如何響應2022年網絡威脅形勢 - 網安 - 專業的網絡安全產業、社區、知識平臺

寫在前面：2022年已經過半，再談2022年的網絡威脅形勢是不是有點晚了。在這篇文章中，Gartner沒有像往常那樣，對這一年的網絡威脅進行統計，給出很多圖表。而是根據威脅的特點和未來發展趨勢進行分類，并給出建議，是一種方法論和思路，很值得參考。

目前來看，最嚴重威脅是勒索軟件、釣魚攻擊和賬戶濫用；高增長威脅是API攻擊、供應鏈攻擊、網絡物理系統攻擊；新出現威脅是混合工作、云中的錯誤配置。

在籌備未來工作并加速數字化轉型的過程中，組織機構面臨著新的威脅。Gartner的建議將幫助安全和風險管理領導者不斷完善他們的戰略，以應對最嚴重威脅、高勢頭威脅和新出現的威脅。

概述

關鍵發現

許多機構一直認為，網絡安全威脅只會帶來技術風險。而且，他們關注可能不會直接影響他們的威脅，如網絡戰，而忽略了可能影響任何組織的威脅發展，如勒索軟件、網絡釣魚和賬戶濫用。
盡管對網絡安全持續投資，但威脅形勢仍然面臨挑戰，數字業務轉型、混合員工和工作場所以及互聯的數字供應鏈擴大了攻擊面。
成熟的安全實踐在面對新興的、勢頭強勁的威脅時滯后，例如API或網絡物理系統(cyber-physical system，CPS)的攻擊，但組織仍然考慮“我們安全嗎?”而不是“我們準備好了嗎?”
組織無法預測下一個“大爆炸”襲擊會是什么。安全和風險管理領導者在面對抓人眼球的攻擊報道、剛剛發生的事件或炒作的概念時，太容易偏離自己的安全戰略，仿佛這些就是他們接下來要面對情況的指示器。

建議

負責調整企業安全計劃以適應威脅環境的安全和風險管理領導者，包括首席信息安全官(CISO)應該：

在應對最嚴重威脅時，應重新關注內部通信，并改進安全措施，以適應新的攻擊趨勢，例如多種手段釣魚、攻擊者要求第二筆贖金或公開數據，或攻擊者針對服務憑證而不是用戶。通過對已知威脅細微趨勢的有效溝通，確保管理層支持對安全控制改進的持續投資。
在安全運營組織內部建立流程，評估新出現的、勢頭正猛威脅的影響。從API、供應鏈和CPS威脅開始，重點關注暴露管理、態勢驗證、良好的安全健康和風險意識。
對于新出現的和未來的威脅，關注網絡彈性，并與組織領導人對安全的關注保持一致，以預測由于業務轉型而導致的攻擊面擴大。

介紹

當制定長期安全計劃時，CISO和他們的團隊使用行業報告、威脅情報源和高影響攻擊的新聞來幫助規劃業務場景。2019新冠疫情打亂了三年的路線圖，預料之外的、使用附加項目管理變成了新常態。與此同時，網絡安全從IT風險問題變成了業務風險問題。

安全團隊推遲計劃項目，為了擴展遠程工作和適應加速的IT和業務轉型，現在需要為未來的工作和業務設計安全策略。關注最近的攻擊趨勢會人為地夸大當前遠程辦公轉型過程中，常見和成功的機會主義攻擊。同樣，從零開始或把“零信任”曲線解釋成持續改進項目，會有錯過目標和留下差距的風險。分析威脅形勢需要多角度的方法，包括攻擊者的視圖和防御者的局限(參見下圖)。

這項研究涵蓋了最嚴重威脅、高勢頭威脅和新出現的威脅：

最嚴重威脅：組織高度注意，由于底層變化導致，需常年保持關注。
高勢頭威脅：正在增長的威脅，但比最嚴重威脅略低。
新出現的威脅：這些威脅更罕見、但足夠引起安全和風險管理領導人的注意。

