2021 美國黑帽大會主要網絡安全熱點及思考
2021 年上半年,全球網絡安全界遭受了勒索軟件攻擊、重大供應鏈攻擊以及有組織的黑客行動的輪番轟炸,攻擊目標遍及醫療、金融、制造業、電信及交通等重點行業。數據泄露的規模、漏洞存在的年限、影響設備的數量、破壞效果呈擴大趨勢。黑客攻擊手段也更加復雜化,單筆勒索贖金更是達到創記錄的 7000 萬美元。其中的 Colonial Pipeline 黑客攻擊事件導致美國最大的成品油管道運營商關閉整個能源供應網絡,政府宣布進入國家緊急狀態。正如美國土安全部部長瓊森在本次黑帽大會上所言,網絡威脅已經從有關數據泄露和間諜活動,轉向破壞醫院、學校、食品供應商和管道的勒索軟件攻擊。埃森哲最新版《網絡調查、取證和響應報告》數據顯示,與去年同期相比,2021 年上半年全球網絡入侵活動量增長了125% 。Cybersecurity Ventures 預測,到 2021 年全球因網絡安全事件導致的損失將高達 6 萬億美元。因此,強化網絡安全、管理互聯網,并構建一個自由安全的網絡空間至關重要。
1 2021 年黑帽大會以線上線下的混合方式如期舉行
在網絡安全形勢日益嚴峻的情況下,備受矚目的 2021 年美國黑帽大會于 7 月 31 日至 8 月 4 日在拉斯維加斯以線上線下混合方式舉行,各國頂尖黑客們在大會上分享了當前世界最先進的網絡安全研究成果,議題涉及人工智能、機器學習和數據科學、AppSec、應用安全、云和平臺安全、社區、CorpSec 、加密學、網絡/物理系統、數據取證和事件響應、防御、exploit開發、硬件/嵌入式、惡意軟件、移動手機、網絡安全、策略以及逆向工程等 19 個領域,14 家知名網絡安全供應商的高管就勒索軟件、供應鏈和關鍵基礎設施攻擊、第三方風險管理、零信任體系結構和人工智能威脅情報等主題發布了演講,公開展示了一系列最新的安全漏洞、攻擊技術和安全工具。
2 大會的五大聚焦點
從安全研究人員的交流內容來看,移動平臺和開源軟件成為了最受關注的關鍵網絡安全問題。其次,DNS 即服務使企業網絡成為竊聽對象,GPT-3的高級文本功能將受到虛假消息攻擊的青睞,最后是攻擊者也有勒索軟件的困擾。
· 移動平臺成為惡意攻擊者的下一個攻擊重點
移動安全目前已經成為了網絡安全威脅來源的頭牌,隨著智能手機的普及、應用日漸多樣化,以及互聯網不斷的深入人們的生活,移動端也承載了比以往更多的數據信息,其中不乏敏感信息,這也招致了大量的外來者攻擊。且越來越多的證據表明,惡意攻擊者正將大量資源用于利用移動平臺的漏洞,針對移動設備的攻擊與日俱增。Corellium LLC 首席運營長、英國國家安全局前分析師馬特?泰特的研究表明,針對移動電話設備的“零日”漏洞正在被急劇利用,這個問題正變得越來越嚴重。此外,一些移動平臺的架構自己本身也產生了一系列問題,谷歌 Zero 項目的安全研究員娜塔莉?西爾瓦諾維奇對手機短信漏洞進行了分析,發現用戶可以在未經對方同意的情況下打開另一個用戶的攝像頭或音頻,并在 FaceTime 、Signal、Facebook Messenger、JioChat 和 Mocha 中也發現了各種漏洞。
· 需要更加關注開源社區安全
