如今,一些网络攻击者通过超越企业的创新技术,加快了攻击的步伐。因此,大规模的网络攻击在2023年将不可避免。在过去的两个月,T-Mobile公司、LastPass公司和弗吉尼亚联邦大学卫生系统都遭到了网络攻击,导致严重的数据泄露。
总部位于美国的无线运营商T-Mobile公司在1月19日发现,该公司的3700万份客户记录被泄露。密码管理平台LastPass也遭遇多次攻击,导致2500万用户身份泄露。弗吉尼亚联邦大学卫生系统(VCU)在本月早些时候发现数据泄露,4000多名器官捐赠者和接受者的数据已经泄露。
数据泄露: 外围防御失败的后果
当网络攻击者找到新的方法来避开外围防御时,受害者可能会出现漏洞,使他们能够在不被发现的情况下访问网络,并采用包括勒索软件在内的恶意载荷感染网络。在那些经常被引用的外围防御失败案例中,通常导致一些企业损失数百万甚至数十亿美元。不同的因素会导致数据泄露,其中包括人为错误和外部攻击。这些因素使得基于边界的安全系统难以检测和阻止网络攻击者的攻击和破坏,同样令人不安的是,受害者检测到漏洞的时间已经增加到近9个月。
即使增加了网络安全支出,数据泄露行为也将在2023年激增
企业的首席执行官及其所在的董事会通常将网络安全支出视为一种值得投资的风险控制和管理战略。Ivanti公司在其发布的《2023年安全准备状况报告》中指出,71%的首席信息安全官和安全专业人员预测他们的预算今年将平均增长11%。到2026年,全球在信息和安全风险管理方面的支出将从2021年的1678.6亿美元飙升至创纪录的2614.8亿美元。令人不安的是,尽管网络安全和零信任预算不断增长,勒索软件和更复杂的攻击却不断成功。
力量的天平似乎倾向于网络攻击者,包括有组织的网络犯罪集团和高级持续威胁(APT)攻击集团。例如,他们针对一家企业进行数月的研究,然后用“低而慢”的策略入侵该公司的网络,以避免被发现,网络攻击的复杂性和严重性正在增加。受到网络攻击的企业过于依赖基于边界的防御,而狡猾的网络攻击者会设计新的方法来突破这些防御。Ivanti公司在研究报告中预测,随着勒索软件、网络钓鱼、软件漏洞和DDoS攻击的增加,今年对首席信息安全官及其团队来说将是充满挑战的一年。Ivanti公司的首席产品官Srinivas Mukkamala表示,威胁行为者越来越多地瞄准网络安全缺陷,包括遗留的漏洞管理流程。
Mandiant公司的首席执行官KevinMandia表示:“网络攻击者花费六个月的时间来攻击某一企业,这种聪明才智和坚持不懈让我感到惊讶。因此需要时刻保持警惕。”
运营部门是攻击载体的选择
网络攻击者只需要一个暴露的威胁面或者绕过一个依赖于几十年前技术的外围防御系统,就可以获取受害者的重要数据并索要巨额赎金。通常情况下,最易于攻击的目标会产生更多的勒索赎金。业务运营部门是网络攻击者的最爱,他们希望破坏和关闭企业的业务和供应链,运营部门成为网络攻击的具有吸引力的目标,是因为其技术堆栈的核心部分依赖于传统的ICS、OT和IT系统,这些系统针对性能和过程控制进行了优化,通常忽略了安全性。
企业可以采取的处理数据泄露的步骤
“零信任”概念的创始人、行业领袖John Kindervag最近在接受行业媒体采访时建议说,“企业需要从一个单一的保护面开始……因为这就是企业如何将网络安全分解成小块的方法。”Kindervag目前担任ON2IT集团网络安全战略高级副总裁和研究员。
企业高管必须接受这样的理念,即按照预先确定的顺序,一次只保护一个面是可以接受的。在一次接受行业媒体的采访中,Kindervag表示企业在获得零信任权利时需要提供护栏。他说,“最重要的是,需要保护什么?一些人经常向我询问安全问题,他们说,‘我买了一些安全部件,我该把它放在哪里?’我说‘你在保护什么?’他们说,‘嗯,我还没想过这个问题。’,我说,‘好吧,那你可能会失败。’”他强调,零信任并不一定复杂、昂贵且规模巨大,它不是一项技术。
以下是企业应对数据泄露的5个步骤:
(1)审计所有的访问权限,删除不相关的帐户和收回管理权限
网络攻击者将商业邮件泄露、社交工程、网络钓鱼、伪造多因素身份验证(MFA)会话等结合起来,使受害者难以应对,从而泄露他们的密码。80%的数据泄露都是从特权访问凭证的泄露开始的。
人们经常会发现,多年前的承包商、销售、服务和支持合作伙伴仍然可以访问门户网站、内部网站和应用程序,因此清除不再有效的帐户和合作伙伴的访问权限至关重要。