在威脅形勢中，攻擊者意圖和技術方向是威脅變化的直接因素。安全實踐的發展可能會改變投資優先級。本研究將幫助保持“快慢結合”持續性框架。

快速：當面對新出現的威脅和意想不到的(現在很頻繁)大范圍攻擊時，能夠快速適應，這些攻擊需要立即且總是不同的響應(例如對SolarWinds的攻擊和對Log4j漏洞的利用)。
緩慢：最嚴重威脅放在最后。勒索軟件、賬戶接管和數據竊取多年來一直高居榜首。這就導致了“攻擊疲勞”，造成了針對這些威脅形式的增量改進的新計劃在獲得資金方面的困難。成功地處理這些眾所周知的威脅需要監測細微趨勢，確定差距和多個團隊之間的有效溝通。

Gartner收到客戶的詢問，要求我們預測未來的威脅。然而，不可能準確地預測威脅，因為未知的拐點，如戰爭或新的流行病，可以迅速改變威脅狀況。

分析

當涉及到最嚴重威脅時，CISO和他們的團隊經常無法與IT和業務主管進行有效溝通，有時也無法與他們自己的安全團隊進行溝通。當他們在堅持大家聽濫了的威脅倡議時，可能會遇到強烈的抵制，并面臨這樣的回應：

“我們已經在防范勒索軟件方面投入了大量資金!”
“我們投資了三年的安全運營中心項目，仍然遭受攻擊!”
“采購部說，如果所有產品都從同一家廠商采購，我們可以節省20%的成本。我們多年來一直面臨威脅，為什么要嘗試一家未合作過的新公司呢?”

以下部分將解釋如何適應最近最嚴重、高增長和新出現威脅的變化。

最嚴重威脅

同樣的威脅往往會在數年里高居榜首。根據Verizon公司的《2021年數據泄露調查報告》，網絡釣魚、使用竊取的證書和勒索軟件位于數據泄露的五大原因之中。他們在2018年的報告中已經名列前茅。Verizon在2013年的報告中首次報告了勒索軟件。對于最嚴重的威脅，新的統計數據表明，即使在影響上有兩位數的增長，也不足以保證在資金和管理上對安全措施的支持。

在應對重大威脅時，安全主管面臨的主要挑戰是投入足夠的精力，把IT和業務主管在一個他們認為已經花錢解決過的問題上團結起來。

當向企業高管介紹頂級威脅時，CISO應該從以下幾個主要趨勢開始：

攻擊者比企業更快地認識到，智能自動化比全面自動化更高效。他們使用人力驅動的自動化活動，例如，人類驅動的機器人(human-driven bots，“hu-bots”)、多手段網絡釣魚(multichannel phishing，“mc-phishing”)和勒索軟件即服務攻擊——來繞過自動化防御。
網絡犯罪在疫情期間加速行動，推動網絡犯罪組織采取更小、更短、更隱秘的行動。
成為主流新聞頭條的高調襲擊事件并不多見。組織更有可能被一些簡單的“市場上可以買到”的攻擊所入侵。
在過去的12個月里，本部分所涵蓋的所有頂級威脅方式的數量都出現了兩位數的強勁增長，其中大多數攻擊方式的成功率都有所提高

勒索軟件

預計攻擊者:

更頻繁地針對多樣化的普通目標，利用較小的攻擊來避開資金充足的民族國家的注意。
攻擊關鍵網絡物理系統（CPS），特別是由于地緣政治緊張局勢推動和結盟的勒索軟件團伙。
使用“大家認可”的云應用程序優化勒索軟件的交付，例如企業生產力SaaS軟件包，用加密技術隱藏活動。
以個別員工為目標，特別是那些使用有漏洞的遠程訪問服務(如遠程桌面協議服務)進行遠程工作的員工，或者賄賂員工以獲取進入組織的權限，以發起更大規模的勒索軟件活動。
竊取數據是為了勒索公司支付贖金，否則就會冒著數據泄露的風險，這可能會導致監管罰款，并限制常規“快速恢復”方法的好處。
將勒索軟件與其他技術，如分布式拒絕服務(DDoS)攻擊結合起來，迫使面向公眾的服務下線，直到組織支付贖金。
利用竊取的憑證訪問端點。

勒索軟件已經超越了IT范疇。政府現在也參與進來，各機構和大型基礎設施提供商之間的合作可以幫助更快地摧毀大規模的勒索軟件基礎設施。這將促使攻擊者按照如下方式調整和優化勒索軟件的投送和支付(參見下圖)：