開源軟件的代碼公開、易獲取、可重用的特點成為企業構建信息技術的重要選擇, 目前在教育、金融、醫療等傳統行業滲透率已超過 60% ,隨著開源軟件的廣泛使用,一旦被發現安全漏洞,必將給開發、安全團隊帶來嚴峻的挑戰。而開源漏洞信息往往散落分布在各大社區,很多漏洞信息不能及時被官方收錄。同時,對于軟件使用者,由于缺少漏洞信息跟蹤能力,使得漏洞修復具有滯后性,提升了軟件被攻擊的風險。就本質而言,開源軟件并不能生成完全安全的代碼,其安全性容易被忽略而成為黑客攻擊的目標。此外, 應用程序的復雜性也在增加,開源軟件中報告的漏洞數量每年都在增長。如果沒有認真和協調的干預,情況會變得更糟。開源軟件軟件和芯片設計公司 Synopsys 發布的《2020 年開源安全和風險分析報告》 指出不安全的開源軟件無處不在。因此,需要更加注意開源軟件的安全問題。
· “DNS 即服務”使企業網絡成為竊聽對象
Wiz 公司的研究人員披露了他們從 DNS 托管服務供應商構建的服務邏輯中發現的一種新型 DNS 漏洞。這種新的 DNS 漏洞使國家級別的竊密活動變得非常簡單。他們演示了如何對一個示例賬戶的域注冊系統做出簡單調整,由此輕松訪問超過 100 萬個端點、涉及 15000 名亞馬遜云科技客戶的查詢流量。
· GPT-3 的高級文本功能讓虛假消息攻擊者垂涎三尺
GPT-3 是一種自回歸語言模型,使用深度學習來生成類人文本。作為OpenAI 內部的一個高級項目,GPT-3 生成類人文本的能力是強大的,但是它可能非常危險。喬治城大學安全與新興技術中心的研究分析師發現,GPT-3 尤其擅長在極少的指令下生成推文,它的速度和準確性使得一個社交媒體賬戶可以傳播大量信息,而且就連專家小組也無法辨別其真偽。
· 黑客也存在勒索軟件攻擊的問題
IBM 公司 X-Force 的安全研究人員分析了Threat Group 18 的漏洞利用,該組織與伊朗的網絡戰爭組織 Charming Kitten 存在聯系,一直在對制藥公司、記者和伊朗持不同政見者進行網絡釣魚攻擊。2020 年 5 月,IBM 研究人員發現了該組織發布的一系列培訓視頻,這些材料顯示黑客在解決驗證碼時遇到的問題,就像我們中的許多人一樣提供證據,由于安全性差,他們自己也是勒索軟件攻擊的受害者。
3 主要網絡安全威脅與漏洞
在本次大會上,來自世界各地的網絡安全研究人員公開演示了包括供應鏈威脅、加密缺陷等在內的網絡安全威脅與漏洞,如下:
· 供應鏈威脅
近期爆發的 SolarWinds 與 Kaseya 勒索軟件事件直接把供應鏈安全問題送上了今年的主舞臺、成為各小組討論環節的核心議題。其中具有代表性的是前英國政府通訊總部情報人員 Matt Tait 的主題演講,討論了實現供應鏈完整性的各項要素,包括攻擊者將軟件交付機制視為一種極為高效、覆蓋范圍極廣的惡意代碼傳播載體。
· 加密缺陷
作為實現計算保密性與隱私性的支柱,密碼學與加密協議多年以來一直是黑帽研究人員們最關注的話題之一。弗勞恩霍夫安全信息技術研究所網絡安全分析與防御部門主任Haya Shulman 展示了從 Let’s Encrypt 的分布式域驗證服務中發現的種種隱患,并聲稱要削弱 Let’s Encrypt 相較于其他證書頒發機構的一切安全優勢。
· PrintNightmare
PrintNightmare 是 Windows Print Spooler 中的一項嚴重遠程執行漏洞,會影響運行該服務器的任何系統。就在微軟公司 2021 年 6 月初發布了針對不同 Print Spooler RCE 的補丁之后,國內公司深信服的三位研究人員就發布了 PrintNightmare 的概念驗證(PoC),PoC 能夠全面控制存在該陷的Active Directory 域,甚至在打過補丁的系統上也仍然有效。雖然他們從GitHub 上移除了 PoC ,但其已經被惡意人士所掌握并應用于實際攻擊,這種狀況迫使微軟在一周之后發布了緊急更新。
