前言
2021年是行業人士應該反思的一年。2020年我們的工作轉向遠程辦公,基礎設施、應用程序和訪問控制幾乎在一夜之間發生了迅速的變化,而網絡安全團隊仍在忙于防御一系列的攻擊。
美國網絡安全企業Arctic Wolf的2022年安全趨勢報告展示了網絡安全團隊當前的狀態和未來的趨勢,這些團隊試圖在應對不斷變化的威脅環境的同時推進其安全計劃。
研究結果表明,勒索軟件、網絡釣魚和漏洞不僅占據了新聞頭條,還占據了有限的安全專業人員。對于許多企業來說,用更多的資源來防御越來越多來自攻擊者的威脅似乎是不可行的。
隨著2021年辭職熱潮的興起,許多安全職位的空缺無法得到填補,各組織也在努力地尋找、培訓和留住網絡安全人才。
此外,現在99%的組織都在使用一種形式的公共或私有云,云的采用率正迅速超過組織內部保護云環境的能力,導致組織更容易受到威脅。
在2022年,執行基礎的安全任務和應對長期的威脅將繼續成為IT和安全領導者的首要任務,以更好地保護其組織。
可以依賴成熟安全運營實踐的公司將會發現自己變得更安全、更有彈性,并且能夠更好地適應眾多內部和外部的風險因素。
2 網絡安全狀況
財務激勵正在引領趨勢
安全產品和服務支出繼續攀升至天文數字的高度。
新的市場、技術和首字母縮略詞幾乎每天都在出現,而風險投資公司對新的網絡安全工具的投資卻沒有放緩的跡象。
對于企業來說,最主要的感覺是不斷變化。
許多公司面臨著網絡安全技能缺口這一越來越大的障礙,勒索軟件、網絡釣魚和有針對性的攻擊每年都在增加。
因為負擔過重和人員不足,各組織一次又一次地問同樣的問題:在哪里?怎么樣?什么時候事情會改善?在哪些領域?現在和將來最應關心的是什么?這對安全戰略有何影響?
有些組織可能注定要失敗
調查發現,50%的IT領導者確認其網絡安全預算未能達到維持安全目標所需的最低數字。
安全技能缺失迫使許多企業在人手不足的情況下運營。安全預算沒有增長,無法反映出網絡風險情況,許多公司發現自己無法吸引基本安全計劃所需的人才。
在公司缺乏人力和財力的同時,網絡安全活動的規模也在不斷增長,如云監控、安全意識培訓和漏洞管理等,各種因素相結合,使這些公司在行動開始前就落后于所要達到的安全目標。
3 技術趨勢
傳統安全堆?,F代化
盡管安全市場引入了新的技術和產品,但大多數組織仍然選擇將其網絡安全技術棧建立在傳統的“城堡和護城河”模式上,將防火墻作為其計劃的中心。這是可以理解的,因為防火墻長期以來一直被認為是安全程序的第一道防御。
研究發現,在過去12個月內,有74%的受訪者在維護或購買防火墻/UTM解決方案方面有所投資。
雖然購買和維護防火墻是確保大多數環境安全的一個重要步驟,但也必須謹慎使用它們。
首先,防火墻應被視為深入防御戰略的一個關鍵因素。然而,它們不應該被認為是唯一必要的安全技術。雖然防火墻是控制環境中訪問和流量的關鍵,但它們缺乏許多對現代安全程序來說至關重要的功能。
在過去的一年里,熱門的防火墻供應商遭受了安全和漏洞問題的困擾。例如,在常用的防火墻中發現的幾個高危漏洞,一旦被利用,攻擊者就會獲得遠程攻擊的能力。在組織將防火墻作為唯一安全措施的情況下,這種性質的利用會使防火墻幾乎完全沒有防御能力。
因此,防火墻必須得到堆棧內其他技術的支持,以提供全面的防御戰略。還必須定期對它們進行積極的監測和審查,以確保它們的安全和有效的運行。此外,由于不斷發展的架構和在家工作的業務模式,傳統的網絡邊界變得模糊不清,在許多情況下,通過防火墻處理所有數據的傳統方法已經過時了,這使得一些企業不再將防火墻作為安全堆棧的第一道防線。
