信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

2022年即將過去，在這一年中新冠疫情發(fā)展進(jìn)入了新的階段，許多員工重返辦公室，由于地緣沖突導(dǎo)致的安全事件大幅度增多，多家大型企業(yè)因網(wǎng)絡(luò)攻擊或數(shù)據(jù)泄露而受到嚴(yán)重處罰，甚至有安全管理者因此而鋃鐺入獄。2022年，許多企業(yè)為了保障數(shù)字化轉(zhuǎn)型的穩(wěn)定開展而增加了安全預(yù)算，但是他們也意識到，如果安全團(tuán)隊沒有一套合理的網(wǎng)絡(luò)安全計劃和方法，這些安全投資可能會打水漂。

回顧過往、總結(jié)經(jīng)驗，可以為未來發(fā)展指明道路，為此，專業(yè)安全媒體《CSO》網(wǎng)站邀請了多位一線CISO專家，分享了他們在2022年實際工作中的主要感受和經(jīng)驗教訓(xùn)。企業(yè)組織可以通過借鑒這些經(jīng)驗教訓(xùn)，更好地完善安全實踐，加強(qiáng)在審計和第三方風(fēng)險評估方面的審查，保障企業(yè)數(shù)字化業(yè)務(wù)的安全開展。

1

提前預(yù)防地緣政治沖突引發(fā)的安全危害

2022年初，東歐地區(qū)爆發(fā)了激烈的地緣軍事沖突，該事件促使一些民族主義分子和犯罪組織卷入其中，并嚴(yán)重波及了很多企業(yè)組織。谷歌云CISO辦公室主任Taylor Lehmann表示，不要等到擁有強(qiáng)大進(jìn)攻性網(wǎng)絡(luò)安全團(tuán)隊的國家之間已經(jīng)發(fā)生激烈地緣政治沖突時，才去評估企業(yè)組織的安全態(tài)勢是否能合理地抵御這些威脅和攻擊。企業(yè)和政府機(jī)構(gòu)常常需要數(shù)年時間才能堵住這些評估中發(fā)現(xiàn)的缺口，并實施建議的控制措施。網(wǎng)絡(luò)安全方面采取完全被動的方法實際上會使企業(yè)的競爭力、財務(wù)狀況和市場增長面臨風(fēng)險，因此盡早提出問題大有助益。

2

安全意識薄弱的后果更嚴(yán)重

勒索軟件攻擊在2022年快速增加，英偉達(dá)、豐田、Optus、Medibank等大型企業(yè)組織在2022年都成為了受害者。GuidePoint Security的CISO Gary Brickhouse表示，員工安全意識教育和培訓(xùn)應(yīng)該成為任何組織構(gòu)建安全防御戰(zhàn)略的基礎(chǔ)，因為威脅分子越來越多的通過網(wǎng)絡(luò)釣魚及其他社會工程來發(fā)起攻擊。不過目前，我們看到了一個積極動向，由于董事會和管理層看到了這些攻擊給業(yè)務(wù)運(yùn)營造成的影響，已經(jīng)開始為加強(qiáng)員工安全意識付諸行動。

3

更密切地跟蹤開源軟件

2021年底爆發(fā)的Log4j漏洞危機(jī)所造成的影響幾乎持續(xù)了2022年全年，涉及的企業(yè)組織數(shù)量超過萬家，甚至在未來很長時間還會繼續(xù)成為風(fēng)險隱患。Thrive CISO Chip Gibbons表示，Log4j漏洞給業(yè)內(nèi)許多人敲響了警鐘。許多組織只關(guān)注面向互聯(lián)網(wǎng)的應(yīng)用，但卻不知道其中究竟應(yīng)用了哪些開源組件。

