9個最大的網絡安全謊言
1. 依靠操作系統供應商能完全防止自身的網絡安全漏洞
依靠操作系統供應商來防止其自身的網絡安全漏洞是不可能實現的,就好像Microsoft Defender號稱它可以保護所有的微軟終端一樣。
誰是網絡安全世界中最大的安全供應商?毫無疑問,你會想到Windows,因為它既是操作系統供應商又是其安全軟件供應商,微軟的安全系統也稱為“Microsoft Defender”、“Windows Defender”和現在的“Windows Security”。
2021 年是 Microsoft系統中出現的漏洞達到了史上最高峰,比如攻擊者瘋狂地利用了 Exchange Server 中的 Microsoft 漏洞,例如 ProxyLogon 和 ProxyShell。緊接著是 PrintNightmare,接下里是 HiveNightmare。
Microsoft Defender 幾乎沒有阻止 Hafnium 和 Conti 組織利用此類漏洞發起的任何勒索軟件攻擊,并且它們在 Defender 中存在的時間超過了 12 年的。
最近的歷史表明,依靠操作系統供應商來防止其自身的網絡安全漏洞是不可能實現的。
2. Mac 是安全的,根本不可能遭遇黑客攻擊
與微軟不同的是,蘋果并不是為了保護自己的產品而銷售安全軟件,但它仍然借著自己是一個封閉系統積極宣傳自己的安全性,將其作為 Mac 相對于其他硬件的獨特賣點之一。事實上,蘋果的產品和其他產品一樣,也需要第三方安全管理。比如最近肆虐的Log4j漏洞,包括蘋果公司、亞馬遜公司、云網絡安全服務公司、國際商用機器公司(IBM)、微軟旗下“我的世界”、帕洛阿爾托網絡公司和推特公司都向其用戶發出了安全警告。再比如2021年底的CVE-2021-30853(CVSS 評分:5.5),攻擊者可以利用該漏洞簡單而可靠地繞過無數基本的 macOS 安全機制并執行任意代碼。
蘋果今年早些時候承認 macOS 確實存在被惡意軟件攻擊的問題,雖然很少有公司將 Mac 用作服務器或網絡控制器,從而避免了勒索軟件運營商的注意,但它們在企業高管和開發人員中都非常受歡迎。這使得企業級 Mac 成為對高價值攻擊目標,而在過去 12 個月中出現的新 macOS 惡意軟件主要是針對特定目標的間諜活動和后門。
與此同時,Mac用戶自己在很大程度上并不知道,惡意軟件可以并確實在許多方面擊敗蘋果使用的內置安全技術。Mac 的內置安全性在很大程度上依賴于代碼簽名、證書撤銷檢查和舊文件簽名。攻擊者繞過這些防護并沒有什么困難,并且與 Microsoft Windows 一樣,操作系統軟件的復雜性使得修復漏洞越來越頻繁。
最重要的是,Mac 的內置安全控件無法讓用戶或管理員看到。作為首席信息安全官,如果沒有外部安全軟件提供防護,你如何知道有哪些 Mac感染了后門、間諜軟件或其他 macOS 惡意軟件?
