对网络安全而言,过去的2017年就像是过山车似的一年,Computing网站在10月和11月进行的年度研究项目中发现,受访者对于“网络安全形势是否会很快好转”呈现出不同寻常的焦虑情绪。在《企业安全评估2017》这份报告中,Computing对今年预计会出现的形势提供了一些看法和建议,同时云安全领域的3名高级专家也谈了他们的做法。

云备份专家Druva公司的EMEA(欧洲、中东、非洲)区资深副总裁Rick Powles表示,“在IT行业内,有一种非常明确和强烈的感觉——维持安全性正在变得越来越困难。”这也解释了我们的受访者为什么会呈现如此不同寻常的焦虑情绪。从勒索软件到物联网驱动的DDoS攻击,再到民族国家组织发起的攻击,可以说冲击的强度和复杂程度都是前所未有的。

Rick Powles

勒索软件

如果说个别年份有定义的主题的话,那么2017年的网络安全现状就可以概括为“勒索软件年”。首先是WannaCry,然后接力的是NotPetya,全都是突然地出现然后留下一个破败的“烂摊子”。这两个勒索软件家族与前几代勒索软件有所不同,它们开始积极地寻找新的感染目标,然后使用美国国家安全局(NSA)泄漏的“EternalBlue”漏洞利用进行迅速地感染和传播。

然而,每一场危机背后都蕴藏着机遇的种子。这些大规模的攻击活动至少为企业董事会带来了所需的震撼,让他们能够重新把关注重点放在网络安全上。事实上,企业已经迅速成为威胁的焦点,只要“Target ”(美国零售巨头“塔吉特”数据泄漏事件)或“TalkTalk”(英国电信运营商TalkTalk数据泄漏事件)从头条新闻中消失,很快地又会有另一场大规模、灾难性的新型攻击事件发生。

Qualys公司EMEA区董事总经理(MD)Darron Gibbard表示,“WannaCry攻击事件绝对会让更多的企业内部人员警觉起来,并关注他们自身的网络安全建设情况。我曾经与一个遭受了WannaCry攻击的客户谈论一个安全项目,结果该项目获得了全体董事会的一致支持进入了优先列表的首位。”

Darron Gibbard

Druva公司的Powles补充道,勒索软件正在不断地为企业施压,让他们能够有效地管理自身的数据。

勒索软件本身的攻击质量正在日益提高,所以越来越难以在没有支付赎金的情况下找到轻松利用和恢复数据的方法。如果没有适当的数据管理策略——在数据不可用之前就对其进行重视,那么越来越多的企业将承受支付赎金来解锁数据的风险,这些赎金就是对安全性薄弱企业的惩罚。

欧盟《通用数据保护规范》(GDPR)

在我们的研究中,最令人惊讶的是许多企业对于即将在5月份正式生效的GDPR新规采取的放松(或者可以说是懈怠)的做法。近年来,关于GDPR新规的通知、新闻稿和文章可谓铺天盖地,由此也可以看出其重要意义。但是尽管如此,在11月进行的调查中仍有60%以上的受访企业表示,他们刚刚开始为GDPR新规做准备——考虑到GDPR的合规要求可能会涉及的工作量,这一数字可谓非常惊人。

这些企业可能是认为GDPR新规不会影响到他们,如此看来,英国信息专员办公室(ICO,英国专门的数据保护机构)要为这些企业的违规行为担心了。据悉,英国虽已脱欧,但英国信息专员办公室在其官方声明中表示,“无论留欧与否,英国将坚持欧盟颁布的有关数据保护的GDPR新规,并使其清晰有效。”

这种假设存在或多或少的可能性,但是鉴于可能面临的罚款(违规最高罚金可达公司全球总收益的4%或2000万欧元,以高者为准),应该没人会拿自身当赌注挑战监管机构的权威。

对于企业懈怠行为的另一种解释是,遵守GDPR合规性的责任分化了。Gibbard解释称,造成这种懈怠的部分原因是GDPR被单独视为了一种IT问题,而不是影响业务不同领域的因素之一。就“如何处理客户记录”、“如何管理这些记录”以及“如何处理来自个人的数据请求”等问题达成共识,将会像影响IT问题一样影响到企业的法律、财务以及运营等各方面。

其他公司可能只是低估了满足GDPR合规性的工作量,特别是定位和管理存储在他们网络中的个人数据的任务。

Powles补充道,“跟踪所有这些数据(创建了很久且分布在不同的地方)的任务比很多人想象的要更为复杂和困难。我想那些刚刚开始或还没有为GDPR做准备的公司,很可能将遭遇‘罚单’惊喜。”