投送：他們將進一步使用云存儲和加密技術。根據Netskope的數據，在2021年，69%的惡意軟件采用HTTP(S)傳輸通過云存儲應用程序投送，這些應用程序越來越有可能被批準，特別是在家庭工作場景中。此外，91.5%的惡意軟件是通過加密連接安裝的。
支付：攻擊者將瞄準較小的目標，并向其他群體提供“勒索軟件即服務”。這將使攻擊更具針對性和復雜性，因為針對某一組織的小團伙組將可以訪問由專門小組開發的勒索軟件。攻擊者還會針對關鍵資產，如網絡物理系統。

備份策略比以往任何時候都更重要，因為即使一個組織支付了贖金，也不能保證它會恢復所有的數據。

主要建議:

構建事件前策略，包括備份(包括恢復測試)、資產管理和用戶權限限制。
通過培訓員工和安排定期演習，建立事故后響應程序。
將勒索軟件保護程序的范圍擴大到網絡物理系統。
增加針對勒索軟件事件的非技術方面的跨團隊培訓。
請記住，支付贖金并不能保證刪除被竊取的數據、完全恢復加密數據或立即恢復操作。
不要只依賴網絡保險。高管們對網絡安全保險政策的預期與實際保障范圍之間往往存在脫節。

釣魚攻擊

預計攻擊者:

非常成功。在過去的12個月內，只有不到五分之一的組織沒有受到任何網絡釣魚攻擊。
采用多手段網絡釣魚，一次行動中包括社交工程、語音、短信、電子郵件和網絡攻擊。
從個人轉向專業。他們會利用個人信息冒充員工，將目標鎖定在個人身上，例如，商業電子郵件入侵活動。
利用核實身份的有限方式，冒充個人或管理機構，例如，政府機構工作人員和首席財務官或首席執行官辦公室的成員。
使用合法的云存儲保存惡意軟件。

網絡釣魚使用多種攻擊方式。電子郵件仍然占主導地位，但攻擊者也使用社交媒體、語音信息(“vishing”)、文本信息(“smishing”)，甚至二維碼來收集信息，或繞過專門針對電子郵件和網絡流量的安全控制，或說服個人目標實施特定行動。這些多手段攻擊更難以捕捉，用戶也不太可能接受過如何防范它們的培訓。

當提高對網絡釣魚威脅的意識時，一個好的起點是運行網絡釣魚測試并測量平均失敗率。然而，要注意的是，一系列因素會影響失敗率，從模板的復雜性、員工的角色和他們的網絡/數字熟悉程度，以及在收件箱收到釣魚模擬郵件時可能影響通常警惕的員工。因此，就其本身而言，網絡釣魚模擬的糟糕結果不應該是您的員工或多或少容易受到網絡釣魚的唯一信號。任何報告都應與其他指標(如其他培訓活動中的員工參與率和總體網絡釣魚相關事件的數量)結合起來，以說明您的組織減輕與網絡安全威脅相關的人為因素的方法是否有效。

在模擬釣魚測試中，點擊率是評估釣魚意識的弱指標，可以通過降低測試難度來操控。把重點放在深度防御控制和財務處理過程的強認證上。通過訓練用戶使用良好的判斷來加強，特別是檢測要求提供工作相關活動的冒充者時，非常困難。

根據Proofpoint，失敗率可能會有很大差異。例如，使用附件作為有效載荷的測試失敗率為20%，而平均失敗率為11%。數據還顯示，規模較小、針對性較強的測試成功率可達70%以上。

主要建議:

避免使用全球平均網絡釣魚測試失敗率作為衡量成功的單一關鍵指標。評估端到端安全態勢，包括最有可能影響網絡釣魚措施的有效性，例如欺詐性資金轉移、勒索病毒感染和橫向移動、C2服務器通信和數據竊取。
根據員工的角色、年齡和在家工作的做法，混合進行小規模、有針對性的網絡釣魚測試。
把員工當成一個團隊，而不是對手。避免“羞恥墻”和其他類似的做法。鼓勵和獎勵良好的行為，如電子郵件報告。
在組織的溝通實踐中確保“速勝”：培訓負責內部和客戶溝通的人員，避免看起來太像釣魚攻擊的通知(例如，帶有第三方網站鏈接的電子郵件)。

