新冠疫情依然在持續考驗企業安全的韌性,同時也暴露出企業網絡安全方面的許多不足。
2019年春天,邁克·扎奇曼(Mike Zachman)為其所在的斑馬科技(Zebra Technologies)公司開展了一次安全演習。作為這家公司的首席安全官,扎奇曼負責這家公司的網絡安全,同時也負責產品安全和物理安全。
他將這次演習的重點聚焦在業務連續性上,以確定公司的計劃究竟表現如何。
在過去,他曾組織過類似的演習,模擬了勒索軟件攻擊和能夠摧毀數據中心級別的自然災害事件。
為進一步測試公司的業務連續性,他在2019年設計了全新的場景:假如公司正在經歷一場疫情,需要對員工進行體溫監測。
扎奇曼說,自己并不是先知,只不過更務實而已。在過去,全球化企業曾不得不應對SARS和一些本地流行病,所以,他將考驗公司應對疫情的能力視為一項負責任的行動。
這項演習測試了該公司的“3+2”策略,這項策略旨在確保其災難恢復、供應鏈、勞力(為其“3”)與維修站和配送中心(為其“2”)有足夠的適應能力來應對諸如此類的事件。
扎奇曼表示:“正是因為這次演習,公司在應對新冠疫情的沖擊時做了提前規劃,但這次疫情仍然具有挑戰性。我們投入大量的人力和精力來確保公司能夠應對此次疫情的沖擊。幸運的是,公司沒有手忙腳亂到一直問”我們應該做什么?“。
公司有一項命令與控制計劃,擁有足夠的VPN連接資源,支持廣泛的遠程辦公接入。其員工會將辦公設備帶在身邊,就像2019年秋天演習的一樣,晚上需要將筆記本電腦帶回家中,確保在有緊急情況時,能夠保證業務連續性。
然而,Zebra公司在網絡安全運營中仍然遇到了一些需要解決的問題。比如,公司的辦公筆記本的配置不足以全面保護員工在家中的遠程辦公安全。個人筆記本電腦網絡流量的可視化較差,這都促使Zebra公司加速向更成熟的零信任環境過渡。
正如Zebra公司經歷的那樣,這場真正的疫情暴露了一些安全防護措施較好的企業的安全短板。問題有大有小,不論企業規模和性質如何,都使CISO(首席信息安全官)們及其團隊忙于在持續的不確定性和在家遠程辦公的場景中繼續前進。
IT服務管理公司”TEK系統“的風險與安全實踐部門負責人科瑞·帕特里克(Kory Patrick)表示:這就是我們的差距,我們或許比理想狀態有很大差距,但我們每個人都從這次疫情中學到了東西。
安全問題暴露
從近幾個月的眾多報告中我們得知,2020年攻擊的數量、種類和嚴重程度都在增長。比如NETSCOUT在其上半年威脅情報報告中稱,2020年上半年共計發生了483萬次攻擊,較去年同期增長了15%。統計數字進一步支持了CISO們自3月起一直在表達的觀點:疫情正在不斷考驗著企業安全的健壯性。
疫情暴露了許多安全防護的薄弱環節。安全領導者和專家列出了一些已經暴露的常見問題:
1、計劃與準備不足
網絡安全解決方案與咨詢公司Waite SLTS的創始人、網絡安全女性組織(WiCyS)成員Shelly Waite-Bey女士表示:”在疫情的最初幾個月,眾多機構意識到對安全方案的關注和資金投入不能滿足真正的需要。這些缺少安全投入的企業正在設法糾正這一情況。
2、安全人員在決策層話語權不足
McBride的副總裁兼CISO凱瑟琳·薩拉查(Kathryn Salazar)表示:“很多CISO并沒有足夠的決策權,并且仍面對不重視安全風險直至發展成安全事件的決策層。在新環境下,CISO們并沒有獲得足夠的資金為機構提供安全保護。”
SafeGuard Cyber公司在2020年10月發布的報告證實了她的判斷。報告指出:感知到的安全、合規需求,與機構的規劃水平之間,存在明顯的脫節和不平衡。未批準的應用程序、勒索軟件攻擊、技術棧安全防護等方面存在明顯的數字風險,但只有18%的受訪者認為安全是決策層需要考慮的問題。
3、繼續依賴邊界防御
隨著機構爭相為員工啟用遠程辦公,許多CISO意識到自己既沒有足夠的VPN資源支持負載,也沒有相應的安全基礎設施,來保證只有被授權的人員能夠在規定的時間訪問所需的數據資源。
