是追踪威胁活动的基础,对大型数据集进行编目以供分析。训练有素的分析师需要对EDR工具进行有效的管理,以实现该工具的最大价值。
在80%使用终端解决方案的决策者中,只有23%使用独立的EDR,原因就在于他们依赖安全分析师。
研究还发现,在目前还没有使用EDR的组织中,只有12%的组织目前有评估和实施EDR解决方案的计划。这也可能是由于一些供应商将EDR和终端保护平台(EPP)功能整合到了单个终端解决方案中,从而消除了对单一用途EDR的需求。
云采用率持续上升
国际知名软件资产管理商Flexera发布的一份报告指出,99%的组织目前至少使用一种公有或私有云。这可能包括从云存储、SaaS应用程序到完整云基础设施的所有内容。
由于云解决方案的现成可用性以及云使用障碍的减少,这一比例预计还会增长。
Gartner在最近的一份报告中估计,到2024年,超过45%用于系统基础设施、基础设施软件、应用软件和业务流程外包方面的IT支出将从传统解决方案转向云计算。
遗憾的是,调查发现只有19%的受访组织使用了云安全态势管理(CSPM)来保护其云资源。
在其余81%的组织中,有28%的组织表示云安全是他们主要的关注点,但只有22%的组织计划将其添加到安全程序中。
与此同时,在未来五年内,对云安全技能的需求预计将增加115%,这些职位的薪水将比一般的安全分析师职位高出15000美元。
云服务提供商寻求解决云安全问题的一种方式是通过亚马逊网络服务(AWS)、谷歌云平台和微软Azure等技术所采用的共享责任模型。
这些提供商在技术上进行投资,以进一步确保这些云资源的安全,但公司内部缺乏云技术专家,意味着这些安全功能无法得到充分利用。这是一个令人不安的趋势,因为盲目采用云功能和基础设施而没有适当的安全措施可能会带来安全隐患。
在美国网络安全企业Arctic Wolf SOC分析师调查的所有客户事件中,有47%至少包含一个云组件。
随着许多组织快速将这些云功能集成到架构中,从业者必须确保他们不会在无意中部署错误的配置和易受攻击的入口载体,特别是在缺乏适当的检测和响应能力时。
对勒索软件的担忧持续存在
勒索软件的威胁和针对其业务的有针对性的攻击几乎是所有人都会考虑的头等大事。据估计,2021年发生了7亿起勒索攻击事件。其中包括了有记录以来最高的赎金要求,例如一家金融机构支付了4000万美元来解密其数据。
研究发现,70%的受访者将勒索软件列为2022年的首要关切。
这很可能与勒索软件的趋势有关:赎金要求的增加往往超过了许多组织的支付能力;勒索软件的复杂性和用于部署它的社会工程越来越复杂、越来越成功;使用勒索软件即服务的犯罪团伙增加,进一步降低了潜在攻击者的进入门槛。
尽管产品支出不断增加,勒索软件仍是大多数公司的头号威胁。IT领导者必须迅速接受这样一个事实:仅靠工具和产品是无法解决这个问题的,它可能需要更多国家层面的干预,例如针对REvil和其他勒索软件参与者的行动。
随着勒索软件的不断发展,攻击者已经找到许多策略来绕过传统产品的防御,使得攻击事件数量持续增长。
对勒索软件的最佳防御方式是通过24x7主动监测环境,尽早发现问题并在发现后立即采取行动。
网络钓鱼仍是主要威胁
紧随勒索软件之后,网络钓鱼威胁是受访者的第二大担忧。
64%的人将网络钓鱼列为主要关注的领域之一。48%的人将网络钓鱼列为在未来一年中最有兴趣了解的网络安全话题。
攻击者已经发现网络钓鱼和社交工程通常是发起攻击的低风险、高回报途径。即使在高度监控的环境中,这些类型的攻击仍然是一种威胁,因为它们针对的是人类交互中的弱点,而不是应用程序或设备中的漏洞。
电子邮件是仍在使用的最古老的网络技术之一,因为许多组织没有采取适当的措施来解决潜在的威胁,所以电子邮件仍然是最突出的安全问题之一。
为了打击网络钓鱼活动,必须有一个强大的安全意识和网络钓鱼防范计划,作为深度防御战略的一部分。
调查发现62%的受访者目前已经使用某种形式的安全计划和培训来降低遭到网络钓鱼攻击的可能性,或者鼓励用户报告潜在事件。此外,23%的受访者希望增加安全意识计划或改进现有计划。
