2022年網絡安全十四條經驗教訓

2022年，是網絡安全市場高速發展的一年，同時也是企業評估安全項目投資有效性，校準和優化安全防御戰略和預算的關鍵時間節點。

面對快速迭代的網絡威脅，每位CISO都有自己的方法和視角來總結和反思即將過去的2022年，此類經驗總結可為未來的戰略規劃提供寶貴的知識，正如Veracode首席信息安全官Sohail Iqbal所言：“如果企業不打算吸取這些教訓并完善其安全實踐，那么將面對更加嚴格的安全審計和第三方風險評估，這可能會對其業務產生財務、聲譽、運營甚至合規性產生嚴重影響。”

以下，是知名企業和機構CISO們總結的2022年網絡安全十四條經驗教訓：

為地緣政治沖突提前做好安全防御準備

俄烏戰爭導致全球大量民族主義黑客組織紛紛選邊站隊，攻擊對方陣營的關鍵基礎設施和組織機構，這迫使許多國家政府紛紛發布了加強安全態勢的指導方針，包括美國網絡安全和基礎設施安全局（CISA）的Shields Up和英國國家網絡安全中心（NCSC）的技術保障。

谷歌云首席信息安全官辦公室主任Taylor Lehmann認為：“地緣沖突相關的網絡威脅應該在幾年前就有討論和預案，而不是等沖突發生后再評估和加強安全態勢。”

“企業和機構通常需要數年時間來評估安全差距并實施強化控制措施，因此盡早提出問題可能是有益的。我們需要承認，保護組織免受高級安全威脅需要長時間（有時是幾十年）的努力。”Lehmann補充道。

威脅行為者數量激增，黑客即服務模式使攻擊成本不斷降低

根據ENISA的說法，2022年勒索軟件組織不斷“退休”和重塑品牌，威脅組織“在供應鏈攻擊和針對托管服務提供商的攻擊方面的能力不斷提高”。此外，黑客即服務的商業模式繼續保持增長動力。

“現在每個人都可能成為網絡罪犯分子，不需要技能，”Critical Insight的首席信息安全官Mike Hamilton說道：“網絡犯罪組織采用的聯盟和黑客即服務商業模式大大降低了犯罪門檻。”

例如，對C2aaS平臺Dark Utilities的高級訪問僅為9.99歐元。該平臺提供了多種服務，包括遠程系統訪問、DDoS功能和加密貨幣挖掘。

未經培訓的員工會給企業帶來巨額損失

勒索軟件攻擊在2022年有所增加，公司和政府實體是最顯著的目標。英偉達、豐田、SpiceJet、Optus、Medibank、意大利巴勒莫市以及哥斯達黎加、阿根廷和多米尼加共和國的政府機構都是2022年的受害者，出于經濟和政治動機的勒索軟件組織之間的界限進一步模糊。

員工安全意識培訓應該是任何組織安全防御策略的關鍵部分，因為“員工仍然是網絡釣魚和其他社會工程手段的主要目標。”GuidePoint Security的首席信息安全官Gary Brickhouse說道。

政府更積極地為網絡安全立法

美國、英國、歐盟都加強了立法，以更好地保護組織免受網絡事件的侵害。“（各國政府）正在確定關鍵安全風險，立法干預的趨勢將持續發展。”NCC集團首席信息安全官Lawrence Munro指出。

在美國，聯邦和州一級發生了變化。現在要求政府機構實施安全培訓并遵循安全策略、標準和實踐。他們還需要報告安全事件并制定響應計劃。

Munro補充說，企業應該調整心態，積極主動地為即將到來的法規做好準備。此外，還需要注意數據隱私和安全規則不斷發展演變的事實。Lehmann指出：“了解企業之間的差異，并滿足數據駐留、數據主權和數據本地化要求，是企業現在面臨的一項關鍵業務，并且復雜性將繼續增加。”

應該更好地跟蹤開源軟件

2021年底爆發的Log4j安全危機在2022年持續了幾乎一整年，影響了全球數以萬計的組織。根據CISA最近的一份報告，這種涉及遠程代碼執行的漏洞將在未來繼續構成“重大風險”，因為它“將在未來許多年，也許十年或更長時間內保留在系統中”。

Thrive首席信息安全官Chip Gibbons認為：“Log4j漏洞給業內很多人敲響了警鐘，許多組織甚至不知道存在漏洞的軟件在自己的某些系統中被使用。”

雖然這個安全問題造成了混亂，但它也提供了學習機會。“Log4j是一種詛咒和祝福，”Sumo Logic的CSO兼IT高級副總裁George Gerchow說：“在事件響應和資產跟蹤方面，它讓我們變得更好。”

越來越多的企業開始投入更多精力來跟蹤開源軟件，因為他們看到“對開源軟件的隱含信任已經導致了嚴重損失。”

應加大力度識別漏洞

組織還應該采取更多措施來應對開源和閉源軟件中的漏洞威脅。但是，這并非易事，因為每年會出現數千個漏洞。漏洞管理工具可以幫助識別操作系統應用程序中發現的漏洞并確定其優先級。“我們需要了解第一方代碼中的漏洞，并制定漏洞清單和適當的措施來管理第三方代碼中的風險。”Veracode首席信息安全官Iqbal說道。