終端工具至關重要
終端解決方案是深度防御策略的另一個重要因素,因為它們旨在監控和保護網絡中的終端設備。這包括筆記本電腦、臺式電腦和服務器,在某些情況下還包括虛擬或云系統??紤]端點解決方案時,組織必須了解他們希望實現的目標,因為這些技術有一系列的目的和設計。
研究中一個令人驚訝的數據是,只有80%的受訪決策者稱目前在其環境中使用了某種形式的終端技術。
由于微軟在Windows中默認提供Defender,而macOS/Linux在交互式、筆記本電腦和桌面終端領域的份額相對較小,剩下20%的IT領導者可能會使用終端技術,但他們要么會對不斷變化的營銷術語(AV、EPP、EDR、XDR等)感到困惑,要么沒有足夠的人員以合適的方式使用它們。所有可能性都是合理的,因為從業人員經常忘記沒有專職安全人員的組織遠遠多于有專職安全人員的組織。
防病毒和終端保護平臺主要用于防止惡意活動。
它們可能會使用各種方法來識別威脅活動,如機器學習、簽名匹配或行為分析,但其最終目標是在潛在威脅被執行之前就加以阻止。終端檢測和響應是一項并行技術,旨在觀察和檢測端點上發生的威脅,而不是完全阻止它們,最終將驗證和解決警報的責任推給了安全分析師,使其比對手實現目標的速度更快。
在大多數情況下,EDR被視為一種更全面、更精細的技術,因為它旨在觀察終端上發生的活動,在發現潛在威脅時發出警報,而不是終止進程。
許多EDR工具也是追蹤威脅活動的基礎,對大型數據集進行編目以供分析。訓練有素的分析師需要對EDR工具進行有效的管理,以實現該工具的最大價值。
在80%使用終端解決方案的決策者中,只有23%使用獨立的EDR,原因就在于他們依賴安全分析師。
研究還發現,在目前還沒有使用EDR的組織中,只有12%的組織目前有評估和實施EDR解決方案的計劃。這也可能是由于一些供應商將EDR和終端保護平臺(EPP)功能整合到了單個終端解決方案中,從而消除了對單一用途EDR的需求。
云采用率持續上升
國際知名軟件資產管理商Flexera發布的一份報告指出,99%的組織目前至少使用一種公有或私有云。這可能包括從云存儲、SaaS應用程序到完整云基礎設施的所有內容。
由于云解決方案的現成可用性以及云使用障礙的減少,這一比例預計還會增長。
Gartner在最近的一份報告中估計,到2024年,超過45%用于系統基礎設施、基礎設施軟件、應用軟件和業務流程外包方面的IT支出將從傳統解決方案轉向云計算。
遺憾的是,調查發現只有19%的受訪組織使用了云安全態勢管理(CSPM)來保護其云資源。
在其余81%的組織中,有28%的組織表示云安全是他們主要的關注點,但只有22%的組織計劃將其添加到安全程序中。
與此同時,在未來五年內,對云安全技能的需求預計將增加115%,這些職位的薪水將比一般的安全分析師職位高出15000美元。
云服務提供商尋求解決云安全問題的一種方式是通過亞馬遜網絡服務(AWS)、谷歌云平臺和微軟Azure等技術所采用的共享責任模型。
這些提供商在技術上進行投資,以進一步確保這些云資源的安全,但公司內部缺乏云技術專家,意味著這些安全功能無法得到充分利用。這是一個令人不安的趨勢,因為盲目采用云功能和基礎設施而沒有適當的安全措施可能會帶來安全隱患。