· Active Directory 威脅
作為本地及云系統中重要的身份與訪問管理手段,Active Directory 已經成為當今企業網絡防御中最重要的一個領域。SpecterOps 公司的 WillSchroeder 與 Lee Christensen 討論 了如何 以八種不 同方式利用 ActiveDirectory 證書服務上的功能與錯誤配置,借此在Acitve Directory 公共加密基礎設施上提升權限、進而操縱其他服務。
· 下一代 Mac 惡意軟件
Mac 設備在企業環境下的應用以及用戶規模的持續擴大吸引了不少攻擊者的目光,其中最值得關注的是惡意人士會如何針對基于全新 M1 芯片的下一代 Mac 平臺。
M1采用基于ARM 64架構的微處理器,帶有一系列新的內置安全功能,但存在安全隱患。Objective-See 公司的研究員 Patrick Wardle 提到,相當一部分端點惡意軟件檢測機制還沒有能力檢測到專為 M1 系統原生開發的惡意軟件,他展示了這一檢測能力在應對 M1 平臺時如何顯著下降,并解釋行業應如何加強分析與檢測技術、用于解決基于 ARM 架構的下一代 Mac 面臨的實際威脅。
· 對抗人工智能
人工智能與機器學習功能正越來越多地成為關鍵業務軟件中的核心主體。而隨著二者在商務智能、理解客戶需求以及自動化流程中的廣泛普及,其背后蘊藏的巨大價值必然吸引到攻擊者的關注。因此,必須關注新興人工智能威脅,包括對抗人工智能(破壞性模型)、 數據中毒與模型盜竊等。
IBM 歐洲研究中心的Killian Levacher、Ambrish Rawat 以及Mathieu Sinn討論針對深度生成模型的對抗人工智能攻擊,并分享關于行業應如何有效檢測這些攻擊的看法; 微軟的 Ram Shankar Siva Kumar 、哈佛法學院的Kendra Albert、約克大學奧斯古德霍爾法學院的Jonathon Penney 以及 BruceSchneier 從法律層對惡意利用人工智能及機器學習系統的行為做出分析。
4 不斷演進的網絡攻擊形式對網絡安全構成嚴重威脅
在本次大會上,網絡安全研究人員演示了包括離地攻擊、被竊數據的武器化、勒索軟件攻擊等在內等多種網絡攻擊形式和手段,相較之前,這些攻擊手段具有攻擊速度快、覆蓋面更廣、攻擊自動化程度高、殺傷力大、目標針對性強、隱蔽性強等特點,對基礎設施等將形成更大威脅。
· 離地攻擊的隱蔽性更強
攻擊者越來越多地利用受害者使用的合法工具,通過融入受害者的流量來更好地隱藏自己。攻擊者可以利用合法工具實施攻擊鏈的每一個環節——從初始訪問、資產發現、橫向移動到數據外泄和憑證盜竊。Trend Micro威脅情報副總裁認為,離地攻擊是一種反取證行動,因為這些攻擊迫使企業建立機制,對 Cobalt Strike、Mimikatz 和 PS Exec 等工具的使用進行檢查,從而確定一些特定事件是合法的還是非法的。Trend Micro 的數據表示, 目前有 20 到 30 種合法工具正被勒索軟件攻擊者用于惡意目的。
· 被竊數據的武器化更普遍
Barracuda 首席技術官 Fleming Shi 發現,很多用戶和組織的數據在以前的攻擊事件中被盜,并且又在隨后的攻擊中被武器化。攻擊者利用他們已經獲取的個人身份信息再次獲取用戶的憑據和密碼,然后將這些目標用戶登錄的 SaaS 應用程序作為攻擊目標。
· 勒索軟件攻擊的威脅更大
