常莽

2020年對企業(yè)網(wǎng)絡安全團隊來說是艱難的一年，似乎太過輕描淡寫了一點。新型冠狀病毒肺炎疫情大流行及其所帶來的居家辦公模式的轉變，可謂完全顛覆了以往的安全戰(zhàn)略，迫使許多企業(yè)和組織重新考慮部署能夠確保遠程辦公和供應鏈安全的方法。

那些已經(jīng)實現(xiàn)了對遠程工作人員進行管理控制的安全團隊，突然間不得不面對此類用戶量急速增長所帶來的壓力。而隨著越來越多的用戶從家中訪問企業(yè)系統(tǒng)和數(shù)據(jù)，攻擊面也在急劇增加。日益嚴峻的風險形勢，迫使企業(yè)安全團隊不得不努力尋求新的控制策略來管理這些威脅。

安全運營團隊正忙于解決與通信相關的問題，以及與入侵調查和端點系統(tǒng)可見性相關的挑戰(zhàn)。而在安全問題上采取零信任態(tài)度的企業(yè)和組織似乎找到了加速部署步伐的理由。

負擔過重的安全運營團隊必須找到在新的威脅環(huán)境中保持有效性的方法，即便軟件即服務（SaaS）和零信任計劃已經(jīng)吸引了更多的企業(yè)關注和投資。

根據(jù)安全專家們的說法，這里總結了2020年對網(wǎng)絡安全從業(yè)者的幾個經(jīng)驗教訓，希望大家可以從中獲得啟發(fā)。

安全運營中心需要重新校準

COVID-19所引發(fā)的遠程辦公模式轉變，給早已不堪重負的安全運營中心（SOC）帶來了巨大的壓力。根據(jù)安全公司Exabeam針對1 005名負責管理和運營SOC的網(wǎng)絡安全專業(yè)人員的調查結果發(fā)現(xiàn)，35 %的美國受訪者認為與其他團隊成員的溝通是疫情期間面臨的最大挑戰(zhàn)，34 %的受訪者表示難以調查安全事件是一大挑戰(zhàn)，30 %的受訪者表示缺乏對單個網(wǎng)絡的可見性是一個問題。在接受調查的美國SOC人員中，47 %的受訪者表示在使用新工具（包括SaaS應用程序）時遇到了問題。

SANS研究所的新興安全趨勢主管John Pescatore表示：“擁有不成熟進程的SOC管理者很快就會意識到，當SOC團隊成員不在同一房間時，可能什么工作都做不好?！?/p>

展望未來，安全運營小組將需要實現(xiàn)更完善的體系架構，以滿足大部分人員處于遠程工作狀態(tài)的混合辦公環(huán)境需求。

Omdia的分析師Eric Parizo表示，安全信息和事件管理（SIEM）是SOC的一個特別領域，將發(fā)生很多變化。新的辦公人員分布以及正在進行的數(shù)字化轉型計劃將加速向基于云的SIEMs過渡。

Parizo解釋稱：“作為基于云的SecOps解決方案集的新核心，新一代的SIEM將基于SaaS，提供內置的活動和行為分析，并提供基于固定費用的數(shù)據(jù)攝入，支持多個公共云以及傳統(tǒng)的內部和網(wǎng)絡數(shù)據(jù)源?！?/p>

自選IT成為一個問題

隨著軟件即服務（SaaS）的日益普及，其突出趨勢之一就是向“自選IT”（Choose-Your-Own-IT，CYOIT）模式的悄然轉變。SANS研究所的Pescatore表示，與自帶設備（BYOD）不同，CYOIT涵蓋了更廣泛的工作工具。

由于疫情的推動作用，Zoom便很好地抓住了CYOIT的發(fā)展機遇，超越了傳統(tǒng)BYOD模式的局限。過去，企業(yè)只能在Webex和GoToMeeting兩個傳統(tǒng)的企業(yè)通信方案之間進行選擇。但是現(xiàn)在，大多數(shù)用戶都可以用他們（在一周內）使用過的不同網(wǎng)絡會議系統(tǒng)來填寫表格。

Pescatore補充道，這對IT安全的影響無疑是巨大的。不少公司允許員工用私人設備訪問公司網(wǎng)絡，但是使用BYOD主要的擔憂是企業(yè)數(shù)據(jù)可能最終會泄露在設備上，而對于這些設備，企業(yè)既沒有管理訪問權也無法部署安全策略，一旦這些設備遺失或被竊，無疑會對公司帶來巨大的風險。不過，盡管BYOD存在一些問題，IT管理者仍然可以控制服務器端從而控制可以訪問的應用程序。

現(xiàn)在，有了CYOIT，用戶可以選擇不同的基于云的應用程序，例如，通過Gmail或使用Zoom和Webex等工具訪問他們的工作郵件。CYOIT對企業(yè)組織施加了更大的壓力，讓他們把更多關注點放在數(shù)據(jù)上。如果無法控制硬件或應用程序，那么必須對數(shù)據(jù)進行全程管控。

SaaS已經(jīng)成為更大的攻擊目標

隨著越來越多的企業(yè)組織將工作負載和數(shù)據(jù)轉移至云端，以支持遠程和虛擬工作，SaaS環(huán)境已經(jīng)成為攻擊者的主要目標。AppOmni首席執(zhí)行官兼聯(lián)合創(chuàng)始人Brendan OConnor表示，IT人員將越來越多地參與管理其組織的SaaS應用程序和云足跡。

他說，越來越多的工具，例如掃描應用程序之間的API以實現(xiàn)SaaS配置自動化，以及監(jiān)控用戶訪問、活動和環(huán)境變化所需的工具，將變得越來越重要。

