數(shù)據加密|圖紙加密|信息加密|文檔加密-Wonder Tech-上海騰赫信息科技有限公司

 

安全趨勢往往是“舊(jiù)”事件(例如網絡釣魚詐騙和(hé)惡意軟件)和(hé)“新”事件(例如冠狀病毒疫情對組織和(hé)個(gè)人(rén)的廣泛影(yǐng)響)的混合。2020年是這樣，2021年也将如此。

 

很(hěn)多(duō)IT和(hé)安全部門(mén)領導者分享了他們對未來(lái)一年行(xíng)業發展的見解和(hé)期望。以下是他們關注的內(nèi)容以及IT領導者應注意的問題。

 

1.安全架構師(shī)将面臨新常态

 

人(rén)們可(kě)能會(huì)看到組織重新闡明(míng)其安全重點，這是因為(wèi)網絡安全不一定是2020年的首要任務。特别是，組織有(yǒu)意識地開(kāi)始調整他們的安全行(xíng)動手冊，以反映他們如何運作(zuò)的持久變化，其中包括遠程工作(zuò)人(rén)員。

 

Red Hat公司北美地區(qū)首席架構師(shī)和(hé)戰略家(jiā)E.G. Nadhan說，“由于2020年發生(shēng)冠狀病毒疫情，人(rén)們對業務運營和(hé)工作(zuò)效率的關注超過了對安全的關注，随着逐步過渡到新常态，安全性将重新得(de)到關注，從而恢複主動執行(xíng)安全策略的能力。”

 

即使疫情在2021年消退，這些(xiē)策略也将需要針對遠程工作(zuò)的現實情況以及其他業務運營的持久變化，即使新常态已被重新定義，安全程序也需要進行(xíng)相應調整。

 

Sungard AS公司首席安全官Shawn Burke說：“确保下一個(gè)常态中的安全将是2021年的重中之重。随着企業業務轉移到遠程工作(zuò)，我們将繼續看到越來(lái)越多(duō)的重點放在保護外圍安全和(hé)雲計(jì)算(suàn)部署方面。”

 

Nadhan預計(jì)，随着混合雲和(hé)多(duō)雲策略的激增以及員工和(hé)IT産品組合的分布越來(lái)越廣泛，安全架構師(shī)的角色将變得(de)更加重要，并且更受歡迎。

 

Nadhan說：“安全架構師(shī)的角色在各種平台和(hé)雲計(jì)算(suàn)提供商中将變得(de)更加關鍵，從而推動采用‘安全優先’的架構方法。”

 

這不僅僅是遠程工作(zuò)者的問題。從根本上(shàng)說這是一個(gè)架構問題，尤其是在雲原生(shēng)應用程序和(hé)基礎設施的應用變得(de)越來(lái)越普遍的情況下。

 

2.自動化将有(yǒu)助于支持安全至上(shàng)的架構方法

 

Veracode公司創始人(rén)兼首席技(jì)術(shù)官Chris Wyspoal說：“我認為(wèi)，未來(lái)幾年網絡安全的關鍵領域與組織尋求以更快的速度進行(xíng)創新和(hé)構建軟件的方法有(yǒu)關。對速度的需求導緻開(kāi)發團隊将全面的應用程序分解為(wèi)最小(xiǎo)的可(kě)重用模塊(微服務)，因此可(kě)以将它們組合在業務的多(duō)個(gè)領域中。雖然它有(yǒu)助于提高(gāo)速度，但(dàn)對于開(kāi)發和(hé)安全團隊來(lái)說，确保這些(xiē)基于微服務的技(jì)術(shù)的安全性将是一個(gè)挑戰。”

 

自動化不僅變得(de)非常實用，而且變得(de)十分必要，這推動了大(dà)規模使用微服務和(hé)容器(qì)的組織中Kubernetes和(hé)企業Kubernetes平台的興起。這通(tōng)常與DevOps或敏捷的工作(zuò)方式同時(shí)發生(shēng)。

 

