在过去的几年里,组织保护自己免受攻击者的方式发生了巨大变化。混合工作模式、快节奏的数字化以及越来越多的勒索软件事件已经改变了安全格局,使得网络安全从业者工作比以往任何时候都更加复杂。
这种错综复杂的环境需要一种新的思维方式来捍卫,过去可能成立的事情如今可能不再有用。数字证书的到期日期是否仍可在电子表格中进行管理?人类真的是最薄弱的环节吗?
国外安全专家权衡了我们最终需要在2022 年思考的 22 个网络安全神话,神话自然存在非常大不确定性,即此处的神话是要纠正的错误思想或方法。
1. 买买买可以加强网络安全保护
组织陷入的最大陷阱之一是预置了一个前提,就是需要更多的工具和平台来保护自己。厂商时长给用户的感觉是一旦他们拥有这些工具,就会认为他们是安全的。组织被引诱购买“被吹捧为灵丹妙药”的产品,ArcticWolf 的首席技术官 Ian McShane说:“这绝对不是成功的关键。”
购买更多工具并不一定会提高安全性,因为很多安全隐患通常不是工具问题,而是操作问题。所以,组织应充分利用现有投资预算,应该优先考虑安全运营,而不是无休止地循环使用新供应商和新产品,安全运营将在以一种满足独特需求的方式应对快速发展的威胁形势方面大有帮助,让产品的购买更具科学合理性,当然我国很多单位在很多组织内,连最基本的安全工具都不具备,这些组织还是需要科学合理的采购安全工具的。
2. 网络保险是转移风险的解决方案
从理论上讲,网络保险可以让组织避免潜在网络攻击的成本。然而,这个问题更加微妙。例如,勒索软件事件的成本远远超出其直接的财务影响,因为包括客户的信任和组织声誉受损等事情。
ConquestCyber 总裁 Jeffrey J. Engle认为:[网络保险] 应该是网络安全战略的一部分,但不是网络弹性战略的基石。基线要求、排除和保费正在上升,而覆盖范围正在急剧下降。
网络保险的概念,前几年我国也有人在探讨,在国外已经发展一段时间,而且也有成熟的案例。但是,在我国当下很多人认识不清“网络保险”的作用,而会对此有很多误解,如很多人可能会认为网络保险会承担所有责任,其实不然,网络保险承担的是间接责任,以业务为驱动的网络安全,而我国网络安全运营者尚处在以事件驱动的安全状态,所以不需要太过看好网络保险,至少当下不宜过多探讨这个问题。
3. 合规等于安全
正如美国海军陆战队喜欢说的那样,做好检查准备是一回事,但做好战斗准备是另一回事。ABS Group 工业网络安全全球主管 Ian Bramson 表示:许多公司过于关注满足合规性要求,而对真正的安全性关注不够。
检查所有合规框是远远不够的,因为合规只意味着满足最低标准。要达到网络成熟度的高级状态,需要一个更加全面和个性化的计划。这一点,在我国也是存在相同的问题,很多网络运营者往往考虑“过等保”,原则上何曾有“过等保”这个概念呢?好比,检查车况是为交警检查的吗?过了交警那一关,能够过安全关吗?能够保障生命安全嘛?所以,把合规以及遵守法纪要求,理解等同于安全是非常不负责的想法,想推卸责任更是愚蠢的想法。
4. 如果所有内容都记录就合规
许多公司保留日志,但很少有人正确分析它们。Devo Technology 的 CSO Gunter Ollmann 认为:如果没有主动查看日志并自动寻找已知威胁,那么就无法理解现代网络威胁,你最好打印出日志并烧掉来加热你的公司办公室。
最好的日志是简单且结构化的,但有足够的信息来帮助研究人员调查事件。设计日志的专业人员应该专注于更改和异常,而不是记录平静的状态检查或系统检查。所以,在安排审计员角色时,不是说他能看日志信息,而是能够看懂日志发现异常,配合其他角色一起核查技术、管理中的漏洞,修补修复管理和技术中的漏洞,提升网络安全综合能力和水平。
5. 可以使用电子表格手动管理部署网络中的所有数字证书
组织依赖于数以千计的数字证书,这些证书在任何给定点都是有效的,而手动跟踪它们是不可能的。这些过期证书之一可能会导致级联故障,例如关键系统的中断。