在美國網絡安全企業Arctic Wolf SOC分析師調查的所有客戶事件中,有47%至少包含一個云組件。
隨著許多組織快速將這些云功能集成到架構中,從業者必須確保他們不會在無意中部署錯誤的配置和易受攻擊的入口載體,特別是在缺乏適當的檢測和響應能力時。
4 威脅和關切
對勒索軟件的擔憂持續存在
勒索軟件的威脅和針對其業務的有針對性的攻擊幾乎是所有人都會考慮的頭等大事。據估計,2021年發生了7億起勒索攻擊事件。其中包括了有記錄以來最高的贖金要求,例如一家金融機構支付了4000萬美元來解密其數據。
研究發現,70%的受訪者將勒索軟件列為2022年的首要關切。
這很可能與勒索軟件的趨勢有關:贖金要求的增加往往超過了許多組織的支付能力;勒索軟件的復雜性和用于部署它的社會工程越來越復雜、越來越成功;使用勒索軟件即服務的犯罪團伙增加,進一步降低了潛在攻擊者的進入門檻。
盡管產品支出不斷增加,勒索軟件仍是大多數公司的頭號威脅。IT領導者必須迅速接受這樣一個事實:僅靠工具和產品是無法解決這個問題的,它可能需要更多國家層面的干預,例如針對REvil和其他勒索軟件參與者的行動。
隨著勒索軟件的不斷發展,攻擊者已經找到許多策略來繞過傳統產品的防御,使得攻擊事件數量持續增長。
對勒索軟件的最佳防御方式是通過24x7主動監測環境,盡早發現問題并在發現后立即采取行動。
網絡釣魚仍是主要威脅
緊隨勒索軟件之后,網絡釣魚威脅是受訪者的第二大擔憂。
64%的人將網絡釣魚列為主要關注的領域之一。48%的人將網絡釣魚列為在未來一年中最有興趣了解的網絡安全話題。
攻擊者已經發現網絡釣魚和社交工程通常是發起攻擊的低風險、高回報途徑。即使在高度監控的環境中,這些類型的攻擊仍然是一種威脅,因為它們針對的是人類交互中的弱點,而不是應用程序或設備中的漏洞。
電子郵件是仍在使用的最古老的網絡技術之一,因為許多組織沒有采取適當的措施來解決潛在的威脅,所以電子郵件仍然是最突出的安全問題之一。
為了打擊網絡釣魚活動,必須有一個強大的安全意識和網絡釣魚防范計劃,作為深度防御戰略的一部分。
調查發現62%的受訪者目前已經使用某種形式的安全計劃和培訓來降低遭到網絡釣魚攻擊的可能性,或者鼓勵用戶報告潛在事件。此外,23%的受訪者希望增加安全意識計劃或改進現有計劃。
攻擊面管理
81%的受訪者認為漏洞和未知的錯誤配置是其環境中最大的安全隱患。
這包括已知的軟件漏洞和零日漏洞,以及配置錯誤或未嚴格遵守安全標準的系統。攻擊者可以利用這些發起攻擊。
2021年,多個漏洞在首次被發現并且補丁發布后,很長時間內仍未打補丁。
例如,在Microsoft Exchange平臺中發現的一系列零日漏洞全年被利用。Shodan.io搜索引擎顯示,即使在2022年,超過30,000臺MS Exchange服務器仍然容易受到CVE-2021-31206的攻擊,并且可以通過互聯網進行訪問。很多組織往往忽視了資產管理和配置管理在積極利用漏洞方面的重要性。在確定修復優先級時,如果沒有權威的設備和狀態列表,注定會失敗。
識別和解決環境中的漏洞或錯誤配置是一項艱巨的任務,這需要包括漏洞掃描在內的強大風險管理計劃,并建立在資產管理的堅實基礎上。
調查顯示,30%的受訪企業希望通過改善或擴大其風險管理職能來解決這些問題。