根據Iqbal的說法，應用安全應該從軟件開發生命周期左側做起：從一開始就編寫安全代碼并預先管理漏洞，這對應用安全非常重要，歸根結底，一切都是代碼。您的軟件、應用程序、防火墻、網絡和策略都是代碼，由于代碼經常更改，因此應用安全必須“內生”和“左移”。

公司需要采取更多措施來防范供應鏈攻擊

供應鏈攻擊是2022年網絡安全領域的頭號威脅之一，已經有多起事件成為頭條新聞，例如針對Okra、GitHub OAuth代幣和AccessPress的黑客攻擊。到2023年，防范此類威脅仍將是一個復雜的過程。“我認為供應鏈風險的快速增長讓許多組織感到困惑，”Munro說，“我們看到，從資金投入到解決問題的技術上，企業普遍缺乏對現有生態系統和威脅的理解。”

根據Munro的說法，軟件物料清單（SBOM）帶來了新的框架和技術。Munro說：“有管理信息聚合的工具，軟件工件的供應鏈級別（SLSA）等補充框架和技術標準，如漏洞利用交換或VEX。”這一切都增加了復雜性，也增加了防御者的挑戰。

Lehmann補充說：“我們還應該考慮，如果我們的硬件供應鏈受到攻擊，會如何影響我們。”

零信任應該是核心安全理念

零信任計劃不僅僅是部署技術來管理身份或網絡。“這是一種在數字交易時消除隱含信任并用顯性信任取而代之的紀律和文化，”Iqbal說道：“這是一個同步的過程，需要跨身份、端點設備、網絡、應用程序工作負載和數據進行。”

Iqbal補充說，“每個產品或服務都應該支持單點登錄（SSO）/多因素身份驗證（MFA），企業和非生產網絡應該與生產環境隔離。”“同樣重要的是，通過關聯多個信號來認證端點以獲得最新的安全狀況，并使用行為分析進行身份驗證、訪問和授權。”他補充道。

網絡安全保險需求可能會繼續增加

近年來，網絡安全保險已成為必需品，但保費卻有所增加。此外，組織還面臨著保險公司的更多審查，以確定風險領域。“這個過程比過去嚴格得多，增加了獲得網絡安全保險的時間和工作量，”Brickhouse指出：“組織應該將這一過程視為一種安全審計，提前準備，將其安全計劃和控制措施記錄在案，為審計做好準備。”

軟件測試的“左移”方法已經過時

ReversingLabs首席信息安全官Matt Rose認為，僅僅在“左邊”尋找風險是不夠的，開發人員只是全面的應用程序安全計劃的一部分。DevOps流程的所有階段都存在風險，因此工具和調查必須轉移到流程內的任何地方，而不僅僅是左側。“如果組織只在左邊尋找問題，他們只會在左邊發現安全風險。”

根據Rose的說法，更好的方法是在整個DevOps生態系統中提高安全性，包括開發系統和可部署工件本身。“供應鏈風險和安全變得越來越重要，如果你只看左邊，會漏掉更多風險。”他補充道。

對錯誤的資產使用錯誤的工具

錘子并不適用于所有釘子，例如螺絲釘。Halborn的聯合創始人兼首席信息安全官Steven Walbroehl指出：首席信息安全官需要識別問題的細微差別，并為他們想要解決的問題找到合適的工具。他說：“2022年安全廠商和企業用戶需要共同吸取的一個教訓是，不能將安全性一概而論，沒有解決方案能夠適用于所有資產或資源。我們都應該盡最大努力找到適應或適用于特定資產的網絡安全解決方案或服務。”

企業需要了解完整的應用程序架構

技術堆棧的復雜性每年都在增加，企業必須了解其整個應用程序生態系統，以避免重大安全漏洞。“隨著開源包、API、內部開發代碼、第三方開發代碼和微服務的爆炸式使用，應用程序變得越來越復雜，所有這些都與非常流暢的云原生開發實踐相關聯，”Rose說：“如果你不知道要尋找什么類型的風險，你將如何找到它？”

根據Rose的說法，現代開發實踐的責任塊越來越小，沒有一個人可以完全處理應用程序各個方面的安全風險。

安全應該是一場馬拉松

太多非技術型企業認為網絡安全是靜態的，一次性的活動，執行（投入）一次，然后就安全了。然而，技術是動態的，因此安全防御“是一種需要持續努力的風險管理方法，”Walbroehl說道：“公司不應該試圖將網絡安全視為一次性的測試。”

Walbroehl建議企業確定關鍵流程和資產，然后確定他們愿意接受的安全暴露級別。他補充說，一個好主意是優先考慮將風險降低到該水平所需的解決方案或流程。

2023年，主動安全為王

2023年首席信息安全官可能會筋疲力盡，他們將再次面臨各方面的挑戰：俄烏戰爭將繼續，一些國家可能會經歷嚴重的經濟衰退，網絡威脅態勢也將快速演變。

Trustwave的Daniels指出：“我們今年學到的最重要的教訓之一是，刻板的被動安全策略使企業的競爭力、財務狀況和市場增長面臨風險，而主動安全甚至預測性的網絡安全運營正在成為安全領導者的關注焦點，在復雜性和不確定性驅動的未來，主動安全能更有效地將安全性融合到業務中。”