新冠疫情依然在持续考验企业安全的韧性,同时也暴露出企业网络安全方面的许多不足。

2019年春天,迈克·扎奇曼(Mike Zachman)为其所在的斑马科技(Zebra Technologies)公司开展了一次安全演习。作为这家公司的首席安全官,扎奇曼负责这家公司的网络安全,同时也负责产品安全和物理安全。

他将这次演习的重点聚焦在业务连续性上,以确定公司的计划究竟表现如何。

在过去,他曾组织过类似的演习,模拟了勒索软件攻击和能够摧毁数据中心级别的自然灾害事件。

为进一步测试公司的业务连续性,他在2019年设计了全新的场景:假如公司正在经历一场疫情,需要对员工进行体温监测

扎奇曼说,自己并不是先知,只不过更务实而已。在过去,全球化企业曾不得不应对SARS和一些本地流行病,所以,他将考验公司应对疫情的能力视为一项负责任的行动。

这项演习测试了该公司的“3+2”策略,这项策略旨在确保其灾难恢复、供应链、劳力(为其“3”)与维修站和配送中心(为其“2”)有足够的适应能力来应对诸如此类的事件。

扎奇曼表示:“正是因为这次演习,公司在应对新冠疫情的冲击时做了提前规划,但这次疫情仍然具有挑战性。我们投入大量的人力和精力来确保公司能够应对此次疫情的冲击。幸运的是,公司没有手忙脚乱到一直问“我们应该做什么?”。

公司有一项命令与控制计划,拥有足够的VPN连接资源,支持广泛的远程办公接入。其员工会将办公设备带在身边,就像2019年秋天演习的一样,晚上需要将笔记本电脑带回家中,确保在有紧急情况时,能够保证业务连续性。

然而,Zebra公司在网络安全运营中仍然遇到了一些需要解决的问题。比如,公司的办公笔记本的配置不足以全面保护员工在家中的远程办公安全。个人笔记本电脑网络流量的可视化较差,这都促使Zebra公司加速向更成熟的零信任环境过渡。

正如Zebra公司经历的那样,这场真正的疫情暴露了一些安全防护措施较好的企业的安全短板。问题有大有小,不论企业规模和性质如何,都使CISO(首席信息安全官)们及其团队忙于在持续的不确定性和在家远程办公的场景中继续前进。

IT服务管理公司“TEK系统”的风险与安全实践部门负责人科瑞·帕特里克(Kory Patrick)表示:这就是我们的差距,我们或许比理想状态有很大差距,但我们每个人都从这次疫情中学到了东西。

安全问题暴露

从近几个月的众多报告中我们得知,2020年攻击的数量、种类和严重程度都在增长。比如NETSCOUT在其上半年威胁情报报告中称,2020年上半年共计发生了483万次攻击,较去年同期增长了15%。统计数字进一步支持了CISO们自3月起一直在表达的观点:疫情正在不断考验着企业安全的健壮性。

疫情暴露了许多安全防护的薄弱环节。安全领导者和专家列出了一些已经暴露的常见问题:

1、计划与准备不足

网络安全解决方案与咨询公司Waite SLTS的创始人、网络安全女性组织(WiCyS)成员Shelly Waite-Bey女士表示:“在疫情的最初几个月,众多机构意识到对安全方案的关注和资金投入不能满足真正的需要。这些缺少安全投入的企业正在设法纠正这一情况。

2、安全人员在决策层话语权不足

McBride的副总裁兼CISO凯瑟琳·萨拉查(Kathryn Salazar)表示:“很多CISO并没有足够的决策权,并且仍面对不重视安全风险直至发展成安全事件的决策层。在新环境下,CISO们并没有获得足够的资金为机构提供安全保护。”

SafeGuard Cyber公司在2020年10月发布的报告证实了她的判断。报告指出:感知到的安全、合规需求,与机构的规划水平之间,存在明显的脱节和不平衡。未批准的应用程序、勒索软件攻击、技术栈安全防护等方面存在明显的数字风险,但只有18%的受访者认为安全是决策层需要考虑的问题。

3、继续依赖边界防御

随着机构争相为员工启用远程办公,许多CISO意识到自己既没有足够的VPN资源支持负载,也没有相应的安全基础设施,来保证只有被授权的人员能够在规定的时间访问所需的数据资源。