攻擊者不再滿足于簡單地加密受害者數據并拒絕受害者訪問其自己的系統。目前,勒索軟件已經從瞄準單個設備或服務器發展為通過造成廣泛破壞來威脅整個組織。簡單來說,就是勒索軟件攻擊者通過供應鏈攻擊,向受害企業及其上下游客戶索要贖金,否則就泄露敏感數據。2021 年 9 月發布的歐盟 ENISA 威脅態勢報告稱,勒索軟件已成為最大威脅。
· 供應鏈攻擊的破壞性更強
供應鏈攻擊作為一種新型威脅,具有威脅對象多、極端隱蔽、檢測難度大、涉及維度廣等特點,已成為國家級攻擊行為的重要選項,供應鏈攻擊為黑客提供的良好投資回報使之成為黑客攻擊的重要突破口,它已經從高級網絡攻擊者對特定行業實施的武器化攻擊轉變為更為普遍的惡意軟件攻擊的一部分,并且在未來一段時間內將是最難防范的威脅之一,而且攻擊數量還會增加。企業必須確保他們能夠了解自己的供應鏈、與每個供應商相關的風險以及在發生事件時進行快速補救。
· 商業網絡犯罪日趨復雜
隨著民族國家組織越來越多地將攻擊目標對準私人商業和民間組織,受害者面臨的威脅挑戰正在變大。Varonis 聯合創始人、總裁兼首席執行官Yaki Faitelson 表示,網絡犯罪分子發現實施勒索軟件攻擊更容易獲得報酬,然后這些威脅組織又將贖金的收益投資于獲取更復雜的黑客工具。此外,網絡犯罪分子通過供應鏈攻擊傳播勒索軟件,并無縫地將自己偽裝到受害者的環境中,從而使得其攻擊手段更為老練也更為復雜。而與數字化轉型相關的生產力提升、從任何地方都可以訪問數據的邊緣趨勢,都伴隨著更高的風險和更大的攻擊面。
5 新型安全工具的防御水平有較大提升
自 2017 年以來,黑帽大會一直是網絡安全人員發布和展示安全工具的盛會。本次會議上,他們展示了以下 21 款能代表當前世界先進水平的網絡防御工具,這些安全工具無論從自動化、智能化、協同性來說,都有了很大提升。
· Cloud Sniper
Cloud Sniper 是一個管理云安全操作的平臺,目的是通過準確分析和關聯云構件來響應安全事件,通過顯示公司云安全狀況的完整可見性來檢測和修復安全問題。
· Cloud Katana
Cloud Katana 是一種由 Microsoft 開發的工具,可在 Azure Functions 的輔助下自動執行 Azure 中的對抗性技術,主要目標是驗證檢測規則并了解攻擊的潛在行為。
· Kubetriker
Kubetriker 是一個極快的 Kubernetes 安全審計工具,可以對 Kubernetes基礎設施進行大量深入檢查,以識別任何使其容易成為攻擊者目標的錯誤配置,防止對 Kubernetes 集群的潛在攻擊。
· REW-sploit
REW-sploit 是一種分析 Windows shellcode 或源自 Metasploit 或 CobaltStrike(紅隊、滲透測試人員和其他攻擊者廣泛使用的工具) 攻擊的工具。REW-sploit 可以模擬有效載荷、提取加密密鑰并關聯 PCAP 轉儲以獲取正在發生的攻擊的更多相關信息。
· LUDA
LUDA 是一個大型 URL 數據集安全分析器,該工具由 Akamai 的安全研究人員開發,通常被用于惡意軟件和網絡釣魚檢測。安全團隊可以使用該工具來發掘與已知惡意軟件或威脅組織相關的 URL 方案。LUDA 支持與各種惡意軟件庫的集成,如 PhishTank、URLHaus 、Virus Total 等等。
· SGXRay
SGXRay 是一個由百度工程師開發的自動化工具,用于檢測源于違反可信邊界的 SGX enclave 錯誤。
· Cotopaxi
Cotopaxi 是一個由三星開發的用于測試各種物聯網協議安全性的工具。