雖然Log4j問題造成了混亂，但也帶來了學(xué)習(xí)的機(jī)會。Sumo Logic的CSO兼高級副總裁George Gerchow表示，這讓我們得以改進(jìn)事件響應(yīng)和資產(chǎn)跟蹤。許多公司開始投入更多的精力來跟蹤開源軟件，因為企業(yè)發(fā)現(xiàn)不能盲目信任所使用的軟件。

4

識別應(yīng)用代碼中的漏洞

組織還應(yīng)該更專注于識別應(yīng)用代碼中的漏洞，然而這絕非易事。漏洞管理工具有助于識別操作系統(tǒng)應(yīng)用程序中發(fā)現(xiàn)的漏洞，并確定其優(yōu)先級。一項好的應(yīng)用程序安全計劃應(yīng)該是軟件開發(fā)生命周期的一部分。從軟件項目的開始就編寫安全代碼，并預(yù)先管理漏洞，這對于保護(hù)企業(yè)應(yīng)用安全大有助益。數(shù)字化發(fā)展的一切都是靠代碼去實現(xiàn)的，所有的軟件、應(yīng)用程序、防火墻、網(wǎng)絡(luò)和策略都是需要代碼支撐，由于代碼常常進(jìn)行版本迭代，所以必須持續(xù)不斷地識別漏洞。

5

需要加大防范供應(yīng)鏈攻擊的力度

供應(yīng)鏈攻擊是2022年網(wǎng)絡(luò)安全問題的主要原因，2023年，防范這些威脅仍將任重而道遠(yuǎn)。軟件材料清單（SBOM）是一種新的軟件供應(yīng)鏈安全框架和技術(shù)。市面上還有很多管理信息整合的工具，比如軟件組件的供應(yīng)鏈級別（SLSA）、漏洞可利用性交換（VEX）等。這一切增添了供應(yīng)鏈安全管理工作的復(fù)雜性，也加大了企業(yè)面臨的難度。此外，企業(yè)還應(yīng)該考慮：如果硬件供應(yīng)鏈?zhǔn)艿轿：?，我們會受到怎樣的影響；我們現(xiàn)在又有什么能力，或者需要準(zhǔn)備好哪些能力，以考量那些硬件計算平臺的可信度。

6

零信任安全建設(shè)成為核心理念

零信任計劃的重心并非只是部署管理身份或網(wǎng)絡(luò)的技術(shù)。零信任是數(shù)字交易時消除隱式信任，建立顯式信任的一種理念。這個流程需要兼顧身份、端點、網(wǎng)絡(luò)、應(yīng)用程序工作負(fù)載和數(shù)據(jù)。企業(yè)要為每個產(chǎn)品或服務(wù)都賦予數(shù)字化身份，并進(jìn)行有效的驗證和管理，企業(yè)中的網(wǎng)絡(luò)系統(tǒng)應(yīng)該做好分類并實現(xiàn)隔離。通過零信任建設(shè)，企業(yè)將可以有效面對很多未知威脅引發(fā)的安全危害。

7

網(wǎng)絡(luò)保險需求繼續(xù)加大

由于沒有絕對的安全防護(hù)，因此近年來，網(wǎng)絡(luò)保險受到很多企業(yè)的歡迎，但保費(fèi)隨之上漲。此外，企業(yè)組織在投保時，會受到保險公司更嚴(yán)格的安全審查，以識別在哪些方面存在風(fēng)險。這個過程比過去嚴(yán)格得多，增加了企業(yè)購買網(wǎng)絡(luò)責(zé)任險的時間和精力。組織應(yīng)該像對待審計一樣對待這個過程，即提前做好準(zhǔn)備，詳細(xì)記錄安全計劃和控制措施，并隨時準(zhǔn)備接受驗證。

