2020年,新冠疫情给安全部门制造了困难。勒索软件攻击在增加。远程工作被迫中断,安全进程也被削弱。首席信息安全官不得不调整其短期和长期计划。2021年会好一些吗?
会有所不同,但有些情况可能会变得更糟。首席安全官一直在关注4个关键趋势,以预测这些趋势在2021年怎样发展。所有这些都是由这场疫情所造成或者所影响的,这将对威胁局面以及安全部门怎样保护员工和资产产生长期影响。
勒索软件:更大,更卑鄙,更狡猾
网络犯罪分子是机会主义者。这场疫情使得企业在疲于应对危机时变得更为脆弱。2020年成为勒索软件攻击最为猖狂的一年,主要表现在攻击量的增加。网络保险提供商Coalition报告称,勒索软件攻击占2020年上半年提交的所有网络保险索赔的41%。
努力应对这场疫情的企业、学校和医疗健康机构,无法承受由于勒索软件攻击而导致系统离线,攻击者知道他们因此而更有可能支付赎金。据去年8月和9月进行的2020年Crowdstrike全球安全态度调查,在过去12个月中,27%的勒索软件受害者支付了赎金,平均支付了110万美元。
攻击者最近改变了策略,对受害者变本加厉。他们改进了其加密方案的实施,使其更难被破解。现在,一些犯罪分子不再简单地加密关键数据,而是窃取敏感数据,并威胁说,如果不支付赎金,就会将数据公开。例如,FIN11集团直到最近还是一直专注于从金融、零售和餐饮企业勒索钱财。去年,他们把重点转移到勒索软件上,并建立了一个网站,公布从拒绝支付赎金的公司窃取的数据。
Cloudflare报告说,包括Fancy Bear、Cozy Bear和Lazarus在内的一些组织正在实施基于赎金的分布式拒绝服务(DDoS)攻击。攻击者威胁说,如果不支付赎金,他们会用DDoS攻击来破坏目标受害者的网络,有时还会同步进行可造成轻微破坏的“挑逗式”攻击。
勒索得越来越狠,目标是最脆弱的受害者,以及使加密数据更加难以恢复的策略,等等,所有这些将使勒索软件成为2021年网络犯罪最有利可图的“业务”,也是所有企业面临的最大威胁。因此,首席信息安全官在未来一年中一定要遵守最佳实践以缓解勒索软件风险,这一点非常重要。
首席信息安全官承担了更多的角色
正如网络犯罪分子在破坏中看到机会一样,首席信息安全官也有机会在管理层发挥更大的作用。疫情提高了对安全的重视。越来越多的攻击,尤其是勒索软件导致的攻击,已经引起了首席执行官、首席财务官和董事会的注意,他们期待着首席信息安全官做出回应。疫情引发的企业进行数字化转型的热潮反而会增大安全风险,首席信息安全官因此应参与转型工作。突然间需要为大量远程工作员工提供安全支持,这引起了对系统和数据漏洞的担忧。
最成功的首席信息安全官总是在业务大环境下看待安全功能。随着他们现在得到了更多的关注,这一点也更为重要了。那么,他们在执行力上要有信心,更要有信心管理好疫情导致的复杂运营变化。
在最近召开的CSO50大会上,麦当劳公司副总裁兼全球首席信息安全官Tim Youngblood讨论了首席信息安全官要想取得成功,现在应该做些什么。首先是要熟悉工作的技术方面,而Youngblood强调了卓越运营的必要性,他认为这是首席信息安全官开展其他工作的前提。
他以管理身份为例。他说:“这是你与公司所有资产进行联系的途径。归根结底,尽管身份认证的一个重要作用是安全保护,但我们实际是在为环境中的一切创造条件。这就是卓越运营变得如此重要的原因。如果你在运营上得不到信任,那么在任何其他事情上也得不到信任。”
Youngblood还建议安全部门领导与业务部门领导展开合作。“我们拥有了话语权。我们经常被要求向董事会汇报。既然我们有了话语权,那就必须展示我们的价值。”这意味着不仅要讨论威胁和缓解措施,还要解释安全因素怎样促使业务部门成为合作伙伴。他说:“如果你是合作伙伴,而且大家都认同,那么你的成功就是他们的成功。”
成功的合作需要良好的沟通。沃特迪斯尼公司负责信息安全和风险管理的高级副总裁Greg Wood在CSO50会议上谈到了首席信息安全官在进入2021年后应该怎样讨论安全性。“首席信息安全官应能够在企业不同的层面谈论网络安全问题,他们要知道自己所在的层面。”他说,首席信息安全官在与精通技术的同事交谈时必须能够展示自己的技术知识,这样才能让人觉得自己有“街头信誉”,而更重要的是,首席信息安全官在进行交流时,一定要使用业务部门每个合作伙伴的“语言、焦点、视角”。