· Packet Sender
Packet Sender 是一個可用于Windows、Mac 和 Linux 的開源實用程序,允許發送和接收 TCP、UDP 和 SSL(加密 TCP)數據包。其核心功能是通過 IPv4 或 IPv6 制作和監聽 UDP、TCP 和 SSL/TLS 數據包,它可以在發送到任何 UDP 、TCP、SSL/TLS 數據包服務器的同時監聽任意數量的端口。
· Kubesploit
Kubesploit 是一種用于對 Kubernetes 集群進行安全性滲透測試的工具,配有一個已開發的 HTTP/2 命令和控制服務器和代理。
· Siembol
Siembol 是一個基于大數據技術的開源、實時安全信息和事件管理(SIEM) 工具。
· Cloudtopolis
Cloudtopolis 是一個在 Google Cloud Shell 平臺上運行密碼破解系統的工具。通過 Cloudtopolis 和 Google Collaboratory,用戶可以在不需要任何瀏覽器專用硬件的情況下破解哈希。
· Racketeer
Racketeer 旨在幫助紅隊建立模型并實施嚴格控制的勒索軟件活動。安全團隊可以利用 Racketeer 工具,針對一組公司資產和網絡端點,以受控方式模擬和測試常見勒索軟件的操作。
· Phishmonger
Phishmonger 是一種電子郵件網絡釣魚工具,可以使滲透測試人員快速模板化、測試和部署網絡釣魚活動。
· Blue Pigeon
Blue Pigeon 是一種基于藍牙的數據竊取和代理工具,可實現遠程命令和控制(C2)服務器與受感染主機之間的通信。
· Magpie
Magpie 是一種開源云安全態勢管理 (CSPM) 工具,旨在幫助公司保護云基礎架構。Magpie 已經在擁有數十萬系統的大規模云環境中進行了測試。
· PurpleSharp 2.0
PurpleSharp 2.0 是一種對手模擬工具,它執行對手技術,目的是在受監控的 Windows 環境中生成攻擊遙測。由此產生的遙測可以用來衡量和提高檢測程序的效率。PurpleSharp 在整個攻擊過程中按照 MITRE ATT&CK 框架的策略執行不同的操作:執行、持久性、提權、憑證訪問、橫向移動等。
· WARCannon
WARCannon 是一種在互聯 網上大規模搜索 網絡漏洞 的工具 。由Common Crawl 通過 AWS 開放數據程序提供數據,可以對相關網站進行 PB級分析。安全研究人員和“漏洞賞金獵人”可以利用 WARCannon 以快速、經濟高效且完全非侵入性和隱蔽的方式在整個互聯網上橫向擴展他們的研究。
· PMapper
PMapper 是一個腳本和庫,用于識別 AWS 賬戶或 AWS 組織的身份和訪問管理(IAM ,Identity andAccess Management) 配置中的風險。
· Ping Castle
Ping Castle 是一個用于在 Active Directory 服務器上執行安全審核的工具。
· reNgine
reNgine 是一個自動化偵察框架,可以在 Web 應用程序的滲透測試期間收集信息。
· Solitude
Solitude 是一種開源隱私分析工具,旨在幫助用戶了解他們的私人數據從移動網絡或應用程序泄露后的去向。
6 幾點思考
