新冠疫情引发的一些变化可能是永久性的,企业可能需要修改其数据安全策略。
2020年爆发的新冠疫情已经使IT环境出现了一些变化——员工在家远程工作(WFH)和云采用将会继续存在,并且企业需要对网络安全战略进行长期的修订。
安全专家表示,许多企业为确保远程工作人员能够安全访问企业数据而采取的措施往往过于仓促,需要采用能够满足后疫情时代要求的安全控制措施来取代或加强。当数据分散在内部部署设施和云平台环境中,并且用户可以从托管和非托管网络和设备访问数据时,将需要更好地查看、控制和管理IT基础设施的功能。
网络安全服务商Thycotic Centrify公司首席信息安全官Joseph Carson表示,新冠疫情迫使很多企业加快数字化转型并迁移到云端,许多首席信息安全官并没有准备好快速提供支持。他说,“这一变化迫使许多企业采用短期解决方案,使其业务能够继续运营并允许员工远程工作。”
他指出,在许多情况下,企业已经部署了一些新技术来支持新的工作环境,而没有评估潜在的安全影响。Carson说,“现在是首席信息安全官衡量新增业务软件以及增加的风险和如何影响业务的时候。”
Carson和其他安全专家指出,企业必须做出的一些长期变革,以确保后疫情时代的数据安全。
更快地采用零信任访问模型
企业在疫情发生之后向更分散的工作和业务环境的转变,将在未来几年加速采用零信任访问模型。企业数据和服务将永久分散在内部部署、混合云和公有云环境中,用户可以从托管和非托管网络和设备访问它们。在原有模式中,从网络内部访问企业数据和服务的用户受到隐式信任,这将无法在随时随地访问的环境中工作。为了确保对企业数据的安全访问,企业将越来越多地采用零信任模型,其中来自网络内外的每个访问请求都经过身份验证和审查。
SANS研究所新兴安全趋势主管John Pescatore表示,传统的IPSec客户端到虚拟网络服务器的方法无疑正在消亡。他说,“我认为远程灵活工作的需求加速了这种方法的消亡。用户需要从任何地方的任何设备进行连接,并且只需将一小部分流量返回总部。这意味着安全的网络访问控制以及强大的身份验证将成为至关重要的需求。需要真正确定正在连接的人员,然后才能判断他们的设备的安全性。”
IDC公司分析师Pete Lindstrom预计这一趋势将分阶段显现。当前的重点是基础设施层以及诸如网络和主机的细粒度访问控制和加密通信等一些问题。预计企业在未来的几年将进一步采用零信任方法来整合数据和工作负载。Lindstrom说,“软件定义网络和策略抽象层等技术开始大放异彩。我们的目标将是无处不在并且安全地访问,在云端访问和内部部署访问之间没有区别。安全保护将保持持久性,并跟踪数据对象可能移动的任何地方。”
保护更广泛攻击面的控制措施
Digital Shadows公司首席信息安全官兼战略副总裁Rick Holland表示,疫情从根本上改变了企业的工作方式。有些企业将在完全远程模式下永久运行,而另一些企业将在不确定的未来保持混合工作模式。他预计一些企业将不再在庞大的企业园区工作,转而选择更加分散的办公室和距离员工更近的共享会议空间。
Holland说,从安全的角度来看,这一趋势将为企业创建一个新的、更广泛的方式,以提供安全保护。例如无论员工在哪里工作,都需要保护他们的访问权限。同样,社交距离的需求和劳动力短缺加速了自动化和人工智能在零售、酒店和制造业等行业的使用。
新技术的持续采用将创建首席信息安全官必须解决的新攻击面。Holland指出,“将会有更多的知识产权需要保护,机器人和终端等新技术也必须得到强化、监控和修补。”随着协同工作空间、共享空间和办公桌的应用变得更加突出,这也会对员工产生安全影响。
监管要求将发生变化以应对新风险
Holland说,预计监管、合规和合同要求将会发生变化。他预测,监管机构将修改或扩展现有要求,以适应疫情之后的混合工作模式。支付卡行业数据安全标准(PCI DSS)和ISO/IEC27001:2013信息安全标准等法规即将更新,并且可能是首批引入新的标准以应对疫情风险的法规。监管变化可能会在几年内分阶段实施。