使用多因素身份验证(MFA)保护有效帐户是最起码的要求。多因素身份验证(MFA)必须立即在所有有效帐户上启用。在2022年,受害者在识别和控制漏洞方面平均需要277天(约9个月)的时间。
(2)首先从用户的角度来看待多因素身份验证
确保多因素身份验证(MFA)的每一个有效身份都是至关重要的,面临的挑战是使其尽可能不引人注目但安全。基于场景的分析技术显示了改善用户体验的潜力。尽管采用多因素身份验证面临挑战,但很多首席信息官和首席信息安全官表示,多因素身份验证是他们最喜欢的速战速决的方法之一,因为它在保护企业免受数据泄露方面的贡献是可衡量的。
Forrester公司的高级分析师Andrew Hewitt表示,保护身份的最佳起点是始终围绕着强制执行多因素身份验证。这对于确保企业数据的安全大有帮助。从那里开始,它将注册设备,并使用统一端点管理(UEM)工具保持严格的合规标准。
Hewitt还建议,想要在多因素身份验证实现方面表现出色的企业,可以考虑在传统的“你知道什么”(密码或PIN码)单因素认证实现中,添加“你是什么”(生物识别)、“你做什么”(行为生物识别)或“你拥有什么”(令牌)等因素。
(3)确保基于云的电子邮件保护程序更新到最新版本
一些首席信息安全官表示,他们正在推动电子邮件安全供应商加强反钓鱼技术,并对可能危险的URL和附件扫描执行基于零信任的控制。这一领域的主要供应商使用计算机视觉识别URL以进行隔离和消除。
网络安全团队正在转向基于云的电子邮件安全套件,这些套件提供集成的电子邮件安全功能,以使这转变成为一个快速的胜利。Gartner公司的副总裁分析师Paul Furtado在研究报告《如何为勒索软件攻击做好准备》中建议,“考虑以电子邮件为重点的安全编制自动化和响应(SOAR)工具,例如M-SOAR,或包含电子邮件安全的扩展检测和响应(XDR)。这将帮助实现自动化,并改善对电子邮件攻击的响应。”
(4)自动修复端点是强有力的第一道防线,尤其是在应对网络攻击中
从企业支持的供应链到完成的客户交易,运营是保持业务运行的核心催化剂,它们的端点是可以保护和增强网络弹性的最关键的攻击面。
首席信息安全官需要用提供更多网络弹性的自动修复端点取代传统的基于边界的端点安全系统。行业领先的基于云的端点保护平台可以监控设备的运行状况、配置以及与其他代理的兼容性,同时防止数据泄露。行业领先的自动修复端点提供商包括Absolute Software、Akamai、BlackBerry、CrowdStrike、Cisco、Ivanti、Malwarebytes、McAfee和Microsoft 365。基于云的端点保护平台(EPP)为希望快速启动的企业提供了一个有效的入口。
(5)跟踪、记录和分析对网络、端点和身份的每次访问,以便及早发现入侵企图
了解零信任网络接入(ZTNA)投资和项目的益处至关重要。实时监控网络可以帮助企业检测异常或未经授权的访问尝试,日志监视工具非常有效地识别发生的异常设备设置或性能问题。IT运营分析和人工智能(AIOps)有助于检测差异并连接实时性能事件。该领域的领导者包括Absolute、DataDog、Redscan和LogicMonitor。
Absolute Insights for Network(前身为NetMotion Mobile IQ)于去年3月推出,展示了当前一代监控平台的可用功能。它旨在快速、大规模地监控、调查和补救最终用户的性能问题,即使在非公司所有或管理的网络上也是如此。它还提高了首席信息安全官对零信任网络接入(ZTNA)政策执行有效性的可见性(例如,政策阻止主机/网站、地址/端口和网络信誉),允许立即进行影响分析并进一步调整零信任网络接入(ZTNA)政策,以最大限度地减少网络钓鱼、诈骗和恶意攻击。
面对不可避免的数据泄露需要创造网络弹性
企业可以采取的最有效的方法之一是接受它的不可避免性,并开始将支出和战略转向网络弹性,而不是逃避。网络弹性必须成为企业DNA的一部分,才能在持续的网络攻击中幸存下来。
预计在2023年将会有更多针对运营的网络攻击,因为控制供应链的遗留系统是一个软目标。网络攻击者正在不断寻找目标,采用勒索软件锁定运营团队就是他们的做法。
以上步骤是更好地控制基于运营的网络安全的起点,这些都是任何企业都可以采取的务实措施,可以让企业避免数据泄露而陷入倒闭的困境。