疫情应对暴露出的6个安全短板
疫情应对暴露出的6个安全短板
作者:Mary K. Pratt
来源:《计算机世界》2020年第48期
        这场疫情不断考验着企业的安全实力,也暴露出了很多弱点。
        一年前,2019年秋天,Mike Zachman为他的公司斑马科技(Zebra Technologies)进行了一次安全演习。
        作为首席安全官,Zachman负责网络安全以及产品安全和物理安全,他把这次演习的重点放在业务连续性上,以确定公司的计划能否顺利实施。
        他过去曾组织过类似的活动,模拟过软件攻击,以及摧毁数据中心的自然灾害等。为了进一步测试他的公司,2019年他提出了一个新设想:假设出现了疫情,上班族都要接受体温检查。
        Zachman向大家保证,他并非有先见之明,而是非常务实:过去,跨国公司不得不应对非典和局部流行病,因此他认为测试公司应对疫情的反应是负责任的举措。
        这次演习测试了该公司的“3+2”战略,旨在确保其灾难恢复、供应链和员工(“3”)以及维修站和配送中心(“2”)有足够的弹性来处理事件。
        Zachman说:“经历了这一演习后,当新冠疫情爆发时,我们发现我们已经做好了充分的准备。当然还是有挑战。我们投入了很多人员和精力来确保我们能正确地执行。而我们不需要跑来跑去的问‘我们该怎么办?’”
        该公司有一个指挥与控制计划,有足够的VPN来支持广泛的远程工作。该公司的员工随身带着设备,因为2019年秋季的演习促使他们认为有必要晚上把笔记本电脑带回家,以保证突发紧急情况时的业务连续性。
        然而,Zachman说,斑马科技在其网络安全运行中仍然遇到了一些需要解决的问题。例如,该公司发现,其笔记本电脑上的一些配置不能很好地保护通过员工家庭互联网进行的长期远程访问。而且,对家庭笔记本电脑网络数据流的可见性较低,这促使斑马科技加快了向更成熟的零信任环境的迈进。
        正如斑马科技的经验所表明的那样,这场疫情暴露了即使准备充分的企业也存在安全缺
陷。在持续的不确定性和长时间在家工作的情况下,首席信息安全官及其部门仍然要继续开展工作,遇到这些大大小小的缺陷,无论其规模和性质如何,都使得首席信息官们格外的忙碌。
        IT服务管理公司TEKsystems的风险和安全实践主管Kory Patrick说:“可能是‘嘿,这是我们的差距’,也可能是‘我们比自己想象的要落后得多’,但每个人都在疫情中学到了一些东西。”
        暴露出的安全短板
        最近几个月的大量报告发现,2020年攻击的数量、类型和严重程度都呈上升趋势。例如,NETSCOUT在其上半年的威胁情报报告中称,上半年共有483万次攻击,比上一年增加了15%。这些统计数据凸显了首席信息安全官自3月份以来一直所说的:这一疫情不断考验着企业的安全实力。
        疫情还暴露出很多弱点。安全领导和专家列举了一些已经暴露出来的常见短板:
        準备和计划不足。网络安全解决方案和咨询服务公司Waite SLTS的创始人、网络安全
女性组织(WiCyS)成员Shelly Waite Bey介绍说,在疫情的最初几个月,很多企业意识到他们对安全计划的关注和投资低于需求。她说:“当时有很多企业捉襟见肘,而这些企业现在正通过提高安全性来改善这种状况。”
        不被董事会重视。IS副总裁兼McBride首席信息安全官Kathryn Salazar说,很多首席信息安全官在高管层面的地位不高,除非发生了事故,否则他们仍然面对着不愿彻底解决网络风险的董事会。她说:“在这种新环境下,首席信息安全官并没有获得保护企业所应得的资金。”
6月份彻底结束疫情
        2020年10月,来自SafeGuard Cyber的一份报告证实了她的观察结果,其指出“实际存在的安全和合规需求与企业规划能力之间仍然存在明显的脱节和紧张关系。尽管在未经批准的应用程序、软件攻击、保护各种技术堆栈等方面存在数字风险,但只有18%的受访者认为安全问题应该上升到董事会层面。”
        一直依赖周界防御。随着企业争相为员工启用远程工作方式,很多首席信息安全官意识到他们没有足够的VPN来支持负载,他们的安全基础设施也无法保证只有经过授权的个人才能在需要时访问所需的数据。Patrick将此归咎于一直严重依赖于周界防御,这种依赖性使得
很难安全地扩展远程工作方式,有时甚至是几乎不可能。专家们说,为了应对这种情况,首席信息安全官正在加速采用先进的身份和访问管理解决方案以及零信任原则。