Holland指出,这些变化会更快发生在B2C合同和安全附录中。他说,“科技公司已经看到客户合同中不断变化的安全要求,因为这些公司希望确保适当的远程工作和物理安全控制,首席信息安全官必须确保他们的安全控制能够充分解决这些领域的问题,以帮助他们的公司赢得业务。”
更强的身份验证和持久加密
Pescatore说,越来越多的企业使用SaaS和其他基于云计算的系统(例如Zoom、MicrosoftTeams和Dropbox)来支持分布式协作,导致大量业务信息最终出现在许多不同的地方。许多企业将需要持久加密和更强大的用户身份验证方法来长期支持这种工作环境。他指出,从优先级的角度来看,在数据加密发挥作用之前,需要实施强身份验证。Pescatore指出,“如果网络攻击者仍然可以轻松地窃取凭据,那么即使加密数据也无济于事。”
Yubico公司在今年早些时候与分析机构451Research公司合作进行的一项基于调查的研究表明,大多数企业(75%)计划增加在多因素身份验证(MFA)方面的支出,以应对疫情带来新的风险。在此次调查中的200名安全领导者中。49%的受访者将多因素身份验证(MFA)描述为他们采用的顶级安全技术,这主要是在发生疫情和迁移到远程工作模型期间。
更好的网络可见性和监控
由于发生疫情而匆忙转向分布式和云优先的工作环境,导致很多企业在不同程度上失去了对连接到其网络和数据的设备的可见性。在许多情况下,很多企业为了确保业务连续性和可用性而牺牲了安全性。他们采用了短期方法,使远程员工能够保持生产力,并使业务不受干扰地运营。
网络安全厂商Thycotic Centrify公司的首席信息安全官Carson说:“不幸的是,很多企业采用了这些解决方案,而没有评估风险或启用安全措施来防止网络攻击者滥用它们。”
展望未来,自从2020年初以来,由于快速采用云计算和在家工作模式,首席信息安全官将需要评估并找到解决环境中引入的新风险的方法。Carson说,“在未来一年,首席信息安全官需要衡量远程访问风险,并加速部署额外的安全解决方案以增强远程访问安全性,例如特权访问安全性、多因素身份验证(MFA)和单点登录。”
Netenrich公司的首席信息安全官Chris Morales表示,在未来几年,提高可见性对于企业来说至关重要。在允许用户使用托管和非托管设备的组合从非托管家庭网络访问企业数据时,企业安全组失去了管理安全访问所需的可见性和控制权。Morales说,“IT和安全团队已经失去了对哪些设备可以访问高价值数据、这些设备上的应用程序以及连接设备的健康状态的可见性。”
IT-Harvest公司首席研究分析师Richard Stiennon预计,随着企业将其基础设施转移到云端,他们将不得不寻找能够在某些领域反映其内部部署能力的安全技术。其中包括资产发现、配置管理、事件监控和日志记录。Stiennon指出,“所有这些领域都是网络安全领域增长最快的领域,初创公司的估值也很高。”
不断发展的网络风险管理实践
许多企业将需要彻底改革其风险管理和业务连续性实践,以解决疫情发生之后IT环境中的风险。Morales指出,需要改进的领域包括为可能面临的逆境进行规划和准备,使孤立工作的运营团队更好地了解企业范围内的运营相互依赖性,以及将风险管理转变为运营活动。
Morales说,“提高业务弹性需要将风险管理、业务连续性以及IT、开发和安全运营领域结合在一起,以通过设计支持关键任务功能的操作流程加强安全。其长期的重点应该是在企业应用程序、数据和访问它的人员分散在传统企业网络之外的世界中提高态势感知能力。”
Pescatore表示,疫情给企业带来了一个深刻的教训,即拥有和测试程序的重要性,以便更好地响应可能需要快速转移到替代基础设施的事件。Pescatore说,“就像测试数据中心切换到应急电源,或测试切换到备用互联网连接一样,我认为IT和安全团队需要进行临时通知的在家远程工作的测试,其目标是确保在停机再次发生时,他们能够快速、安全、可靠地完成过渡。”