賬戶濫用

預計攻擊者:

加大收集有效憑證的力度，因為許多憑證仍然沒有得到多因子身份驗證的充分保護。
針對所有類別的客戶：員工賬戶、特權賬戶、承包商賬戶、客戶賬戶和服務賬戶。
試圖濫用遠程注冊程序獲得訪問權限。
利用現有的多因子認證弱點。
自動利用公開入侵泄露的賬戶。
走“低調而緩慢”的路，以避免容積和生物識別機器人的檢測，減緩檢測措施。

只要人們重復使用密碼，賬戶接管(account take over，ATO)就會有一個巨大的“市場”。這代表了攻擊的很大一部分。“憑證填充”(測試從公開入侵中收集的現有憑證)是賬戶接管最基本的類型，但它仍然是攻擊者訪問企業應用程序的一種成功方式。

隨著許多組織大規模地接受遠程工作，用戶注冊等業務流程變得更容易受到攻擊。SolarWinds事件的教訓之一是，讓幫助臺和安全運營部門關注不尋常的請求或批準流程的例外請求，可能比昂貴的網絡安全事件檢測工具更有效。

由于安全項目在定義訪問策略時更多地依賴于身份，身份基礎設施的健壯性成為安全策略的一個基本組成部分。身份和訪問管理必須擴展到基本身份驗證和機器人檢測之外。認證前和認證后的行為監控和更嚴格的檢測服務基本協議是關鍵。此外，這些項目也不能局限于員工的身份。攻擊者還將目標鎖定在第三方和服務賬戶上，因為這些賬戶可以通過API訪問敏感數據。

主要建議:

在用戶生命周期中加強身份驗證和身份恢復。首先，在尚未實施的地方擴大多因子認證。
不允許基于單一信號跳過多因子認證，轉向持續驗證。
修改你對機器人緩解攻擊的“足夠好”的定義，因為有針對性的行動可能依賴于人-機器人方法，將人的行動（如驗證碼庫）和隱秘的機器人結合起來。
通過使用特權訪問管理和/或機器身份管理工具來保護服務身份。
假定賬戶會被入侵。加強監控，減少異常用戶和服務行為的停留時間。

高勢頭威脅

高勢頭的威脅不再僅僅是出現或傳聞。一個組織抵御這些威脅的能力很可能取決于該組織或來自同一行業的另一個組織以前是否受到過此類威脅的攻擊。這類威脅的例子包括對供應鏈、網絡物理系統和API的威脅。

高勢頭威脅包括在數量和影響上不斷增長的攻擊，但與頂級威脅相比，組織對這些攻擊的認識較少。由于安全控制和流程成熟度方面的差距，可能會導致嚴重的損害。

為了適應高勢頭的威脅，安全主管必須增加他們對目標資產的了解，這可能屬于相對較新的業務實踐。從有關API和供應鏈的行業趨勢的報告和統計中學習，將證明在支持相關安全計劃所需的跨團隊工作時是有用的。專業安全初創公司的安全報告也可參考。雖然這些報告可能有多種偏見，包括樣本偏見，但它們可以作為定性而非定量的信息來源。

監測高管如何感知這些威脅也是一個很好的準備方法，CISO面臨的主要挑戰是增加他們和團隊對這些威脅的演變和暴露的了解。

一次有新聞價值的大事件可以迅速將新出現的威脅轉化為高勢頭的威脅。如果有成熟的安全控制措施，為這些威脅日益增長的重要性和影響做好準備，這就不是問題。

在面對高勢頭威脅時，改善組織的安全態勢需要“快”和“慢”之間思維的平衡:

快速：對公開的攻擊或漏洞利用情況做出快速響應。
緩慢：避免過快轉移投資的過度行為。

API濫用

預計攻擊者：

針對你訪問應用程序功能和企業數據而使用的API。
針對你作為應用程序后門的API。
針對安全性差的API，這些API的客戶端身份驗證較弱，或無法正確授權訪問請求，導致它們批準對數據未經授權的訪問。
掃描并利用行業范圍內CVE(如Log4j)，這些漏洞和暴露可能不是只針對API的。
通過掃描和利用方法自動化攻擊和數據泄露，比手動事件響應速度更快。