OConnor補充道，“不幸的是，這種向云轉變的趨勢并沒有逃過黑客和惡意行為者的眼睛。隨著企業(yè)組織持續(xù)向云遷移，攻擊者們也正在調整策略，開始利用SaaS領域缺乏安全專業(yè)知識和必要的安全監(jiān)控和防御來實施攻擊活動?！?/p>

2020年早些時候，AppOmni針對200名IT安全專業(yè)人士進行了一項調查，結果顯示，許多IT團隊正在努力跟上新冠疫情所帶來的大規(guī)模運營變化，以及由此導致的云應用速度加快現(xiàn)象。由于疫情相關變化帶來的工作量激增，68 %的受訪者表示他們用于管理和保護SaaS應用程序時間大幅減少了。

零信任模型得到大力推動

零信任安全模型（所有對企業(yè)數(shù)據(jù)的訪問請求，無論是來自企業(yè)網(wǎng)絡內部還是外部，都需要經(jīng)過完全的身份驗證和審查）在2020年受到了越來越多的關注。那些希望解決突然激增的遠程工作者所帶來的新威脅的企業(yè)IT團隊，在很大程度上都開始轉向零信任模型。

例如，2020年8月份，企業(yè)管理協(xié)會（EMA）代表Pulse Secure針對252位IT專業(yè)人員進行了一項調查，結果顯示，其中60 %的受訪者表示他們的組織已經(jīng)加快了零信任戰(zhàn)略部署，40 %的受訪者認為，零信任的主要好處是提高了運營靈活性，還有35 %的受訪者則認為，零信任改善了IT治理和風險合規(guī)性。

除此之外，受訪者還提到其他一些零信任的主要好處，包括漏洞防御和遏制、減少攻擊面以及減少未經(jīng)授權的訪問，所有這些都是后疫情時代的重大關注點。EMA發(fā)現(xiàn)，采用正式的零信任策略的公司比采用臨時策略的公司更有可能獲得成功。具有諷刺意味的是，參與調查的公司規(guī)模越大，越有可能采用臨時策略。

微軟公司在2020年早些時候的一篇博客中說道：“對于已經(jīng)開始零信任之路的公司來說，疫情無疑起到了加速器的作用，進一步加快了零信任模型的部署應用?！?/p>

勒索軟件觸發(fā)了新的管理難題

勒索軟件攻擊正在迅速增加，攻擊者不但竊取數(shù)據(jù)還有可能將其公開，這使得2020年企業(yè)面臨的問題變得更為復雜。受害者不但遭遇應用程序和系統(tǒng)被鎖的命運，還面臨敏感數(shù)據(jù)（包括商業(yè)秘密和知識產(chǎn)權）被攻擊者公開在相關網(wǎng)站上的威脅。

勒索軟件手法升級并不是什么新鮮事，但這確實引發(fā)了一個新的管理問題：我們的標準企業(yè)保險會支付勒索贖金嗎？大多數(shù)情況下，這個問題沒有一個簡單的答案。

最近，多起遭遇重大網(wǎng)絡攻擊的受害企業(yè)提起了訴訟，其中包括制藥巨頭默克公司（Merck）、食品和飲料企業(yè)集團Mondalez。這些訴訟凸顯了企業(yè)在向其網(wǎng)絡安全保險公司索賠時可能面臨的挑戰(zhàn)。

Digital Shadows戰(zhàn)略副總裁兼首席信息安全官Rick Holland表示，今年，威脅行為者成群結隊地加入了網(wǎng)絡勒索的行列，利用疫情的契機大肆發(fā)動攻擊。在第一季度，Digital Shadows僅跟蹤了2個有勒索網(wǎng)站的團伙，而到第四季度，這一數(shù)字已經(jīng)增長到了17個。

Holland表示，特別是那些專門入侵企業(yè)組織，將其獲得的初步訪問權限移交給勒索軟件團伙的“代理人”，在勒索攻擊“淘金熱”的結果下蓬勃發(fā)展起來。將勒索軟件價值鏈的這一部分外包，無疑能夠幫助勒索軟件運營商大幅提高勒索業(yè)務的規(guī)模和速度。

非網(wǎng)絡安全事件同樣會對安全性造成很大影響

COVID-19大流行就是一個鮮明的例子，表明并非所有對網(wǎng)絡安全有重大影響的都是與安全相關事件。疫情導致遠程工作的快速和大規(guī)模遷移，迫使企業(yè)信息安全部門進行各種變革。

信息安全論壇（ISF）常務董事Steve Durbin指出，疫情的爆發(fā)加速整合了一些已經(jīng)在計劃中的工作，例如向遠程工作和云服務遷移。所以，目前來看，IT和安全領導者必須重新將工作重點放在確保遠程工作實踐和供應鏈安全，以及開展專門的安全意識宣傳活動和培訓等任務上面，以應對與疫情相關的網(wǎng)絡釣魚詐騙的突然爆發(fā)。

Vectra公司首席技術官Oliver Tavakoli表示，這場疫情給了我們一個教訓，告訴我們?yōu)槭裁淳哂腥驑I(yè)務的公司需要制定一個應對全球危機的計劃。

雖然許多國家都有應對區(qū)域性災難的計劃，但卻很少有國家做好了應對全球性災難的準備。對此，Tavakoli建議：“不管你的最終用戶來自哪里，都需要投資安全技術，要知道當所有人都被打發(fā)回家辦公時，你在校園周圍放置的新網(wǎng)絡代理無論再怎么引人注意也都起不了任何作用?！?/p>