攻击面管理
81%的受访者认为漏洞和未知的错误配置是其环境中最大的安全隐患。
这包括已知的软件漏洞和零日漏洞,以及配置错误或未严格遵守安全标准的系统。攻击者可以利用这些发起攻击。
2021年,多个漏洞在首次被发现并且补丁发布后,很长时间内仍未打补丁。
例如,在Microsoft Exchange平台中发现的一系列零日漏洞全年被利用。Shodan.io搜索引擎显示,即使在2022年,超过30,000台MS Exchange服务器仍然容易受到CVE-2021-31206的攻击,并且可以通过互联网进行访问。很多组织往往忽视了资产管理和配置管理在积极利用漏洞方面的重要性。在确定修复优先级时,如果没有权威的设备和状态列表,注定会失败。
识别和解决环境中的漏洞或错误配置是一项艰巨的任务,这需要包括漏洞扫描在内的强大风险管理计划,并建立在资产管理的坚实基础上。
调查显示,30%的受访企业希望通过改善或扩大其风险管理职能来解决这些问题。
开发资产识别、软件清单、24x7管理检测和简化的补丁管理过程是公司进行改进的常见方法。初始攻击面减少相对简单,最有效的方式是有很好的文档记录。例如,研究表明,企业仅通过实施前5项CIS控制措施就可以防止80%的威胁,此外,研究还发现60%的企业使用“十大安全漏洞列表”中描述的方法,仍遭受了攻击。
人员配备障碍
在所有行业中,招聘和留住IT安全人才仍然是一项巨大的挑战。
76%的受访者表示,阻碍其实现网络安全目标的主要障碍是无法雇佣员工或现有员工缺乏安全专业知识。
这通常被称为“网络安全技能差距”,预计在未来仍将是一个问题。
最近的一项统计数据显示,65%的网络安全人员都在考虑离开目前的岗位,这种技能短缺给组织带来了进一步的压力。
为了解决劳动力技能短缺的问题,许多组织现在将安全职能外包给服务提供商。
近30%的受访者目前正在使用托管安全服务,如托管检测和响应(MDR),另有23%的受访者希望在一年内加入这些托管服务。
这些服务提供了一种简化的方式,可以提供与内部安全运营中心(SOC)相同的安全优势,但成本却比雇佣同等数量的全职员工低得多。
分散式的安全责任
理想情况下,建立和管理网络安全计划的责任应该分配给一个专门的、训练有素的安全专业团队,他们可以提供全天候的监控。
然而,由于网络安全技能的差距和财政限制,并非所有组织都有能力雇佣全职SOC。通常至少需要六名专职工作人员来维持高质量的24x7 SOC运作,这对于大多数组织来说是力所不及的。
44%的受访组织没有专职的安全人员。
一些组织仍然试图通过向其安全堆栈中添加额外的工具来减少IT人员的安全责任,从而领先于对手。
事实上,62%的受访组织希望增加下一代终端保护、欺骗技术或者用户和实体行为分析的组合,作为识别威胁和解决安全问题的方式。作为更广泛的安全战略的一部分,这些技术可能是有用的,但与其他工具一样,这需要一个有时间和技能的分析团队来对它们进行有效的使用。
在大多数情况下,向安全堆栈中添加更多的工具却不解决潜在的人员短缺问题会给组织带来负担,因为这增加了潜在的干扰和警报疲劳,使分析师更加倦怠。
缺乏24×7支持
其余56%的受访组织没有将安全责任分配给IT员工,23%的受访组织只雇佣了一到三名专门负责网络安全的员工。
以如此有限的员工,很难维持SOC运作,80%的受访组织无法负担拥有至少6名或6名以上成员的全职安全运营团队。
如果一个组织没有充分的人员配备和持续的监控,许多勒索软件、网络钓鱼和漏洞等威胁都不会被发现。
Arctic Wolf研究表明,70%的客户环境在该公司加入时都存在潜在的威胁。这意味着很大一部分公司网络可能已经被感染,但尚未被识别出来。
即使是在能够雇佣SOC的组织中,也有许多组织计划利用托管服务提供商作为协助其分析师的一种手段。
这样,组织就可以通过一个拥有工作并提供补救所需的指导和见解的第三方,自动完成其最初的分流和调查任务。在这些环境和其他许多环境中,管理服务提供商可以对威胁提供全天候的监控和响应,并协助解决安全问题所需的多个支持层。这使得一个组织的现有员工可以通过蓝色、红色或紫色团队类型的参与来追求一种更有战略性的防御方法。