Gartner已經確定了四個API相關的因素，為了建立API有關的安全程序，安全和風險管理負責人必須考慮這些因素：

已經發布和公開可用的API只是“冰山一角”：它們只代表一個組織生產的少數API(有時只有15%)。大多數API攻擊面包括web和移動應用程序使用的API、API到API的流量(如微服務流量)以及暴露給員工或合作伙伴的API。
API流量的增長速度超過了安全控制的成熟度：API流量在過去兩年增長了50%以上，一些行業，如金融業，已經經歷了三位數的百分比增長。
新型API和應用程序架構帶來了新的漏洞：如今的大多數API都是REST API，涉及到帶有JSON載荷的請求/響應web流量，但安全主管應該期望API開發團隊開發微服務，并使用更新的API技術和新興的應用程序架構。例如，在Postman調查的組織中，幾乎有三分之一的組織表示他們已經在使用GraphQL了。
更快的開發周期和缺乏有經驗的員工給API會造成一場完美的風暴：每個月，有時是每周，API發布周期是最接近DevOps現實的。由于API架構是新的，團隊缺乏經驗并不奇怪。根據Postman的一項調查，76%的開發者擁有5年或更少的工作經驗。大約三分之一的被調查者只有兩年或更短的時間。

Gartner預測“到2025年，只有不到50%的企業API會被管理，因為API的爆炸性增長超過了API管理工具的能力”。對于使用第三方API的組織來說，情況會更糟。

根據Postman對API團隊的一項調查，在部署組織構建的API之前，安全性是最重要的因素，但在組織調用的API(企業應用程序使用第三方API)中，安全性甚至排不到前10位。這導致“影子API”的使用，這將阻礙組織從API供應鏈跟蹤安全問題的能力。對第三方API的依賴類似于對開源庫的依賴。

CISO及其團隊必須充分了解組織的API活動，以確定哪些API威脅與他們最相關：

從互聯網上發現的已知和未知API數量激增。
API團隊越來越多地使用新的應用運行時架構，如平臺即服務(PaaS)和服務網格。
采用如GraphQL這樣的API技術。
更快的DevOps導致在生產環境中更頻繁地出現漏洞風險。

專注于特定API威脅的安全舉措比使用通用安全控制來解決相同的威脅會產生更好的效果。

主要建議:

首先使用自動化工具來分析web應用程序、移動應用程序、部署管道和容器環境，發現并分類面向公眾的API，以便在運行時或部署時發現API。
在你的API保護計劃中包括南北流量(從API客戶端到API后端)和東西(微服務，服務網格)流量。
詳細的API需求和路線圖期望，與您的組織現有應用程序安全測試、web應用和API保護、bot緩解和在線欺詐檢測供應商有關的趨勢保持一致。
購買專業API檢測和響應方法，API使用監測、API風險評估和修復策略建議。
建立詳細的API事件響應手冊，并完善API通信的隔離，以限制任何事件的爆炸半徑。

供應鏈

預計攻擊者:

繼續關注軟件供應鏈漏洞。
繼續瞄準服務提供商，無論是托管服務提供商、云提供商，還是支持以資產為中心的企業的運營和維護公司。
將觸角伸向廣泛使用的開源嵌入式組件。

Gartner將數字供應鏈風險分為四大類：

與供應鏈合作伙伴共享的敏感數據的暴露(例如，每個政府顧問的國防承包商)。
破壞與供應鏈合作伙伴共享的基礎設施，如網絡、軟件、云服務和托管服務(例如，針對Kaseya，遠程 IT 服務管理軟件供貨商)。
通過業務和IT運營中使用的常見商業和開源軟件進行的攻擊(例如，針對Log4j漏洞的攻擊)。
利用銷售給客戶的數字產品中的安全漏洞(工業系統中被披露的漏洞的列表正在迅速增長)。

從本質上講，供應鏈是復雜的，通常是不透明的，它們會產生網絡效應，這意味著，針對一條供應鏈，你可以影響更多的供應鏈。這些特征對威脅攻擊者極具吸引力。

在SolarWinds事件中，一場精心策劃的破壞軟件更新過程的活動在數小時內影響了數千名客戶。因為它們針對的是幾乎每個行業都使用的普遍組件，利用Log4j漏洞的攻擊可能會在未來幾年造成嚴重破壞。