帕特里克將這歸咎于對邊界防御的嚴重依賴。這種依賴使得安全的彈性遠程辦公變得困難,有時甚至幾乎不可能。為了應對這種情況,專家們指出,CISO們正在加速采用高級身份和訪問管理(IAM)解決方案以及零信任原則。
4、補丁管理存在問題
網絡威脅情報分析師、老牌網絡安全組織VetSec和WiCyS的成員約翰·斯通納(John Stoner)表示,2020年發生的事件也暴露了企業補丁管理的不足。一些機構沒有投入足夠的精力來打補丁,另一些機構沒有強大的資產管理應用,使其能夠有效地管理補丁。還有一些機構在為公司資產打補丁方面做得非常好,但沒有為員工工作的個人設備打補丁。
黑客們也注意到,攻擊尚未修補的已知漏洞的成功概率越來越大。斯通納表示:甚至包括一些大公司在內,都存在因沒有及時修復補丁而導致的入侵現象。Arctic Wolf 2020年安全運營報告指出補丁協議的問題是一個關鍵問題,并指出在疫情期間,重要漏洞補丁發布時間增加了40天。最新的統計顯示,2020年上半年的網絡攻擊中,80%使用3年前,甚至更早的披露的漏洞。
5、可視化和控制能力不足
網絡安全顧問和CISO吉娜·亞科內(Gina Yacone)表示,她建議企業客戶考慮遠程辦公的員工帶來的安全漏洞。她說:“我擔心他們的個人家庭網絡,包括路由器、Wi-Fi等。員工的網絡環境不可能得到企業級的保護,除非他們真的購買了相關服務。”她補充說,“家庭網絡通常沒有加密,有些甚至沒有密碼保護。如果公司沒有使用VPN,或者他們的員工正在處理任何類型的敏感數據,這種情況尤其會帶來問題。員工在家里真的能按要求保護數據嗎?” 亞科內問道。
根據安全企業Arctic Wolf公司的報告顯示,自3月份以來,連接開放Wi-Fi網絡的設備數量增長了243%,這意味著如果沒有得到適當的控制,分散在各地的員工使用不安全網絡將面臨不斷增加的攻擊風險。
風險管理和法律咨詢服務的Consilio公司副總裁馬特·米勒(Matt Miller)認為,如果企業沒有成熟的數據分類、有力的資產管理流程及成熟的監測項目,那么將在實現保護自身足夠安全的可視化方面將充滿挑戰。他舉了一個客戶的例子:一家企業在在6000個電子表格中,存儲有550萬個社保號碼,這些表格既沒有密碼保護,也沒有加密。米勒表示,這樣的場景促使企業安全團隊匆忙開發和實施用于提高對終端、數據流和網絡流量的可視化和控制的策略和解決方案。
6、缺乏敏捷性
米勒表示:在過去幾個月里,一些安全團隊努力掙扎著應對一個挑戰又一個挑戰。的確,他們有一份令人生畏的危機清單要處理,但在快速應對任務時遇到的困難表明,許多CISO的安全部門沒有想象的那么敏捷。
專家將敏捷性的不足與安全領域中長期存在的問題聯系起來,即缺少足夠的人員和自動化能力,無法使員工從處理例行的手工雜務中解脫出來,去從事更高價值的項目。不管原因是什么,其影響都是重大的。
“由于不夠敏捷,不能足夠迅速地轉變,他們過度暴露在安全風險急劇上升的環境,”米勒表示,他注意到一些機構花了數月時間來解決安全問題。“現在的情況是,他們需要更加靈活,以便能夠處理超常規的情況。”
經驗教訓
2020年頻發的安全事件凸顯了企業安全方面的薄弱環節,但安全專家表示,其中許多問題是CISO計劃在長期路線圖上解決的已知問題。
帕特里克表示:“許多機構一直指望利用更長的時間實現改變,但疫情加速了這些計劃,因為新冠疫情暴露了許多機構的網絡安全問題,直接影響了業務的可用性。”
現在,補救工作正在進行中。
帕特里克和其他人說,越來越多的CISO轉向部署或完善零信任架構,以便能夠更好地確保安全性。隨著遠程辦公人員終端數量和連接設備的增長,公司網絡邊界正在消失。CISO們同時還在加強終端安全管理,并推進數據分類和控制。
所有這一切都將使整個網絡世界更加安全——這或許是烏云背后的光明與希望。
米勒表示:“我也能看到一些對今年的安全事件沒有特別準備的CISO,但他們現在會說,我們要改進災難恢復和業務連續性計劃,同時要確定面向未來的計劃,以應對未來可能發生的任何情況。”