為(wèi)了保證更快完成工作(zuò)， IT組織将緻力于網絡安全系統工作(zuò)流的集成、自動化和(hé)協調。Red Hat公司首席技(jì)術(shù)策略師(shī)兼加拿(ná)大(dà)解決方案架構總監Michael Cardy說：“各種功能性網絡安全工具将結合在一起，形成一個(gè)協調的系統，以處理(lǐ)漏洞識别、攻擊媒介、自動修複工作(zuò)流程。”

 

3.網絡釣魚和(hé)勒索軟件仍然無處不在，遠程工作(zuò)也将受到攻擊

 

許多(duō)安全專家(jiā)預測網絡釣魚詐騙、勒索軟件和(hé)其他攻擊數(shù)量在2021年将會(huì)增加。這些(xiē)威脅之所以存在是因為(wèi)它們很(hěn)有(yǒu)效，而這一點在2021年不會(huì)改變。

 

Sungard AS公司安全治理(lǐ)、風險和(hé)合規性總監Mitchell Kavalsky說，“網絡釣魚和(hé)勒索軟件将繼續成為(wèi)惡意活動的主要手段。”

 

在2021年，這些(xiē)已經廣泛傳播的安全威脅将越來(lái)越多(duō)地針對大(dà)量繼續在家(jiā)工作(zuò)的人(rén)們。

 

Kavalsky說：“在未來(lái)的一年裏，針對個(gè)人(rén)電(diàn)子郵件和(hé)系統的網絡攻擊将會(huì)增加。現在在家(jiā)工作(zuò)的人(rén)比以往任何時(shí)候都要多(duō)，而且這種趨勢不會(huì)很(hěn)快改變，網絡攻擊者将攻擊人(rén)們的遠程工作(zuò)系統。由于他們的筆記本電(diàn)腦(nǎo)在家(jiā)庭網絡上(shàng)運行(xíng)，因此黑(hēi)客将利用這一渠道(dào)來(lái)訪問和(hé)攻擊遠程工作(zuò)的筆記本電(diàn)腦(nǎo)。員工在家(jiā)完成工作(zuò)很(hěn)重要，而且保證家(jiā)庭網絡系統的安全也将至關重要。”

 

在家(jiā)遠程工作(zuò)在2020年已經廣泛實施，而員工還(hái)可(kě)以在安全得(de)到保證的情況下可(kě)以在企業辦公室中工作(zuò)。Sixgill公司首席執行(xíng)官Sharon Wagner表示，企業和(hé)個(gè)人(rén)都很(hěn)好地應對了快速過渡。但(dàn)是，廣泛的遠程工作(zuò)對安全的影(yǐng)響(以及員工的家(jiā)庭将成為(wèi)企業系統的重要切入點)尚未真正實現。

 

Wagner說：“雖然全球疫情變化對網絡安全的影(yǐng)響尚未顯現，但(dàn)在2021年我們可(kě)能會(huì)看到數(shù)據洩露和(hé)端點漏洞激增。向遠程工作(zuò)的轉變帶來(lái)了對家(jiā)庭網絡、個(gè)人(rén)設備和(hé)其他端點的攻擊風險，這些(xiē)終端現在比以往任何時(shí)候都更容易受到攻擊。”

 

安全性較差或未打補丁的VPN可(kě)能會(huì)重新成為(wèi)潛在的薄弱環節。SAS公司首席信息安全官Brian Wilson認為(wèi)，越來(lái)越多(duō)的組織将轉向基于邊緣的授權工具，從而削弱了VPN作(zuò)為(wèi)網絡安全主要保護者的作(zuò)用。他還(hái)希望“零信任”安全模型能夠重新獲得(de)其早期應用的良好口碑，因為(wèi)用戶訪問和(hé)特權像以往一樣成為(wèi)網絡威脅的載體(tǐ)。Wilson公司是IT和(hé)安全部門(mén)的領導者之一，他們希望遠程工作(zuò)設置可(kě)以一直持續下去，即使有(yǒu)些(xiē)人(rén)在疫情消退的情況下開(kāi)始返回企業辦公室工作(zuò)。

 

