网络安全管理及安全分析服务商Skybox Security公司的高级技术总监David Anteliz对企业必须从以严重性为中心转变为以风险为中心进行了分析和阐述。他指出,采用主动和全面的安全策略可以帮助安全团队应对网络安全威胁。
很多企业的网络安全战略已经落后,这并不是什么秘密。调研机构最近发布的一份报告发现,在迅速变化的威胁形势下,40%的首席安全官认为他们的企业并没有对网络安全做好充分的准备。这一统计数据表明,过去几年,数字化转型的步伐加快,网络攻击面扩大。
与此同时,网络犯罪的复杂性也在不断增加,新的漏洞数量也在不断增加。即使是更早的漏洞(例如Log4j),在未来几年仍将对企业构成威胁。
Anteliz表示,全球在2021年公布了20174个新漏洞,高于2020年的18341个,这凸显出漏洞的数量快速增长。在过去的一年,美国网络安全和基础设施安全局(CISA)发布了30多个安全警告,警告企业防范一些能够被利用的漏洞,其中许多漏洞影响了各行业组织。影响许多设备和企业的警报的一个例子是Icefall漏洞,美国网络安全和基础设施安全局(CISA)为此在去年6月发布了警报提醒公众。这些警报解决了56个影响全球几个关键基础设施环境中操作技术(OT)设备的漏洞。受到影响的供应商包括霍尼韦尔、摩托罗拉、欧姆龙、西门子、艾默生、JTEKT、Bentley Nevad、 Phoenix Contract、ProConOS以及 Yokogawa等公司。
影响企业运营业务的漏洞并不复杂,导致企业无法最大限度地减少摩擦,也无法集中精力于健康安全和环境(HSE)影响。这使得网络威胁行为者能够更快地发现新的攻击并将其武器化,从而导致许多漏洞。
网络安全已经成为企业董事会担忧的一个主要问题。安全团队努力应对不断扩大的技能差距、日益分散的网络、可见性和补救以及扫描差距所导致工作负载不断增加等问题。安全团队的任务是克服日益严峻的挑战,发现和补救具有最高业务风险的漏洞。数据泄露对企业的业务影响可能是巨大的。随着威胁和压力的增加,那些继续依赖传统反应性网络安全方法的企业将会继续落后。
漏洞扫描并不足够安全
通常使用的“扫描和补丁”策略忽略了现代漏洞管理的关键组件,特别是在设置修复优先级时。仅靠扫描程序无法提供足够完整的网络拓扑信息,警报会使安全运营过载,因此无法正确识别企业面临的真实风险。
采用传统的方法可能会让资源有限的团队感到沮丧,例如依赖电子表格和人工评估来获取漏洞的洞察。这些方法未能包括所有影响漏洞风险的因素,导致安全团队无意中将资源浪费在网络犯罪分子可能永远不会发现或不知道如何利用的问题上。
如果没有及时、准确地检测高风险漏洞并确定其优先级,安全团队将无法成功降低企业面临风险,即使他们关闭了大量漏洞。现在是采取新方法的时候了,将网络安全从被动措施转变为主动识别和降低风险的有效流程。
最近美国国家安全局(NSA)和美国网络安全和基础设施安全局(CISA)发布的指南打开了一个新的窗口,强调了企业从传统方法转向漏洞管理的重要性,并指出保护OT/ICS的传统方法不能充分解决当前对这些系统的威胁。该指南建议创建一个完整的“连接清单”,作为缓解风险的关键步骤,还强调了在黑客攻击之前消除漏洞暴露风险的重要性。为了成功地遵循这些建议,企业必须采取积极主动的方法来进行漏洞管理,学习在威胁环境中识别和优先考虑暴露的漏洞。
采用基于风险的方法
安全团队应该寻求采用基于风险的方法来进行漏洞管理,通过使用更复杂的评估策略、优先级和补救功能来增加对消除网络犯罪分子可见的漏洞的关注。
基于风险的网络安全方法对于任何网络风险管理计划都是必不可少的。通过量化风险的概率和将产生的影响,企业可以就是否减轻、接受或转移风险做出明智的决定。这种方法可以帮助企业更有效地分配资源,这比以往任何时候都更重要,并更快速有效地响应网络威胁。基于风险的管理还使安全优先级与业务保持一致,并帮助安全领导者在他们的观点和结果上更具战略性。
基于风险的网络安全战略有多个方面,其中,企业应该关注成功实施的三个关键组成部分:
•漏洞分析:通过进行漏洞分析,企业可以识别可利用的漏洞,并在企业的网络配置和安全控制中关联数据,以确定网络攻击在哪里构成最高风险,该策略决定了可以用来访问易受网络攻击的攻击向量或网络路径。
•风险评分:网络风险评分为企业评估安全态势提供了一个客观的衡量标准,该标准考虑了一系列风险因素,包括关键资产脱机的财务影响、威胁情报的可利用性、曝光率和资产重要性。风险评分能够使企业在对手破坏系统时量化每天的业务成本。
•漏洞评估和优先级:该策略允许具有复杂环境和有限资源的企业在最重要的地方通过优先考虑构成最大风险的漏洞来实现这一点。为了确定严重程度,漏洞评估和优先级可以自动考虑威胁情报、资产场景和攻击路径分析。
基于风险的网络安全管理方法具有变革性,使企业能够专注于其最重要的资产,并主动预防威胁。自动化解决方案使快速有效地实现基于风险的方法成为可能,并为安全团队节省宝贵的时间,还提供了持续监控风险和实时自动响应变化的能力。最近的一项行业基准研究发现,在2021年没有出现数据泄露的企业中,48%是基于风险的网络安全领域的领导者。