帕特里克将这归咎于对边界防御的严重依赖。这种依赖使得安全的弹性远程办公变得困难,有时甚至几乎不可能。为了应对这种情况,专家们指出,CISO们正在加速采用高级身份和访问管理(IAM)解决方案以及零信任原则。

4、补丁管理存在问题

网络威胁情报分析师、老牌网络安全组织VetSec和WiCyS的成员约翰·斯通纳(John Stoner)表示,2020年发生的事件也暴露了企业补丁管理的不足。一些机构没有投入足够的精力来打补丁,另一些机构没有强大的资产管理应用,使其能够有效地管理补丁。还有一些机构在为公司资产打补丁方面做得非常好,但没有为员工工作的个人设备打补丁。

黑客们也注意到,攻击尚未修补的已知漏洞的成功概率越来越大。斯通纳表示:甚至包括一些大公司在内,都存在因没有及时修复补丁而导致的入侵现象。Arctic Wolf 2020年安全运营报告指出补丁协议的问题是一个关键问题,并指出在疫情期间,重要漏洞补丁发布时间增加了40天。最新的统计显示,2020年上半年的网络攻击中,80%使用3年前,甚至更早的披露的漏洞。

5、可视化和控制能力不足

网络安全顾问和CISO吉娜·亚科内(Gina Yacone)表示,她建议企业客户考虑远程办公的员工带来的安全漏洞。她说:“我担心他们的个人家庭网络,包括路由器、Wi-Fi等。员工的网络环境不可能得到企业级的保护,除非他们真的购买了相关服务。”她补充说,“家庭网络通常没有加密,有些甚至没有密码保护。如果公司没有使用VPN,或者他们的员工正在处理任何类型的敏感数据,这种情况尤其会带来问题。员工在家里真的能按要求保护数据吗?” 亚科内问道。

根据安全企业Arctic Wolf公司的报告显示,自3月份以来,连接开放Wi-Fi网络的设备数量增长了243%,这意味着如果没有得到适当的控制,分散在各地的员工使用不安全网络将面临不断增加的攻击风险。

风险管理和法律咨询服务的Consilio公司副总裁马特·米勒(Matt Miller)认为,如果企业没有成熟的数据分类、有力的资产管理流程及成熟的监测项目,那么将在实现保护自身足够安全的可视化方面将充满挑战。他举了一个客户的例子:一家企业在在6000个电子表格中,存储有550万个社保号码,这些表格既没有密码保护,也没有加密。米勒表示,这样的场景促使企业安全团队匆忙开发和实施用于提高对终端、数据流和网络流量的可视化和控制的策略和解决方案。

6、缺乏敏捷性

米勒表示:在过去几个月里,一些安全团队努力挣扎着应对一个挑战又一个挑战。的确,他们有一份令人生畏的危机清单要处理,但在快速应对任务时遇到的困难表明,许多CISO的安全部门没有想象的那么敏捷。

专家将敏捷性的不足与安全领域中长期存在的问题联系起来,即缺少足够的人员和自动化能力,无法使员工从处理例行的手工杂务中解脱出来,去从事更高价值的项目。不管原因是什么,其影响都是重大的。

“由于不够敏捷,不能足够迅速地转变,他们过度暴露在安全风险急剧上升的环境,”米勒表示,他注意到一些机构花了数月时间来解决安全问题。“现在的情况是,他们需要更加灵活,以便能够处理超常规的情况。”

经验教训

2020年频发的安全事件凸显了企业安全方面的薄弱环节,但安全专家表示,其中许多问题是CISO计划在长期路线图上解决的已知问题。

帕特里克表示:“许多机构一直指望利用更长的时间实现改变,但疫情加速了这些计划,因为新冠疫情暴露了许多机构的网络安全问题,直接影响了业务的可用性。”

现在,补救工作正在进行中。

帕特里克和其他人说,越来越多的CISO转向部署或完善零信任架构,以便能够更好地确保安全性。随着远程办公人员终端数量和连接设备的增长,公司网络边界正在消失。CISO们同时还在加强终端安全管理,并推进数据分类和控制。

所有这一切都将使整个网络世界更加安全——这或许是乌云背后的光明与希望。

米勒表示:“我也能看到一些对今年的安全事件没有特别准备的CISO,但他们现在会说,我们要改进灾难恢复和业务连续性计划,同时要确定面向未来的计划,以应对未来可能发生的任何情况。”

原文链接:

https://www.csoonline.com/article/3596517/6-security-shortcomings-that-covid-19-exposed.html?upd=1606876317158

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。