通过这种方式,组织可以通过拥有工作并提供补救所需指导和见解的第三方,完成初始分类和调查任务,在这些环境和许多其他环境中,托管服务提供商可以提供全天候监控和威胁响应,并在解决安全问题所需的多个支持层中提供帮助。这使得组织的现有员工不得不通过参与蓝队、红队或紫队等实战攻防演习来寻求更具战略性的防御方法。
转向网络保险
由于勒索软件仍然是一种威胁,许多公司正转向网络保险来最小化攻击造成的财务影响。
65%的受访组织目前在安全项目内拥有某种形式的网络保险。
这些政策所涵盖的范围可能差别很大,但如果保单持有人符合某些计划准则,它们通常允许降低保费。
这些保单覆盖的范围相差很大,但如果投保人符合某些规划准则,保费通常可以降低。
加入网络保险的组织中,30%的人表示,保险费上涨或在去年被保险公司取消了保险。这种情况可能与一系列因素有关,包括保单持有人环境中最近发生的违规、安全审计的结果或保单持有人成为攻击者目标的可能性增加。
其余35%的组织目前没有任何形式的网络保险。这样一来,组织就需要对违规造成的财务影响负全部责任,包括获得外部支持以应对事件或支付赎金的费用。这可能是15%目前没有购买网络保险的组织正积极争取获得网络保险的原因。
对风险管理的关注
56%的受访者认为无法充分管理风险和制定风险管理计划。他们认为自己缺乏积极影响和实施能够降低业务风险的计划的能力。
现代IT环境的所有要素都包含一定程度的风险,公司选择如何处理这种风险与其遭受严重安全事故的可能性直接相关。
例如,正如前面所述,组织加速采用云功能是一个巨大的趋势。这种采用伴随着一系列风险,因为它扩展到了传统网络边界之外,企业被迫与云提供商分担基础架构管理和安全责任。
制定有效的风险管理计划对于所有安全策略的成功都至关重要。
首先,公司必须建立一个发现的过程,来识别和分类软件及资产。然后,通过已当前的风险状况为基准进行评估并确定需要改进的地方。从这里开始,修补和加固系统可以帮助保护企业抵御未来的威胁。为了完成这些任务,公司必须投入必要的时间来确保正确地完成相关步骤,或者寻求风险管理解决方案提供商的帮助。
行政领导的支持
尽管有缺乏员工和预算的抱怨,但74%的受访者认为他们得到了企业领导的大力支持。
这表明了董事和董事会对当前安全问题和网络安全举措的洞察力和监督力度正日益增强。在许多情况下,行政领导可能会带头解决安全问题。
在家工作的影响
2020年,办公模式向在家工作(WFH)转变。随着新冠疫情的出现,很多公司不得不迅速采用这种方法。在许多情况下,通过任何可用手段使业务继续运营的必要性优先于安全问题。
2021年,一些组织逐渐回到实际的办公地点,而其他组织继续使用WFH模式。
调查发现,47%的受访组织有兴趣了解WFH对其整体网络安全状况的影响。
随着传统网络边界的消失,许多组织所依赖的成熟安全技术变得不再那么有效。
在本报告的开头,研究人员注意到许多公司仍然在其安全体系中使用传统的防火墙。随着向远程莫作模式的转变,这些防火墙在保护位于网络之外的终端群方面可能没有什么价值。
持续采用基于云的终端技术以及更好地了解设备和用户行为,有利于保护WFH设备。如果这些工具能够得到积极监控它们的安全分析人员的支持,它们将为远程和现场员工提供安全保障。
多因素身份认证成为主流
38%的受访者表示有兴趣了解更多关于如何将多因素身份认证(MFA)集成到其环境中的信息,这反映了他们对目标威胁的持续关注。此外,29%的人表示目前有计划实施某种基于MFA的访问控制。
人们对该领域的兴趣日益增长,也可能是由于目前许多网络保险公司要求使用MFA作为其政策的条件,以及社交媒体公司对MFA的普遍消费化,他们热衷于避免可能会导致市场操纵和加密货币激增的账户妥协和收购。
现在人们普遍认为,随着多因素身份认证等访问控制技术的实施,任何网络安全计划都可以在一夜之间得到数量级的提升。
原文来源:E安全