Wilson說：“對員工進行(xíng)如何保持家(jiā)庭環境安全的教育比以往任何時(shí)候都更為(wèi)重要。”

 

4.即使疫情被遏制(zhì)，與其有(yǒu)關的威脅仍将存在

 

即使疫情将在2021年得(de)到控制(zhì)，與疫情相關的安全威脅也可(kě)能在此之後持續很(hěn)長時(shí)間(jiān)。不良行(xíng)為(wèi)者将試圖利用與疫苗、政府和(hé)私營部門(mén)的應對措施以及疫情的其他長期影(yǐng)響有(yǒu)關的大(dà)量信息。Kenna Security公司安全與合規性經理(lǐ)Jerry Gamblin認為(wèi)，其中許多(duō)不良行(xíng)為(wèi)者将與政府部門(mén)有(yǒu)聯系。

 

Gamblin說：“我們很(hěn)可(kě)能會(huì)看到來(lái)自政府資助組織的網絡攻擊有(yǒu)所增加，并且與國家(jiā)有(yǒu)聯系的勒索軟件組織加大(dà)了攻擊力度，并利用疫情期間(jiān)的不确定性來(lái)獲利。”

 

人(rén)們将最終回歸“正常生(shēng)活”，當然這本身也會(huì)帶來(lái)新的風險。例如，在現場(chǎng)舉辦的會(huì)議可(kě)以成為(wèi)網絡攻擊者的具有(yǒu)吸引力的目标。

 

Gamblin說：“組織可(kě)能會(huì)要求員工接種冠狀病毒疫苗才能出差或參加現場(chǎng)會(huì)議。收集參會(huì)者和(hé)客戶數(shù)據将成為(wèi)惡意行(xíng)為(wèi)者關注的目标。”

 

幾乎可(kě)以肯定的是，網絡犯罪分子将繼續利用疫情加強網絡釣魚、勒索軟件和(hé)其他攻擊活動。

 

12月3日，IBM公司 Security X-Force團隊宣布，發現了針對與冠狀病毒疫苗冷鏈相關的組織的全球網絡釣魚活動。

 

5.雲計(jì)算(suàn)配置錯誤仍然是一個(gè)主要問題

 

像勒索軟件和(hé)網絡釣魚一樣，配置或監視(shì)不正确的雲帳戶也将是一個(gè)持續的威脅。

 

Gamblin說，“到2021年，我們将繼續看到組織通(tōng)過配置錯誤的雲存儲服務洩漏大(dà)量客戶數(shù)據。但(dàn)是我們不會(huì)看到解決這一問題的可(kě)行(xíng)解決方案。”

 

這表明(míng)雲安全性的脫節：全球主要雲計(jì)算(suàn)提供商在安全性上(shàng)投入了大(dà)量資金，但(dàn)它們并不直接負責用戶的內(nèi)部策略和(hé)流程。甚至具有(yǒu)健壯的原生(shēng)安全功能的平台和(hé)工具也需要針對組織的特定環境進行(xíng)适當的設置和(hé)調整。

 

Sungard公司首席安全官Burke預計(jì)，雲劫持(一種采用憑據被洩露的方式接管組織的雲帳戶的做(zuò)法)将變得(de)和(hé)勒索軟件威脅一樣嚴重。總的來(lái)說，這提醒人(rén)們，持續的盡職調查和(hé)監控是雲安全分層方法的關鍵。

 

Burke說：“組織需要清楚地了解自己的雲計(jì)算(suàn)足迹、資産和(hé)供應商關系。雲計(jì)算(suàn)提供商是關鍵，因為(wèi)盡管他們負責保護雲計(jì)算(suàn)環境，其客戶仍必須執行(xíng)訪問管理(lǐ)、數(shù)據保護等方面的政策和(hé)程序以确保安全。”

 

6.合規性要求助長了雲決策

 

數(shù)據隐私和(hé)保護既是安全問題，也是合規性問題。這将繼續成為(wèi)2021年雲計(jì)算(suàn)架構和(hé)戰略的重要因素，尤其是對于大(dà)型組織或任何具有(yǒu)全球影(yǐng)響力的組織而言。