世界各地的政府都在發布強制性指令和框架，但高度敏感的國防信息繼續被竊取，無論是為了間諜目的或獲得經濟優勢。

供應鏈固有的復雜性意味著安全專業人員永遠不能指望完全避免安全故障。因此，有效的領導者必須專注于關鍵任務系統的彈性，把從預料之內的和意外的攻擊中快速恢復作為為目標。

主要建議:

優先努力滿足新出現的監管要求，如NIST SP 800-171，以贏得美國國防部的一些合同，或英國“List X”承包商的安全要求。
采用基于風險的策略，了解最有價值的供應商。與采購團隊合作，確保合同包含與安全控制、漏洞披露程序和防篡改/防偽證據控制相關的條款和條件。還應提供來源的證據，例如只從原始設備制造商或授權經銷商購買，而不是從被禁止的供應商。
要求包含產品、服務、包含軟件的組件、固件、硬件的物料清單。

網絡-物理系統

預計攻擊者:

針對操作或關鍵任務環境中創造價值的資產，有目的構建勒索軟件活動。
在操作環境中鉆得更深，停留的時間更長。
針對工業協議和安全關鍵系統，持續開發專用惡意軟件。

有些系統是為了處理、轉換或生成數據而設計的。一些系統被設計來影響物理世界，是否輸送、沖壓、打開、提取、注入或在沒有直接人類干預的情況下移動。當它們相互連接和連接到企業系統時，它們就變成了網絡物理系統(cyber-physical systems, CPS)，而這些網絡和物理世界的連接極大地擴展了攻擊面。

此外，網絡物理系統通常最接近于組織的價值創造，因為它們的存在是為了支持直接影響公司盈虧或政府機構任務結果的生產方法。

攻擊者的目標已經轉向了這些環境，因為勒索計劃的目的是迫使受害者支付贖金，而停止公司業務運營會極大地增加支付的壓力。

勒索軟件團伙不僅研究出了如何通過網絡攻擊來鎖定受害者，而且一些威脅行為者還在故意制造惡意軟件，如用于工業控制的EKANS和用于安全關鍵系統的Triton/Trisis。

網絡物理集成帶來的攻擊面增加也為新的威脅方式創造了機會，如GPS，干擾和欺騙移動網絡物理系統，以及網絡物理系統捕獲生物特征數據的隱私問題。

主要建議:

優先發現環境中所有網絡物理系統。確定特定的網絡物理系統安全控制已經到位，并記錄差距，以準備行動計劃。
將安全策略、治理和戰術與網絡物理系統直接支持的業務價值和行業需求掛鉤。這種以行業為中心的方法將是交付有益的結果最有幫助的方式，特別是在關鍵的基礎設施部門。
最初專注于一個切實的治理挑戰和一個實用的技術挑戰，然后迭代。操作和關鍵任務環境中的安全變化要求謹慎，技術和文化變化都需要深思熟慮。
隨著業務和連接需要的發展，對網絡安全設計和細分/隔離策略進行現代化設計，而不是事后考慮。

新出現威脅

總會有新的威脅。防范這些風險所需的準備工作將有所不同，這取決于它們是模仿已知的過去行為，還是利用業務和技術上新的破壞手法。安全和風險管理領導必須保持警惕，準備混合戰術變通方案和長期改進計劃。除了監測新的攻擊類別的演變和來自安全廠商的主要趨勢，安全主管必須確保他們的程序足夠靈活，以應對新的情況。

與未來的工作和云相關的威脅(下文將對此進行更詳細的討論)可能很快成為勢頭強勁的威脅，但也可能仍然是小眾威脅。尋找更先進和新出現的威脅的安全領導人也應該監測以下領域：

對固件的攻擊：盡管安全會議經常包含對固件攻擊的POC，但這種類型的威脅仍處于萌芽狀態。它可能成為針對網絡物理系統的勒索軟件使用的技術之一。
對AI應用程序的攻擊：開發AI應用程序的組織將它們當作傳統項目來保護。這些應用的攻擊面是不同的，針對API控制的市場是碎片化的。