透過今年黑帽大會不難看出,惡意組織正不斷地調整策略,執行新的威脅行動計劃,無論是民族黑客組織還是犯罪團體,都變得更聰明且更迅速,這種情況在近期內都不會發生改變。因此可以預計,勒索軟件仍然是關注的焦點,并將蔓延到物聯網。勒索軟件攻擊一直是近來最具影響力的網絡威脅,未來惡意團體將繼續擴大勒索軟件攻擊規模,并將目標瞄準物聯網。惡意行為者或利用物聯網設備的漏洞,通過物聯網設備接管通信能力,利用受害者的恐懼和焦慮,并通過社會工程學來操縱他們的行為。網絡犯罪和民族國家行動的融合將變得更加普遍。民族國家會雇傭網絡犯罪分子來發起惡意軟件攻擊。網絡犯罪與民族國家行為者之間的模糊程度將增加,國家力量將成為網絡間諜行動的主要推動力。社交媒體將繼續成為黑客滲透組織以獲取犯罪收益的首選平臺,以個人作為攻擊目標已被證明是一種非常有效的途徑,這種方式的使用不僅會在間諜團體中增長,還會在其他試圖滲透進入組織以獲取自身非法利益的威脅行為者之間增長。
魔高一尺,道高一丈。面對惡意組織如此復雜多變、令人眼花繚亂的攻擊手段和方法,未來我們將面臨更加嚴峻的網絡安全形勢,無論是國家、企業還是組織機構都應積極主動地保護信息并采取行動。
6.1 針對供應鏈漏洞,引入第三方機構進行技術測試
供應鏈攻擊的頻率和成熟度正在不斷提高,當攻擊發生時,很難檢測和緩解此種攻擊。對于供應鏈安全來說,最重要的是保證軟件供應鏈從源頭開始安全無風險,在整個軟件應用程序開發全周期中加強對產品的安全檢測,并對自身產品流程進行風險管控。因此,應該通過一個集中的機制來加強對供應鏈漏洞的技術測試,保證政府部門、企業等所使用軟件的安全性和質量。作為供應商的技術公司應事先使其產品經過第三方機構的測試和認證。預計美國政府將在 SolarWinds 攻擊事件后采取類似行動保護供應鏈安全,Splunk 的安全戰略師表示,希望看到技術供應商更好地檢測供應鏈漏洞。
6.2 針對勒索軟件威脅,應用人工智能進行檢測
勒索軟件已經成為一個全球性問題,而且勒索攻擊事件的數量也不斷攀升,根據澳大利亞信息專員辦公室的一份報告,與 2020 年下半年相比,2021 年上半年,由勒索軟件攻擊引起的數據泄露事件增長了 24% 。勒索攻 擊不僅帶來了代價高昂的服務中斷,還直接威脅政治安全、經濟安全、科 技安全等各個方面。現在勒索軟件已成為嚴重的國家安全問題。
RSA 大會專家委員會在 2021 年 11 月對未來網絡空間安全趨勢進行預測時認為,惡意組織會繼續擴大勒索軟件攻擊規模,并使之更加專業化。因此,勒索軟件是當前網絡世界面臨的重大威脅。
人工智能技術的引入將大大提高勒索軟件的檢測率。人工智能使人們更好地了解黑客所使用勒索軟件的類型并分析黑客的個人資料。更重要的是,經過人工智能訓練的網絡安全檢測工具能夠有效地識別勒索軟件威脅并防御它們。人工智能驅動的網絡安全防御措施意味著我們可以更早地發現勒索攻擊和漏洞,降低安全成本,而且網絡安全團隊無需隨時關注日常威脅。因此,保持安全和保護數據正越來越多地掌握在人工智能的手中,這是網絡安全的未來。
目前趨勢科技公司正在開發的勒索軟件移除解決方案本質上是一個智能反勒索軟件工具,它帶有一個很大的安全包,并利用了最新的人工智能算法,其中包括防病毒、家庭保護、密碼管理和隱私保護,該工具對檢測勒索軟件極為有效。
6.3 針對傳統防護手段的缺陷,采用零信任架構降低風險
零信任架構是一種主動的安全戰略,其先進性彌補了傳統防護理念在應對勒索攻擊中的先天不足,能夠極大減少攻擊暴露面,以及橫向移動的可能,保證內網應用以及數據安全,最大限度地降低與供應鏈問題和勒索軟件威脅相關的風險。零信任的核心是了解數據所在的位置以及哪些用戶可以訪問哪些數據,隨著機構越來越多地共享更多數據,零信任方法對于數據安全至關重要。此外, 目前有多種工具可以掃描網絡并確定數據所在的位置,但這些工具的質量差異很大,因此,組織機構需要確保擁有合適的工具來評估數據位置和歸屬。