Sectigo 的首席信息官 EdGiaquinto 认为:不再可能使用电子表格和手动数字证书部署和撤销方法来管理、保护和验证这些身份,更糟糕的是,一个过期的证书可以为不良行为者提供渗透企业网络并造成严重破坏的绝佳机会。
6. 数据在云端更安全
大约一半的公司数据存储在云中,公司可能过于信任其安全性。许多云提供商不保证使用他们的服务的客户将保护他们的数据。
VeritasTechnologies SaaS 保护、端点和备份主管总经理 Simon Jelley 认为:对于云服务提供商而言,数据与生产和依赖数据的公司一样宝贵是不对的!事实上,许多人甚至在其条款和条件中采用了责任共担模型,这清楚地表明客户的数据是他们保护的责任。
7. 安全是安全部门或安全团队的工作
OmotolaniOlowosule 博士认为:每个人都有尽职调查或责任,以确保他们实践合乎道德的商业运营,应该在整个组织内加强意识和良好的安全行为。
非IT部门的意识较弱的员工应该接受适当的培训,以确保他们了解风险并知道如何解决一些最常见的问题。
8. 每年次的安全培训能为员工提供足够的知识
许多公司要求其员工定期参加在线安全培训。人们观看一段短片并回答几个问题。尽管人们在考试中表现出色,但这种学习方式不一定有效。
安全顾问 SarkaPekarova认为:不提供引人入胜的内容,这不会引起他们的注意,让他们记住所教授的原则或发生安全事件所需的流程和程序。
9. 雇用更多人将解决网络安全问题
企业应优先考虑留住网络安全专业人员,而不是寻找人才。应该对他们进行投资,并为他们提供获得新技能的机会。
McShane认为:最好有一小群训练有素的 IT 专业人员来保护组织免受网络威胁和攻击,而不是拥有一个不具备适当技能的不同的大群体,虽然雇佣新的团队成员可能是有益的,但企业花在雇佣新员工上的时间和金钱可以更有效地用于加强他们的安全基础设施。
10. 人是最薄弱的环节
大多数攻击都是从人开始的,但组织应该停止指责他们,而应该采用整体方法。她建议翻转这个想法。安全顾问 Sarka Pekarova 认为,如果我们为人类提供正确的支持,他们将茁壮成长并成为我们网络中最强大的纽带,我们使用“人力资产”是有原因的。如果适当的政策和程序到位,例如零信任,并且如果人们得到足够的支持,可以提高组织的安全性。
11. 一切都可以自动化
安全相关流程的自动化似乎对组织很有吸引力,因为可以节省时间和金钱。不过,它应该适度使用。Halborn 联合创始人兼首席信息安全官 Steven Walbroehl 认为:“盲目依赖自动化实际上会在安全评估的质量和准确性方面造成差距,会导致被忽视的漏洞,并造成无法预料的安全风险。某些复杂的任务最好留给人类,因为它们需要直觉和本能,而机器缺乏这些。我还没有看到一种自动化工具可以模拟熟练的渗透测试人员执行的思维过程,他们试图破解或利用业务逻辑或复杂身份验证中的步骤。
12. 解决了最新的攻击就安全了
公司经常关注最新的攻击,错过了其他相关的事情,并且没有建立足够的能力来防止未来的事件。布拉姆森认为:只关注已经发生的事情是被接下来发生的事情击中的好方法。威胁和攻击是不断变化的。需要有一个程序来适应和为未知做好准备。
13. 季度性更改一次密码将使账户更安全
Bishop Fox 的首席研究员 Dan Petro 认为:要求用户按时更改密码只能确保他们的密码很糟糕。比让用户选择“Winter2022”等简短密码的完美方式。
趋势科技基础设施战略副总裁William Malik 对此表示赞同。当攻击者得到一堆密码时,进行密码喷射——比每 90 天一次要频繁得多。使用特殊字符不会使密码更安全。相反,应鼓励用户选择长密码并启用多因素身份验证。
14. 加密敏感数据就是安全的
太多的开发人员将加密视为魔法仙尘:你将它洒在数据上,它神奇地变得安全。通常,开发人员不会考虑密钥存储在哪里或在某些情况下攻击者是谁。密码学是一个复杂的主题,太多的开发人员最终把自己笼罩在一种错误的安全感中,认为他们已经“加密”了他们的数据,因此它是安全的,当然加密的数据更不安全。所以,无论数据所有者还是程序开发者,都不应该沉浸在虚假的安全感中。
