从勒索软件到初始访问代理,再到自动攻击,再到数据中毒和对抗性机器学习,2021年IT安全领域的发展和趋势令人兴奋。
安全是IT行业的发展支柱,至少在大型组织中是这样。在Red Hat公司发布的《2021年全球技术展望》调查报告中,安全性被列为IT投资的首要优先事项,45%的受访者将其列为他们的支出重点。
Red Hat公司科技布道者Gordon Haff在谈到这一调查结果时说:“从历史上看,IT安全面临的问题往往资金不足,优先级不高,但在这里有很多的证据表明,这种状况可能正在发生转变。”
随着DevSecOps文化和实践的发展,IT将成为一股强大的力量,可以将安全威胁缩小到可管理的范围,并提高组织的安全就绪度。但网络攻击者并不会停止攻击。
Altimetrik公司信息安全负责人Aladdin Elston表示:“网络攻击不会等着组织制定安全策略或编好应用程序,勒索软件攻击者也不会等着他们加密数据库,也不会等着他们在下一个补丁管理周期后再发动攻击。”
考虑到这一点,现在是评估IT团队并重新关注其安全目标的时候了。以下是2022年需要关注四个注意事项:
1.重新回到基本面
许多安全事件的根源都可以追溯到基本面。从勒索软件到云帐户劫持,再到数据泄露,组织面临安全威胁的范围十分广泛,其有效性很大程度上要归功于令人惊讶的简单失误,从配置错误的设置(甚至默认设置保持不变),到权限过大的用户,再到未打补丁的软件。
Elston说,“很多人可能认为如今的安全措施应该涵盖了基础知识。然而,直到现在还有许多最基本的安全实践没有得到遵守,这可能导致大规模违规事件。”
这就引出了一个问题:基础知识是什么?密码卫生和系统修补等问题适用于所有方面,但还需要确定特定组织所需的“基础知识”。这提供了一个共同标准来努力和衡量。此外,“基本”这个词并不符合某些基本原则。
Elston说:“在我的世界是,基础知识是补丁管理、安全配置、威胁建模、DAST和SAST扫描、内部和外部漏洞扫描、渗透测试、防钓鱼攻击、第三方漏洞评估、备份和灾难恢复以及定制安全培训。”
还有许多值得使用的安全工具和技术,它们和以往一样必不可少——特别是那些能够实现安全自动化的工具和技术。然而,“我们拥有所有工具”的心态可能导致人们忽视核心安全需求,或者简单地认为他们已经解决问题。
而“基本”也不意味着陈旧。例如,SAST和DAST扫描就是DevSecOps生命周期中的关键方法。
2. 不可能把每件事都放在首位
组织需要重新考虑进行差距分析,作为回归基础计划的一部分,特别是如果还没有完成的话。lston指出了一系列可以使用的外部框架,例如NIST网络安全框架、OWASP Top 10等。MITRE ATT和CK是另一个需要考虑的问题。此外,还有适用的相关监管规则(如HIPAA或PCI)。
Elston建议,组织首先对所有资产进行库存检查。因为无法测试或保护不知道的东西——而库存清单成为内部和外部漏洞评估、内部和外部渗透测试以及其他主动安全策略的基础。
在这一点上,员工和组织有时会迷失在威胁环境中。在组织中发现的风险和漏洞列表,特别是当深入研究那些外部框架或其他涵盖已知威胁和CVE的资源时,这似乎是无穷无尽的。因此需要缩减到适当的规模。如果希望解决所有问题,那么可能什么问题都不能解决,特别是在潜在威胁日益增长的情况。
Elston说:“组织可能列出面临最大风险的清单,然后可以按照关键性和重要性对其进行优先排序。通常会先关注排名前20%的风险。”
这种方法提供了两个主要好处。首先,关注组织最紧迫的风险既高效又以结果为导向。这是一种利用广泛的安全知识并使其在组织中具有针对性和可操作性的方式。
其次,它实际上可以产生下游效应,因为在关注最严重的漏洞时,开始识别在其他地方可重复的模式。
Elston说:“在通常情况下,最关键的漏洞将提供有关组织的环境、网络和人员的信息。在确定弱点所在以及如何纠正弱点的过程中,将制定一套可应用于低优先级问题的方法。”
Elston还强调,为不同的人员和团队建立一个内部渠道,以便就安全问题进行沟通和协作,这一点非常重要。如果不完全使用DevSecOps方法,那么也应该这样做。
他说,“幸运的是,通过负责任的披露计划、众包来源和渗透测试,可以及早发现许多漏洞并快速修补。这使得在组织的IT、基础设施、安全和开发团队中建立清晰和积极的沟通渠道变得至关重要。”
3.解决供应链问题,满足IT安全要求