此外,对于GDPR新规在企业调查中呈现低优先级的结果也着实更令人感到惊讶,因为根据另一个关键的调查结果显示:合规性是2018年许多企业的首要任务——包括IT部门。事实上,在大型组织中,合规性是IT部门的首要任务。

Sumo Logic公司安全与合规副总裁George Gerchow认为,对于很多人来说,合规性问题仍然是今年需要处理的一个问题。

对我来说,大多数受访者刚刚开始或还没有进行真正地准备计划并不令人惊讶。但是我想这种情况在本周将发生改变,因为现在我们已经进入2018年了。过去两天里,我已经被各种关于GDPR合规要求的文章淹没,例如我们应该如何准备以及采取哪些步骤来满足GDPR合规要求等。

George Gerchow

在要求对“合规性成为2018年许多企业的首要任务”这一发现进行评论时,Powles表达了对合规行的强烈关注。他说,“IT团队认真对待合规性是一件好事,英国信息专员办公室(ICO)对于GDPR的指导意见非常明确——GDPR新规不是为了驱逐一些公司,而是为了让企业重视客户的数据记录并为其赋予价值。”

Powles继续表示,遵守GDPR新规能够帮助企业更轻松、有效的管理数据,它应该被看作是一个好机会,而不是一件苦差事。

网络技能差距

网络安全技能短缺一直是一个持续的主题,自然地,它也出现在了今年的研究之中,特别是在实施多层次的深度防御方面——捍卫组织安全最有效的策略之一,这种技能短缺尤为显著。

存在该问题的部分原因是,每个个人的安全工具和服务难以实现整合。据Qualys公司的Gibbard所言,改善这一方面的问题可能会成为替代“雇用昂贵的和难以发现的技能”的一个可行性方案。

他表示,“更好地整合安全数据,甚至整合单一安全套件的多个点工具,应该能够帮助团队获得更有效、更快速的洞察力。这种整合和自动化应该可以帮助现有的IT团队节省更多的时间来完成更多的任务,因为现在很难找到更多合适的人来处理潜在的威胁。”

未来趋势预测

展望2018,Gibbard进一步强调了使用分析技术来有效对抗威胁,并在发生实际损失前将其中和的重要性。他认为,另一个重点是解决正在不断涌现的无文件恶意软件威胁。根据2017年的企业安全评估报告显示,这是一个越来越令人担忧的领域。但是,与其去部署新的安全技能和解决方案,大多数企业更需要的是正确地掌握对于这些威胁的基础认知。

企业越来越担心一些新型威胁(如无文件恶意软件),且越来越希望能够在攻击实现之前发现这些威胁。有效地检测能够帮助企业阻止这些攻击行为造成的伤害。但是,许多企业仍然缺乏对于这些威胁的基础认知。及时管理所有IT系统中的漏洞——无论这些漏洞是在云中还是传统资产中(如笔记本电脑和PC),都能够显著降低潜在风险。换句话说,也就是意味着你需要正确修补安全流程、更快地检测更新,并且更有效地管理潜在风险。

Powles表示,管理数据需要变得更简单,所以他们不会把这项工作放在“太难的”环境中,相反地,更好的数据保护和管理应该像轻按开关一样简单。

此外,Gibbard还预测,从开发人员和部署角度来看,云计算和容器安全的关注度将日益提高。他说,“这些平台在部署应用程序方面变得越来越受欢迎,但与传统的应用程序和资产相比,它们需要不同的安全方法。我认为,未来我们会看到更多的公司开始考虑将标准的安全性构建到应用程序开发过程之中。

将安全性集成到DevOps中——也就是所谓的DevSecOps,此外,不断提高安全流程的可视性也在Gibbard必做清单的重要位置。

安全无法在孤岛上生存——Dev、Ops和安全性必须使用相同的数据,但是可以通过不同的场景或使用案例呈现。云访问安全代理(CASB)服务非常酷,我们可以用其来防止数据丢失,但这只是其中的一部分,因为它们不会真正地从云服务提供商(CSP)的服务器(如AWS Cloud Trail、Guard Duty以及VPC Flow logs等等)中为我提供IaaS日志。

他说,最为重要的是需要关注认证和加密。他解释称,“访问问题始终是最大的安全风险,所以我们需要全面使用单点登录(SSO)和多因素认证(MFA),这能够帮助我们弥补密码安全方面的缺失。此外,最为重要的是,对所有东西进行加密处理!”

完整报告:

https://www.computing.co.uk/digital_assets/78517e29-050a-43ae-840f-8f3d3f58213c/CTG-Security-Review-2017.pdf

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。