15. 网站URL旁边有一个绿色锁网站是安全的
也许在一二十年前就是这样,当时流量很少加密,获得有效 HTTPS 证书的成本很高。如今,网络犯罪分子可以免费获得恶意网站的证书。卡巴斯基安全研究员 Dan Demeter建议:首先在最喜欢的搜索引擎上查看网站,如有疑问,请始终手动输入其 URL,而不是单击链接”。
16. 组织太小不能成为目标
即使在今天,仍有太多公司认为他们的相关性不足以成为网络攻击的受害者。布拉姆森认为:如果你有曝光,你就是目标......每个人都有曝光,网络攻击者可以专门针对一家公司,或者他们可以发起一般攻击,看看谁被他们的网络抓住了。无论哪种方式,你都会在某个时候遭受攻击。
客户数据是在暗网上出售的宝贵商品,受感染的网站可能会传播恶意软件。中小型企业通常缺乏资源来实施和管理适当的信息安全计划,这使他们很容易成为猎物。
17. 严重威胁是政府的责任
在安全方面,每个组织都应该尽自己的一份力量。政府无法保护所有人——很难保护自己免受高级持续威胁的无情攻击。法律法规就像汽车召回。为了让政府编写、审查和批准某些东西,然后它就迫使其消失,必须发生很多安全事件。因此,政府行动通常是在风险被广泛意识到之后才采取的行动。
18. 供应链攻击可以通过修补所有内部第三方软硬件来阻止
Armorblox 的联合创始人兼首席执行官 DJ Sampath 认为事情没有希望就这么简单。虽然软件漏洞和未打补丁的系统为攻击者提供了一个完美的攻击面,但它们并不是他们可以使用的唯一手段,企业需要全面了解他们的供应商管理,包括商业电子邮件泄露 (BEC)、账户接管和供应商环境中的横向移动。
不作为的代价可能很高。一个案例例证这种危险的案例研究是,一名立陶宛男子因欺诈性 BEC 计划盗窃超过 1.2 亿美元而被判刑。
19. 数据在公司防火墙后是安全的
没有防火墙是不安全的网络,但是防火墙后的数据不是真正安全的。混合模式已经让组织走出了他们的舒适区。随着每个人都在家工作,企业网络不再是安全边界,现在他们必须重新专注于应用零信任技术,并理解身份——无论位置如何——都是新的安全边界。
组织正在实施创新的公钥基础设施(PKI) 解决方案,该解决方案通过整合和自动化验证设备、用户和实体身份的数字证书的部署、发现、管理和更新,在实现零信任环境方面发挥着关键作用。
20. 广泛的软件测试可以防止攻击
测试软件总是一个好主意,并且努力去做会有帮助。但 Virsec 的联合创始人兼首席技术官 Satya Gupta 表示,攻击者仍然可以找到漏洞。在PrintNightmare这个漏洞中,微软在 2021 年 7 月修补了 Windows 2003 的代码。显然,微软资源丰富,但也未找到该漏洞。
近年来,越来越多的组织设立了漏洞赏金计划来激励白帽黑客。如果管理不当,这些程序可能会提供错误的安全感。
21. 加载远程不受信任的任意 Java 代码是绝对安全的
这听起来可能是世界上最明显的事情,但为什么似乎每个 Java 程序仍然这样做呢?也许 2022 年将是 Java 程序最终停止有意加载任意远程代码的一年,人们可以期待。
网络安全是一个非常综合体系性工作,很多网络安全神话是因为我们对某些内容的认识不足或认识偏颇,如对某个知识的缺少认识,故无相关安全意识,有时对某些内容的认识有失偏颇,又认为某一项安全措施可以万无一失。总之,在网络安全战略中,应该以“中”为度,不可偏废,又不可或缺,所有的工作不可不及,又唯恐过犹不及。所以,这个度需要对网络安全以及相关的责任义务有深刻全面的了解和理解,才能最终做的更合理更科学。当然,我们都是在不断探讨网络安全,没有绝对的网络安全,当然有体无完千疮百孔的网络防护。网络安全需要持之以恒,永续前进发展的,可以说网络安全也属于生无所息之列。