 

SAS公司首席信息安全官Wilson說：“消費者數(shù)據隐私壓力不斷增加，這對擁有(yǒu)歐洲業務的美國公司來(lái)說是一個(gè)特殊挑戰，它們必須遵循更加嚴格的GDPR法規。這是推動雲計(jì)算(suàn)發展的一個(gè)重要因素。将數(shù)據保留在所在區(qū)域內(nèi)可(kě)以簡化控制(zhì)和(hé)數(shù)據管理(lǐ)策略，但(dàn)同時(shí)也強調了在法律和(hé)合規方面需要全球統一和(hé)資源的必要。”

 

這是混合雲和(hé)多(duō)雲架構的吸引力之一。

 

Sungard AS公司安全咨詢高(gāo)級經理(lǐ)Asher de Metz預計(jì)，未來(lái)一年還(hái)會(huì)出台更多(duō)的網絡安全和(hé)數(shù)據隐私法規。他們說：“我預計(jì)，網絡安全和(hé)隐私要求的發展将得(de)到加強，各個(gè)國家(jiā)和(hé)地區(qū)将遵守數(shù)據隐私相關法規。”

 

7. MITER ATT&CK框架在商業世界中應用廣泛

 

企業需要獲得(de)有(yǒu)關潛在網絡攻擊者和(hé)威脅的最佳信息，以改善其安全狀況。由于有(yǒu)了MITER ATT&CK框架，這些(xiē)曾經是政府機密文件的資料現在比以往任何時(shí)候都更容易獲得(de)。鑒于企業安全的日益全球化和(hé)複雜性，這個(gè)知識庫正變得(de)越來(lái)越重要。

 

AttackIQ公司網絡安全戰略和(hé)政策高(gāo)級總監Jonathan Reiber表示：“MITRE ATT&CK框架将繼續成為(wèi)公共和(hé)私營部門(mén)網絡安全計(jì)劃和(hé)威脅情報防禦的支柱。” Reiber曾在奧巴馬政府期間(jiān)擔任國防部長辦公室的網絡政策首席戰略官。

 

Reiber解釋說，“從曆史上(shàng)看，隻有(yǒu)像财富100強公司和(hé)美國政府部門(mén)這樣資源充足的組織才擁有(yǒu)開(kāi)發現實世界威脅情報和(hé)對手模拟所需的資源和(hé)人(rén)員，借助MITER ATT&CK提供的分析資源，世界各地的組織都可(kě)以專注于已知的威脅行(xíng)為(wèi)并提高(gāo)其安全性。”

 

MITRE ATT&CK框架意味着組織不再需要成為(wèi)大(dà)型銀行(xíng)或科技(jì)公司，即可(kě)與對手進行(xíng)公平競争。《孫子兵法》有(yǒu)一個(gè)著名的詞語是“知己知彼，百戰不殆”，這适用于網絡安全領域。

 

MITRE ATT&CK于2015年首次發布，本質上(shàng)是為(wèi)了确保了解網絡攻擊者，因此對于組織來(lái)說應該更積極地利用它。

 

Reiber說，“ATT&CK框架已成為(wèi)公共和(hé)私營部門(mén)的重要動力，已成為(wèi)全球經過審查的、全方位的網絡攻擊者行(xíng)為(wèi)資料庫，美國政府的網絡安全和(hé)基礎設施安全局以及最近澳大(dà)利亞政府定期引用該資料庫。當與自動化的對手仿真平台一起使用時(shí)，ATT&CK允許組織安全、大(dà)規模和(hé)在生(shēng)産中測試其針對已知網絡攻擊者行(xíng)為(wèi)的網絡防禦措施。”

 

Reiber還(hái)指出，MITRE Engenuity的威脅情報防禦中心已開(kāi)始制(zhì)定免費的對手模拟計(jì)劃。它于今年早些(xiē)時(shí)候發布了第一個(gè)計(jì)劃，供安全團隊模仿針對網絡犯罪組織FIN6的防禦措施。

 

轉自企業網d1net/cres