美國總統拜登 2021 年 5 月發布的“改善國家網絡安全行政命令”, 呼吁聯邦政府和私營部門合作,共同應對威脅美國安全的“持續不斷、越來越復雜的惡意網絡活動”。其中的重點一項就是聯邦政府應該邁向零信任架構,增加對安全最佳實踐的采用,并持續部署基礎安全工具,如多因素身份驗證和數據加密。并同時要求 NIST 制定實施零信任架構的計劃,以確保零信任能夠完全發揮作用,實現層級化的網絡防御。毫無疑問,零信任將作為一個重要舉措應用于網絡安全領域。美國能源部已于 2021 年 10 月率先啟動了用于清潔能源系統的零信任網絡安全解決方案,該項目將支持電網現代化,解決網絡安全漏洞,并創建一個能夠承受向清潔能源經濟過渡的電網。Gigamon 2020 年 10 月的一項研究報告也表明,超過三分之二的歐洲企業和組織機構表示已采用或計劃采用零信任框架以應對不斷變化的威脅形勢。
6.4 針對數據泄露風險,引入隱私增強技術
隱私增強計算技術(PET)可以在數據使用的過程中保護數據,而不僅僅是在數據靜止或移動時。PET 可以實現安全的數據處理、共享、跨境傳輸和分析,即使在不受信任的環境中也是如此。當前,PET 技術正在從學術研究迅速轉變為提供真正商業價值的實際項目,支持新形式的計算和共享,并降低數據泄露的風險。歐洲率先通過《通用數據保護條例》(GDPR)實施了更嚴格的數據保護法規,從而促進了以消費者為中心的數字市場,世界各國都陸續紛紛推出了自己本國的 GDPR。Gartner 預計到 2025 年,60%的大型企業機構將使用一種或多種隱私增強計算技術。
6.5 針對可能出現的新漏洞,引入第三方風險管理
隨著現代社會的分工日益細化和專業化以及節約成本的考慮,企業機構將會和越來越多的第三方產生商業往來,做好第三方風險管理對于提升己方對風險的風控能力至關重要,因此,企業需要投入更多的資源以確保第三方供應商不會成為威脅的來源。企業應首先審查供應商合同,以確保其供應商擁有合適的人員、控制措施和治理結構,從而可以有能力應對網絡風險。其次,由于基于數據驅動的第三方風險管理技術和工具已經逐步成熟,企業可以通過對外部大數據的采集,分析第三方供應商或者合作伙伴的安全事件和漏洞,并對其進行持續的監測、風險評估和安全評價,使企業能夠在第三方風險方面實現基于等級測量的風險決策,將有效的資源投入在高風險的地方。總之,企業必須將其第三方風險管理,從靜態調查問卷轉變為持續監控和快速行動,以解決關鍵的新漏洞。根據 BlueVoyant2021 年 10 月最新發布的報告,不重視第三方風險的公司比例已從從去年的 31%降到 2021 年的 13% ,Gartner 同期發布的“2021-2022 年 8 大網絡安全 預測”報告中也稱,到 2025 年 60%的公司將把網絡安全風險作為進行第三 方交易和業務往來的主要決定因素。
7 結束語
隨著 5G 技術、人工智能、大數據、邊緣計算、云計算等新興 IT 技術的發展與成熟,隨之而來的網絡安全威脅也進一步加劇,沒有一種網絡安全工具能夠一勞永逸。網絡安全防護的任務不僅是實施工具和分析的組合,識別和保護不斷擴大的威脅媒介,更是要結合最佳實踐以更好地指導其部署理念,避免成為攻擊對象和攻擊的跳板。因此,應該考慮更為廣泛地采用包括多因素身份驗證、數據加密、流量解密、回溯取證分析、建立全面管理的安全營運中心等多種手段完美結合的最佳安全實踐,降低網絡攻擊的風險。