未來的工作

預計攻擊者:

對遠程工作員工使用社會工程技術。
在早期的過渡階段，試圖利用組織安全狀況的漏洞來損害資產。
利用服務向云過渡期間的任何錯誤。

2020年6月，在首次大規模在家辦公幾周后，Gartner預計攻擊者的技術將發生變化。自那以后，這些被廣泛報道，針對在家工作的人的釣魚活動和web應用程序的攻擊數量急劇上升，而組織正在努力調整他們的安全操作中心以適應遠程工作場景。

混合工作是未來的工作狀態。業務、人力資源和財務主管正在制定工作場所轉型的戰略，以支持員工不斷變化的期望。新的招聘和運營實踐將產生對新工具和程序的需求，這將導致一系列新的攻擊面。

安全和風險管理的領導者需要以初學者的心態迎接未來的工作趨勢，避免為了控制局面而成為“不受歡迎的辦公室”。

對于這些新的攻擊面，還沒有成熟和有效的安全控制。這是一場信息戰爭。CISO必須繼續與業務利益相關者討論工作實踐中的變化，并接受方向上的不確定性和變化，當我們持續對最近全球混亂作出反應的時候，而這一切將不可避免。

建議:

監控你的組織在勞動力和工作場所現代化方面的計劃。
在設計遠程訪問、終端和應用安全程序時，從“快速擴展”轉變為“長期斗爭”的思維模式。
審核你的組織以前從未考慮過的遠程工作的邊緣場景(例如，安全操作、對關鍵基礎設施的特權訪問和運營技術的云交付維護)。

發展云計算的風險

預計攻擊者:

利用客戶維護云平臺時持續的錯誤配置。基礎架構即服務(IaaS)和PaaS中的工作負載更容易受此影響，但通過身份和API集成，SaaS也是一個目標。
繼續嘗試利用供應商(特別是SaaS供應商)，盡管實際成功的幾率很低。
攻擊廢棄和不支持的資產，獲得初始立足點。

“云”已經有20多年的歷史了，但它仍在繼續變得更加重要和復雜。使用云服務和云服務提供商是當今幾乎所有業務的一個重要方面，這使得對云屬性的攻擊成為威脅形勢的一個關鍵部分。這可能會增加未來的入侵率，但“真正的”云安全事件很少。

在2021年底，UKG(前Kronos)的許多客戶都遭遇了持續一個多月的中斷，這讓SaaS依賴成為了焦點。包括Azurescape、NotLegit、和ChaosDB在內的漏洞突出了IaaS和PaaS風險，盡管這些Azure問題似乎都沒有直接影響到客戶。此外，在2021年12月，AWS發生了三次宕機(盡管每次宕機只局限于特定地區)。

盡管云服務提供商(SaaS、PaaS和IaaS)在2021年遭遇了問題，但在使用云服務時，最大的威脅仍然是客戶錯誤配置或濫用這些日益復雜的服務。

這些中斷和暴露中只有一個與惡意攻擊者的攻擊有關，但它們的業務影響和后果仍然存在。最大的風險仍然是客戶對這些服務的錯誤配置——很大程度上是由于它們的極端復雜性。例如，AWS有超過170個服務和超過7000個身份管理者——所以管理好所有這些是一項艱巨的任務。有效的云安全需要使用自動化工具。因此，參與云安全的安全專業人員應該把調查和獲取適當的工具作為優先項。

當您進入多云世界時，復雜性會成倍增加，特別是當一個云中的應用程序具有另一個云中的元素時。與其試圖預測哪個提供商可能會失敗，不如根據該提供商對您業務的關鍵程度制定適當的應急計劃。

主要建議:

確保對你控制的所有云中區域負責，特別是身份、數據和配置。
購買工具來驗證整個云資產的安全性。不要忽視日益支持關鍵業務流程的SaaS應用。
制定應急計劃，以防關鍵的云服務不可用。
將所有服務的云身份與你的主要身份提供者聯合，并對所有用戶使用強大的身份驗證技術(如多因子認證)。
不要試圖通過使用多云策略，而不是在單個云中創建彈性來抵消云整合風險。這樣引入了復雜且難以確定的依賴鏈，更有可能降低而不是增加可用性。

（完）