Red Hat公司的Haff指出,用于描述云原生应用程序开发的运输和物流比喻(例如容器、微服务和编排)也与人们最近对全球供应链的关注有关。其细节有所不同,但供应链管理的许多原则非常适用于IT部门——尤其是供应链安全。
他说,“供应链是世界各地的热门话题,这其中包括软件以及开源软件。”
那么到底有多热门?这足以让美国政府在2021年5月发布了一项关于网络安全的行政命令。
就像在其他供应链中一样,大多数软件依赖于其他软件来构建、打包和部署。即使是拥有庞大开发团队的组织也会使用不是从头开始编写的代码,并且通常是大量代码。
Haff说,“组织采用的大多数软件都依赖于从其他地方获得的软件,其中包括从互联网下载的软件。大部分代码并都不是恶意的,但与所有软件一样,可能包含错误或者是老旧版本。”
软件供应链是2022年及以后IT安全的关键领域。事实上,考虑DevSecOps的一种方式是,它从根本上将安全作为供应链范式而不是网络边界问题。这就是受信任的容器注册(例如Quay)和自动图像扫描也越来越重要的原因。
Haff指出,像开源安全基金会(OpenSSF)这样的行业组织已经在宏观层面解决供应链问题。但是IT专业人员也需要将这种心态带到他们自己的组织中。
Haff说,“IT经理需要尽自己的一份力量,提高对安全问题的认识,并充分利用软件扫描和签名工具来缓解问题,将其作为DevSecOps工作流程的一部分。”
Red Hat公司云计算和DevSecOps战略总监Kirsten Newcomer预计,供应链安全将在2022年成为IT领导者及其团队的一个巨大焦点。组织将认识到现有的方法(如漏洞分析)不足以防止潜在的入侵。DevSecOps团队将扩展他们的战略和工具链,以保护供应链本身。
Newcomer说,“为此,人们将看到在管道中采用新技术的投资,例如Tekton CD链和Sigstore,以便更容易地在管道中添加签名。”
事实上,Newcomer看到了IT行业中出现的另一个制造和供应链的比喻:软件物料清单(SBOM)。
Newcomer说,“关于交付SBOM的拟议标准已经存在了很长时间,但由于对供应链安全的担忧,我们已经到了所有组织都需要弄清楚如何交付软件物料清单的地步。”他补充说,业界人士对静态和动态BOM进行了辩论和探讨。
动态BOM包括不断变化的信息,例如漏洞数据——而软件包本身没有改变,但与该软件包相关的已知漏洞发生了变化。
Newcomer说,“与此相关的是,围绕SBOM和相关包元数据的自动化将呈爆炸式增长。”
4.一切都与数据有关
端点和网络安全等传统关注领域仍然很重要。但是,对于恶意行为者以及试图阻止他们的人员和组织而言,安全性归结为数据安全,其中大部分数据分布在多个运行环境中。
云安全是一个巨大的话题,并不是因为云计算基础设施的安全性较低。而是因为现在几乎每个人都拥有云足迹,而这通常是数据所在的地方。
Authomize公司首席技术官兼联合创始人Gal Diskin表示,组织应该优先考虑基于角色的访问控制和零信任等工具和策略,否则他们就会面临不必要的风险。Diskin建议在组织的身份和访问管理保护伞下不断优化所有内容。组织需要具有“假设已被入侵”的心态:假设云帐户、基础设施、SaaS以及其他资产将在某个时候被入侵。
Diskin说:“IT团队应该预料到企业帐户会遭到入侵,并相应地规划安全策略。深入防御并使用有助于限制帐户危害范围的工具。确保不断验证访问,不仅在粗略的身份验证层,而且在细粒度的授权级别。”
ZL Technologies公司全球服务主管Melinda Watts预计,过去一直专注于基础设施的安全团队将在未来一年更加关注驻留在或通过其基础设施的数据。
Watts预测,具体来说,组织将从安全角度更多地关注他们的暗数据。用外行的话来说,暗数据是指组织生产和存储但实际上并没有做任何事情的大量信息。
Watts说,“DevSecOps长期以来一直采用自上而下的安全方法,确保存储基础设施(云平台或内部部署设施)是安全的。但是到2022年,人们将看到组织将重新关注存储在这些系统中数据的安全性。”
一些组织已经实现了这种平衡,但那些过去将基础设施置于数据之上的组织需要迎头赶上。一旦网络攻击者登录或侵入他人的服务器,他们会对在服务器上找到的数据感到兴奋。
这就是勒索软件已经成为一种祸患的原因,尤其是在医疗保健、银行和金融服务以及政府等备受瞩目的行业。
Elston说,“健康数据的安全如今成为一个新兴安全趋势,随着未来几年勒索软件攻击的持续发生,需要加以重视。”
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。