開發資產識別、軟件清單、24x7管理檢測和簡化的補丁管理過程是公司進行改進的常見方法。初始攻擊面減少相對簡單,最有效的方式是有很好的文檔記錄。例如,研究表明,企業僅通過實施前5項CIS控制措施就可以防止80%的威脅,此外,研究還發現60%的企業使用“十大安全漏洞列表”中描述的方法,仍遭受了攻擊。
人員配備障礙
在所有行業中,招聘和留住IT安全人才仍然是一項巨大的挑戰。
76%的受訪者表示,阻礙其實現網絡安全目標的主要障礙是無法雇傭員工或現有員工缺乏安全專業知識。
這通常被稱為“網絡安全技能差距”,預計在未來仍將是一個問題。
最近的一項統計數據顯示,65%的網絡安全人員都在考慮離開目前的崗位,這種技能短缺給組織帶來了進一步的壓力。
為了解決勞動力技能短缺的問題,許多組織現在將安全職能外包給服務提供商。
近30%的受訪者目前正在使用托管安全服務,如托管檢測和響應(MDR),另有23%的受訪者希望在一年內加入這些托管服務。
這些服務提供了一種簡化的方式,可以提供與內部安全運營中心(SOC)相同的安全優勢,但成本卻比雇傭同等數量的全職員工低得多。
5 現狀及發展趨勢
分散式的安全責任
理想情況下,建立和管理網絡安全計劃的責任應該分配給一個專門的、訓練有素的安全專業團隊,他們可以提供全天候的監控。
然而,由于網絡安全技能的差距和財政限制,并非所有組織都有能力雇傭全職SOC。通常至少需要六名專職工作人員來維持高質量的24x7 SOC運作,這對于大多數組織來說是力所不及的。
44%的受訪組織沒有專職的安全人員。
一些組織仍然試圖通過向其安全堆棧中添加額外的工具來減少IT人員的安全責任,從而領先于對手。
事實上,62%的受訪組織希望增加下一代終端保護、欺騙技術或者用戶和實體行為分析的組合,作為識別威脅和解決安全問題的方式。作為更廣泛的安全戰略的一部分,這些技術可能是有用的,但與其他工具一樣,這需要一個有時間和技能的分析團隊來對它們進行有效的使用。
在大多數情況下,向安全堆棧中添加更多的工具卻不解決潛在的人員短缺問題會給組織帶來負擔,因為這增加了潛在的干擾和警報疲勞,使分析師更加倦怠。
缺乏24×7支持
其余56%的受訪組織沒有將安全責任分配給IT員工,23%的受訪組織只雇傭了一到三名專門負責網絡安全的員工。
以如此有限的員工,很難維持SOC運作,80%的受訪組織無法負擔擁有至少6名或6名以上成員的全職安全運營團隊。
如果一個組織沒有充分的人員配備和持續的監控,許多勒索軟件、網絡釣魚和漏洞等威脅都不會被發現。
Arctic Wolf研究表明,70%的客戶環境在該公司加入時都存在潛在的威脅。這意味著很大一部分公司網絡可能已經被感染,但尚未被識別出來。
即使是在能夠雇傭SOC的組織中,也有許多組織計劃利用托管服務提供商作為協助其分析師的一種手段。
這樣,組織就可以通過一個擁有工作并提供補救所需的指導和見解的第三方,自動完成其最初的分流和調查任務。在這些環境和其他許多環境中,管理服務提供商可以對威脅提供全天候的監控和響應,并協助解決安全問題所需的多個支持層。這使得一個組織的現有員工可以通過藍色、紅色或紫色團隊類型的參與來追求一種更有戰略性的防御方法。
通過這種方式,組織可以通過擁有工作并提供補救所需指導和見解的第三方,完成初始分類和調查任務,在這些環境和許多其他環境中,托管服務提供商可以提供全天候監控和威脅響應,并在解決安全問題所需的多個支持層中提供幫助。這使得組織的現有員工不得不通過參與藍隊、紅隊或紫隊等實戰攻防演習來尋求更具戰略性的防御方法。