8

安全測試左移的方法已經(jīng)過時

ReversingLabs公司CISO Matt Rose表示，僅僅尋找左側(cè)（即早期）的風(fēng)險還不夠。雖然在早期階段通過測試來改進(jìn)產(chǎn)品這個概念很明智，但開發(fā)人員只是綜合應(yīng)用程序安全計劃的一部分。DevOps流程的所有階段都存在風(fēng)險，因此工具和調(diào)查必須在流程的各個階段都要有所轉(zhuǎn)變，而不僅僅是早期。如果組織只關(guān)注尋找早期的安全問題，那么也只會發(fā)現(xiàn)早期的安全風(fēng)險。更好的方法是在DevOps生態(tài)系統(tǒng)中全面提高安全性，包括構(gòu)建系統(tǒng)和可部署構(gòu)件本身。供應(yīng)鏈風(fēng)險和安全已變得越來越重要，如果你只關(guān)注左側(cè)，將不可能全面發(fā)現(xiàn)風(fēng)險。

9

用錯誤的工具解決不了網(wǎng)絡(luò)安全問題

Halborn公司的聯(lián)合創(chuàng)始人兼CISO Steven Walbroehl表示，錘子是用來釘釘子的，而不是用來擰螺絲的。2022年，我們要汲取的一個教訓(xùn)是，企業(yè)不可能通過一套安全方案建設(shè)，解決所有資產(chǎn)或資源的網(wǎng)絡(luò)安全問題。因此，CISO需要觀察細(xì)致入微，為想要解決的各種網(wǎng)絡(luò)安全問題分別找到合適的工具和方法。

10

幫助CISO了解完整的應(yīng)用程序架構(gòu)

信息化技術(shù)的發(fā)展一年比一年來得復(fù)雜，組織必須了解整個應(yīng)用系統(tǒng)的整體生態(tài)，才可以避免重大的安全漏洞存在。2022年，我們看到開源軟件包、API、自研代碼、第三方開發(fā)的代碼和微服務(wù)的使用繼續(xù)快速增加，而所有這些都與極具流動性的云原生開發(fā)實踐密切相關(guān)，現(xiàn)代應(yīng)用程序變得越來越復(fù)雜。如果企業(yè)都不知道要尋找什么類型的風(fēng)險，那么安全防護(hù)將無從談起。在現(xiàn)代開發(fā)實踐側(cè)重于細(xì)分責(zé)任，因此沒有人能夠完全掌控應(yīng)用程序的每個方面。CISO需要更多幫助，才能了解完整的應(yīng)用程序架構(gòu)。

11

安全工作需要持之以恒

網(wǎng)絡(luò)安全不是一蹴而就的，信息技術(shù)應(yīng)用在動態(tài)變化，因此安全保護(hù)技術(shù)也應(yīng)該是持續(xù)性工作，需要一套風(fēng)險管理方法。企業(yè)需要識別關(guān)鍵業(yè)務(wù)過程和資產(chǎn)，然后確定它們能夠接受何種程度的安全暴露。一個好的方法是優(yōu)先考慮將安全風(fēng)險降低到業(yè)務(wù)人員愿意接受的程度，并以此開展安全建設(shè)工作和流程計劃。

12

關(guān)注網(wǎng)絡(luò)安全法規(guī)的更新變化

NCC Group集團(tuán)CISO Lawrence Munro表示，我們看到有關(guān)政府機(jī)構(gòu)正在繼續(xù)通過立法來干預(yù)網(wǎng)絡(luò)安全的態(tài)勢發(fā)展。美國、英國和歐盟均已加強(qiáng)了立法，以更有效地防范網(wǎng)絡(luò)事件。

因此，企業(yè)組織需要密切注意數(shù)據(jù)隱私和安全保護(hù)法規(guī)不斷變化和完善這一事實。CISO要了解數(shù)據(jù)駐留、數(shù)據(jù)主權(quán)和數(shù)據(jù)本地化之間的差異，并使組織準(zhǔn)備好滿足這三方面的要求，這是企業(yè)數(shù)字化發(fā)展中至關(guān)重要的合規(guī)需求，而將來只會越來越嚴(yán)格。