        补丁问题。网络威胁情报分析师、网络安全组织VetSec和WiCyS的资深成员John E. Stoner说,2020年的事件也暴露了企业程序补丁的弱点。Stoner说,一些企业通常没有投入足够的时间来应用补丁,而其他企业则没有强大的资产管理计划来有效地管理补丁。还有一些在为企业资产打补丁方面做得很好,但没有将补丁程序推送到用于工作的个人设备上。
        黑客们也心知肚明,成功攻击了很多仍然没有打上补丁的已知漏洞。Stoner说:“我们已经看到,没有打上补丁导致了入侵,包括一些大公司。”Arctic Wolf公司的《2020年安全运营报告》将补丁协议问题确定为一个关键问题,指出在疫情期间,关键漏洞打补丁时间增加了40天。
        可见性和控制不足。网络安全顾问兼首席信息安全官Gina Yacone介绍说,她建议她的企业客户考虑他们新的远程工作人员所带来的漏洞。她解释说:“我很担心他们的个人家庭网络,包括路由器和Wi-Fi等,这些不可能真正提供企业级的保护,除非他们是以企业方式购买的。”她还指出,家庭网络一般没有加密,有些甚至没有密码保护。如果企业不使用VPN,或
者他们的员工正在处理任何类型的敏感数据,那么这种情况就特别成问题。Yacone问道:“员工们在家里真的能按要求保护数据吗?”据Arctic Wolf的报告,自3月份以来,连接开放式Wi-Fi网络的设备数量增加了243%,这意味着“如果没有适当的控制措施,分散在各地的员工们面临着越来越大的不安全网络攻击风险。”
        风险管理和法律咨询服务提供商Consilio的全球信息治理咨询服务副总裁Matt Miller说,与此同时,对于那些没有成熟的数据分类、强大的资产管理流程以及成熟的监控计划的企业,很难在这些领域获得所需的可见性,无法保证自己足够安全。他举了1个例子,一家客户公司有550万个社会保险号码,包含在6000个电子表格中,既没有密码保护也没有加密。Miller说,这种情况促使企业安全部门急忙去开发并实施策略和解决方案,以提高对端点、数据流和网络流量的可见性和控制能力。
        缺乏敏捷性。Miller说,在过去的几个月里,一些安全部门疲于应对接踵而来的一个个挑战。诚然,他们要处理一系列艰巨的危机,这就要求快速处理任务,但在这些方面遇到困难后,很多首席信息安全官却发现,他们的安全部门没有他们所希望的那么敏捷。专家将敏捷方面的局限性与安全领域长期存在的问题联系在一起,即缺乏足够的人员和缺乏自动化,
员工们无法从日常的例行杂事中解放出来,也就不能从事价值更高的项目。不管是什么原因,其影响都是显著的。Miller看到一些企业需要几个月的时间来处理安全漏洞,他指出:“不够敏捷、不能快速进行调整的后果是,这些企业过度暴露于风险之中,风险等级急剧上升。现在已经明白,他们需要更加灵活才能处理超出常规的情况。”
        得到的教训
        尽管2020年的事件凸显了企业安全机制中的薄弱环节,但安全专家指出,很多问题其实都是首席信息安全官计划在其长期路线图中解决的已知问题。
        Patrick说:“很多企业一直想会有更长的时间来做出改变,但疫情加快了这些计划,因为疫情暴露了很多企业的安全问题,并直接影响了业务的可用性。”
        现在正在采取补救措施。
        Patrick等人说,随着企业网絡周界环境的最终消失,以及随着远程员工的增加和联网设备的增长,端点的数量也在激增,他们看到越来越多的首席信息安全官转而使用零信任架构,或者使用的越来越成熟,以更好地保证安全。
        首席信息安全官也在加强端点管理程序,并推进数据分类和控制。
        所有这些都应该促使整体上更加安全——或许,这就是乌云背后的一线光明。
        Miller说:“我看到首席信息安全官并没有对今年的特殊事件做特别的准备,但他们现在说,‘让我们看看怎样改进我们的灾难恢复和业务连续性计划,以后无论再出现什么情况,我们都能适应未来发展。’”
        Mary K. Pratt是马萨诸塞州的一名自由撰稿人。
        原文网址
        https://www.csoonline/article/3596517/6-security-shortcomings-that-covid-19-exposed.html

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。