不可否认,新冠肺炎大流行大规模破坏并加速了全面的数字化转型。这意味着在更大的混乱和组织压力中,新技术、新流程的采用速度比以往任何时候都要快。对于IT安全团队来说,2020年是前所未有的挑战之年。
我们看到攻击媒介在不断变化,Enterprise Strategy Group 6月的一份报告发现:47%的IT高管表示,自新冠肺炎大流行开始以来,他们看到网络攻击有所增加;36%的人表示,由于远程工作,他们遇到了越来越多的安全漏洞。无论如何,在2020年都很难有安全感,2021年将继续提供类似的刺激和严峻形势吗?
我们时刻发问——“你还好吗?你现在有什么需要应对的吗?”在这样的世界里,帮助员工和合作伙伴应对新的、可能看不见的安全挑战,将更有利于获取数据时代的最优安全策略和最强制胜法则。
远程工作范式加码,传统的网络保护方式趋于失效
远程办公在很大程度上使公司网络保护失效,这给安全团队带来了难以想象的压力。供应链漏洞非常真实,也许是你在网上订购的网络摄像头,或者是你使用的软件平台。确保供应链不被破坏,需要大量的努力。在内部,进行端点检测至关重要。远程办公人员在增长,所以要考虑更多的端点、更多的硬件驱动程序、更多的家庭路由器。
因为远程工作的缘故,可见性降低,端点不受管理,影子IT就成了一个更大的问题。使用个人设备来访问组织资源的频率增加,从而产生了新的摩擦。摩擦产生影子IT,未经授权的IT解决方案使其顺利进行。
在过去,我们严重依赖于驻留在笔记本电脑或工作站以及网络上的安全控制,而立足于远程工作时代,攻击者将利用疫情新常态和WFH来定制更有效的网络钓鱼电子邮件等骗局。以7月份的“蓝支票 Twitter 黑客”为例,从容易受骗的Twitter用户那里,埃隆·马斯克、 巴拉克·奥巴马和金·卡戴珊等各种名人的验证账户被用来骗取12万美元的比特币。
漏洞的两个来源是采用新技术和通过并购吸收新的基础设施。因为公司要迅速整合他们的应用程序和基础设施,进而需要在被收购公司和现有公司内部系统之间建立信任,如果没有一个稳健的并购整合计划,将导致额外的风险。除此之外,我们还须留意云安全。由于云易于被采用,以及 AWS、Azure和Google Cloud 上维护大量不同账户的做法越来越普遍,那些匆忙加速或开始向云迁移的组织面临着更多更常见的风险。
虽然袭击者的策略是相同的,但主题将是不同的,因此防御也会有所不同。
端点安全性至关重要,零信任模式将被持续验证
IT安全的基准是网络安全:SOC通过保护网络外围来保护网络内的数据。但是坚固、 可防御的城墙已经土崩瓦解,尤其是当任何员工都可能无意中打开一扇门的时候,攻击者迟早会突破防御。相反,如果能够确保端点和后端应用程序的安全,网络安全将成为次要的而不是主要的防线。因此,人们将更加关注终端安全和零信任模式。
零信任,不依赖网络保护来保障数据安全。这是一个在2019年有意义的想法,但在疫情时代,应对远程工作的情况突然激增,零信任才是一个更聪明的方法。Gartner预测,到2023年,60%的企业将从虚拟专用网络(VPN)转向零信任计划。
虽然零信任是一个由来已久的概念,但我们相信零信任会持续下去,并最终被记录在案——持续验证、不会消失。针对新冠肺炎大流行所带来的种种不确定性,零信任策略从隐式信任网络中的设备,转变为要求每个设备、用户、应用程序和会话进行验证,这意味着正确的端点策略使安全性独立于网络,并降低数据泄漏到未经授权、安全性不足的设备上的风险。
在对手面前学习,构建抵御攻击的强大算法
安全警报和潜在威胁的数量之多,人类无法独自应对。自动化和机器学习已经帮助人类安全分析师从海量数据中分离出最紧急的警报,并针对某些威胁采取即时补救措施。VentureBeat 7月份的一篇文章指出,Chase使用机器学习不仅是为了通过更有吸引力的营销活动瞄准客户,这家银行业巨头还使用了有监督和无监督的机器学习算法来识别已知和新的安全威胁。
在安全领域,预计AI/ML 安全工具将在标记异常和自动化有效对策方面变得更加复杂和强大。我们不仅能根据过去的不良做法和行为来训练模型,以识别新的、相似的行为,我们还将看到一些算法, 这些算法只关注正在发生的事情,关注流量,关注数据,识别不良模式并采取规避措施。因此,我们将编排整个重复的过程,而不是自动化一些重复的任务。
机器学习算法信任它们从中学习的数据,但是如果有人试图攻击学习数据会怎样?去年,我们的预测报告警告了AI破坏的潜在威胁——通过毒害AI所学习的数据来毒害AI驱动的自动化的结果。或许之前我们都没有仔细想过如何在对手面前学习这一问题,现在是时候提上日程了,因为这种攻击的潜在力量将持续增长。但是,有了这种对抗性的关注,研究人员就可以花费精力来构建能够抵御攻击的强大算法。
双重身份验证和生物认证,成为未来安全交付方向
世界经济论坛(WEF)1月份的一篇论文指出,到2020年,网络犯罪每分钟给全球经济将造成290万美元的损失,其中约80%的攻击与密码有关,该论文称无密码认证是安全数字化转型的下一个突破。从WEF的角度来看,双重身份验证和生物认证以及硬件密钥显得尤为重要,此外还有AI/ML驱动的行为分析、零知识证明和二维码认证(后者已经在亚太国家得到大量采用)。
现如今,安全的表面区域已经扩大,这无疑是一个值得关注的问题。预计会有更多人采用双重身份验证,无论是通过电话应用程序询问“您刚刚尝试登录了吗”,还是通过生物扫描方式确认。不可避免的是,较少的AI/ML平台也将成为黑客的主要目标。
不难看出,硬件令牌是最有可能的解决方案之一,硬件令牌包括很少的USB安全密钥,或者可以并入手机。另一方面,生物识别登录取代物理设备的重要价值也开始凸显。如果手机是生物识别的接口,但不存储生物数据,对小偷来说就会毫无用处,比如不再通过无线电发送密码,而是发送生物特征数据的散列。该设备成为在云中得到确认的信息的唯一通路,只要你的拇指还在手上,那么丢失或被盗的手机就不会构成安全威胁。
2020年是创纪录的一年,整个世界进入了一个充满易变性、不确定性、复杂性和模糊性的时代,在减轻和规避新冠肺炎疫情所带来的负面影响方面,安全团队发挥了重要作用。
在IT安全领域,技能短缺非常严重。随着远程工作成为新常态,很多组织已经看到,即便生产效率没有上升,但依然保持稳定,而且领导已经适应了远程管理的风格。管理远程员工带来的更大便利,使管理者能够在当地技能短缺的情况下在全球范围内雇佣人才。没错,使用新的远程工作范式能够缓解安全人才的严重缺乏,为此,我们需要建立必要的流程和能力来抓住机会。
或许,2021年还将面临更多的刺激和更严峻的形势。安全团队必须考虑到巨大的潜在干扰,面对一个混乱、快速发展的世界,我们也有理由相信,安全团队正在让事情向着另一个方向发展。(作者:Splunk亚太区副总裁 Simon Davies)
如需了解Splunk 2021 年数据技术预测报告的更多内容,欢迎访问:Splunk官网。