轉向網絡保險
由于勒索軟件仍然是一種威脅,許多公司正轉向網絡保險來最小化攻擊造成的財務影響。
65%的受訪組織目前在安全項目內擁有某種形式的網絡保險。
這些政策所涵蓋的范圍可能差別很大,但如果保單持有人符合某些計劃準則,它們通常允許降低保費。
這些保單覆蓋的范圍相差很大,但如果投保人符合某些規劃準則,保費通??梢越档?。
加入網絡保險的組織中,30%的人表示,保險費上漲或在去年被保險公司取消了保險。這種情況可能與一系列因素有關,包括保單持有人環境中最近發生的違規、安全審計的結果或保單持有人成為攻擊者目標的可能性增加。
其余35%的組織目前沒有任何形式的網絡保險。這樣一來,組織就需要對違規造成的財務影響負全部責任,包括獲得外部支持以應對事件或支付贖金的費用。這可能是15%目前沒有購買網絡保險的組織正積極爭取獲得網絡保險的原因。
6 實施和障礙
對風險管理的關注
56%的受訪者認為無法充分管理風險和制定風險管理計劃。他們認為自己缺乏積極影響和實施能夠降低業務風險的計劃的能力。
現代IT環境的所有要素都包含一定程度的風險,公司選擇如何處理這種風險與其遭受嚴重安全事故的可能性直接相關。
例如,正如前面所述,組織加速采用云功能是一個巨大的趨勢。這種采用伴隨著一系列風險,因為它擴展到了傳統網絡邊界之外,企業被迫與云提供商分擔基礎架構管理和安全責任。
制定有效的風險管理計劃對于所有安全策略的成功都至關重要。
首先,公司必須建立一個發現的過程,來識別和分類軟件及資產。然后,通過已當前的風險狀況為基準進行評估并確定需要改進的地方。從這里開始,修補和加固系統可以幫助保護企業抵御未來的威脅。為了完成這些任務,公司必須投入必要的時間來確保正確地完成相關步驟,或者尋求風險管理解決方案提供商的幫助。
行政領導的支持
盡管有缺乏員工和預算的抱怨,但74%的受訪者認為他們得到了企業領導的大力支持。
這表明了董事和董事會對當前安全問題和網絡安全舉措的洞察力和監督力度正日益增強。在許多情況下,行政領導可能會帶頭解決安全問題。
7 未來戰略
在家工作的影響
2020年,辦公模式向在家工作(WFH)轉變。隨著新冠疫情的出現,很多公司不得不迅速采用這種方法。在許多情況下,通過任何可用手段使業務繼續運營的必要性優先于安全問題。
2021年,一些組織逐漸回到實際的辦公地點,而其他組織繼續使用WFH模式。
調查發現,47%的受訪組織有興趣了解WFH對其整體網絡安全狀況的影響。
隨著傳統網絡邊界的消失,許多組織所依賴的成熟安全技術變得不再那么有效。
在本報告的開頭,研究人員注意到許多公司仍然在其安全體系中使用傳統的防火墻。隨著向遠程莫作模式的轉變,這些防火墻在保護位于網絡之外的終端群方面可能沒有什么價值。
持續采用基于云的終端技術以及更好地了解設備和用戶行為,有利于保護WFH設備。如果這些工具能夠得到積極監控它們的安全分析人員的支持,它們將為遠程和現場員工提供安全保障。
多因素身份認證成為主流
人們對該領域的興趣日益增長,也可能是由于目前許多網絡保險公司要求使用MFA作為其政策的條件,以及社交媒體公司對MFA的普遍消費化,他們熱衷于避免可能會導致市場操縱和加密貨幣激增的賬戶妥協和收購。
現在人們普遍認為,隨著多因素身份認證等訪問控制技術的實施,任何網絡安全計劃都可以在一夜之間得到數量級的提升。