Wood说:“我们现在更多地被拉去参加业务战略会议,而以前只是参加技术战略会议。如果不是因为首席信息官想让你去,而是首席财务官想让你去的时候,这就标志着企业和各个业务部门本身的成熟。”
重塑首席信息安全官角色的不仅仅是新冠疫情。新的隐私和安全法规也在发挥作用。TikTok的首席安全官Roland Cloutier在CSO50会议上说:“我们的工作已经从根本上改变了。我们的服务需要改变,特别是在怎样保护数据方面。你怎样推动数据防御计划,这与企业中的其他专业相互交叉,涉及到隐私、IT、数据管理和数据治理等。这远远超出了网络防御行动的范畴。我们的重点是数据级别的控制、保证和监控,以及怎样将其集成到安全平台中。”
Cloutier说,首席信息安全官要想很好地应对这些新的监管要求,关键是要与自己企业的总法律顾问和隐私管理部门保持良好的关系。我们需要对我们的业务、我们提供的服务以及在哪里提供服务有清晰的认识。一旦了解了自己的具体业务,而且建立了良好的关系,你就可以开始构建所要提供的服务了。
重新评估安全策略和技术堆栈
如果端点可以在任何地方,或者可能在不受你控制的设备上,那么怎么保护它们呢?你的企业是否准备好应对越来越复杂和专业化的有组织网络犯罪了吗?你的安全基础设施和员工能否进行调整并适应快速的变化?
在疫情期间由于转为居家办公模式而导致安全部门突然要保护很多新上的远程端点,而这些端点很可能将成为永久性的。Skybox新常态下的网络安全调查显示,70%的企业预计,至少有1/3的远程员工会在18个月内一直保持远程工作状态。必须重新考虑认为此举是临时性的安全措施。
此次疫情还促使企业启动并加快数字转型项目,这意味着要将更多的系统迁移到云端。这也需要重新思考安全战略和基础设施。
安全领导们越来越关注民族国家及其代理人造成的直接和间接威胁。在Crowdstrike的调查中,87%的受访者表示,国家发起的攻击比大多数人想象的要普遍,73%的受访者表示,此类攻击是2021年他们这样的企业面临的最大威胁。毫不奇怪,在疫情期间,生物技术和制药企业说他们面临的风险最高(82%)。这还没有考虑到他们的代理人独立行动所带来的间接的民族国家威胁,也没有考虑到犯罪集团能更好地利用他们的策略、工具和程序(TTP,Tactics, Tools and Procedures)。
据IDG的安全重要事项研究,为了应对这些永久性的变化和加剧的威胁,一些企业打算在2021年试验或者实施几项技术。受访者表示,他们将在2021年评估或者投资以下这些技术:
- 零信任(40%)。
- 欺骗技术(32%)。
- 身份验证解决方案(32%)。
- 访问控制(27%)。
- 应用程序监控(25%)。
- 基于云的安全服务(22%)。
对安全人才的需求上升
随着安全领导们逐渐适应了此次疫情带来的长期变化,很多企业可能想增加工作人员或者改变其安全部门的组成。即使在形势最好的时候,这也很困难,随着所有企业都在重新评估人员需求,2021年,肯定会更难招到安全人才。
安全部门在很大程度上躲过了疫情导致的裁员——在Crowdstrike的调查中,只有24%的受访者说他们的员工因疫情而流失,35%的受访者表示停止了招聘安全方面的新人。所以,不要指望2021年会因为裁员而有大量人才涌入市场。对人才的需求似乎也在增长。提供网络安全就业市场数据的CyberSeek公司指出,在撰写本文时,美国约有52.5万个开放安全岗位,而疫情开始前只有39万个。然而糟糕的是,Emsi研究公司在去年7月份报告说,符合条件的求职者只有不到20万人。
一种选择是考虑远程安全工作员工。很多企业拒绝聘用远程安全专业人员,但这场疫情证明,并不是所有安全人才都需要在现场工作。这样,企业可以将其对难觅人才的搜索范围扩大到不同的地理区域。
Emsi研究公司的报告提出了一些填补空缺安全职位的建议。首先是培训非安全人员,这就是所谓的“自建,不买”的方法。该报告称,IT、财务和业务运营人员是最有可能接受再培训的员工,向网络安全转型的比率最高。每个人都有自己的领域知识,比如网络系统、金融交易和业务流程等,这些知识可以增强他们所学的任何安全技能。
另一个建议是用人单位、教育机构和当地员工一起发展合作项目。通过确定具体的安全需求,他们可以在当地共同培养人才。例如,广泛说明安全认证的价值并降低认证成本,使求职者更容易从事安全工作。