3.提前預防是不可能的,只需要檢測就可以了
它已成為傳統網絡安全供應商的一個防御失敗的借口了,他們試圖用這個借口為防御套件和 EPP 的失敗辯解,聲稱預防是不可能的,感染后檢測和隔離是唯一現實的防護目標。
但我們已經到了 2022 年,多年來我們一直在使用機器學習和人工智能,任何企業都明白企業的安全供應商完全有辦法完全阻止基于文件的惡意軟件預執行。
完全依賴基于簽名的檢測的供應商應該用可以防止大多數類型的惡意 PE 文件的靜態 AI 引擎補充或替換他們的檢測引擎。更重要的是,信息崗位上的管理者應該拒絕那些告訴他們無法預防的供應商。
4. 零信任安全可以完全確保網絡安全
雖然采用零信任是減少攻擊面的正確方法,但現實是大多數組織無法跨多個資產和安全系統有效地實施完整的零信任架構 (ZTA)。
當供應商提供“零信任 SKU”時,組織應謹慎行事。除了營銷高談闊論之外,實現 ZTA 安全模型還需要跨所有技術進行集成。沒有“即插即用”的方式可以在一夜之間改變你的組織。事實上,從傳統的基于邊界的安全模型到 ZTA 安全模型是一個多年的過程,而對企業的攻擊每天都在發生。
傳統的安全防護是以邊界為核心的,基于邊界構建的網絡安全解決方案相當于為企業構建了一條護城河,通過防護墻、VPN、UTM 及入侵防御檢測等安全產品的組合將安全攻擊阻擋在邊界之外。這種建設方式一定程度上默認內網是安全的。零信任的本質是以身份為中心進行動態訪問控制。零信任對訪問主體與訪問客體之間的數據訪問和認證驗證進行處理,其將一般的訪問行為分解為作用于網絡通信控制的控制平面及作用于應用程序通信的數據平面。
與企業安全方面的許多方法一樣,ZTA 只是提供了一種解決方案,但它不是萬能藥。
5. 移動設備的安全不是必須的
令人難以置信的是,目前還有些供應商和安全從業者仍然沒有意識到企業中移動設備安全保護的必要性。多年來,我們一直在通過移動設備查看商務郵件和訪問工作數據。
移動領域由兩大操作系統供應商 Google 和 Apple 主導,盡管他們采取了截然不同的方法來保護安全,但都明白移動安全的必要性。最近,谷歌專門對 iOS 零日、零點擊漏洞如何危害蘋果用戶做了剖析。以色列一家名為NSO的軟件公司推出名為飛馬的間諜軟件可以幾乎監視全球任何一部iPhone,只需要被監視的人誤點擊一條鏈接就能靜默監控,甚至不需要有任何操作就能監控,令人望而生畏。
盡管如此復雜,但該漏洞并非由民族國家行為者開發,而是由私營企業 NSO 集團開發。在這種環境下,以利潤為導向的攻擊者可以將這種水平的專業知識應用到危害我們的移動設備上。移動攻擊是真實存在的,企業管理者應該應用移動威脅防御措施來跟蹤用戶和設備的行為和操作。
6. 只要將數據備份就可以保護你免受勒索軟件的攻擊
信息安全世界瞬息萬變,沒有一成不變的防護措施。回想 2017 年的 NotPetya 和 WannaCry,當時大多數企業因為沒有備份數據而遭受了無法估量的損失,后來,人們對勒索軟件的防護措施里就多了一條,即備份數據。
然而現在這個經驗并沒有什么參考意義,因為到 2019 年,我們看到第一個人為操作的勒索軟件組織——Maze和 DoppelPaymer開始使用雙重勒索方法:通過公開竊取的數據來威脅用戶,從而支付贖金。現在,如果公司重視數據的隱私,備份并沒有讓他們擺脫被勒索的困境。
雙重勒索已經成為大多數勒索軟件組織的標準操作方式,有的甚至威脅泄露客戶數據或勒索受害組織的客戶。
即便如此,一些組織還是準備死扛到底,冒著數據泄露的風險,從備份中恢復數據。不幸的是,這只會讓攻擊者把賭注提高到三重勒索方式上,除了威脅泄露數據和加密文件外,他們開始用DDoS攻擊淹沒受害公司,迫使他們回到談判桌前。這意味著,再多的備份都無濟于事。
信息安全員要注意的是,勒索軟件運營商從以前的受害者那里獲得了大量現金。他們有能力購買大規模的僵尸網絡,用DDoS攻擊你的網絡,直到你付錢為止。如果條件允許,他們還可以負擔得起從其他罪犯那里購買初始權限的費用,他們也可以負擔得起雇傭人工操作人員(也就是“附屬機構”)來實施攻擊。備份在今天的雙重和三重勒索勒索軟件威脅中毫無意義。
7. 勒索軟件威脅可以由政府解決
我們已經看到了多次有價值和勇敢的嘗試,以對抗因美國政府對網絡犯罪的新關注而導致的勒索軟件激增。
今年5月7日攻擊美國最大燃油系統Colonial Pipeline受到黑客攻擊,Colonial Pipeline向媒體證實該公司支付了440萬美元的贖金以換得解密工具,但因該工具的速度太慢,促使Colonial Pipeline繼續利用自己的備份來恢復系統,一直至5月15日才恢復正常運行。5月30日,全球最大肉品企業JB,遭到網絡攻擊,造成澳洲與北美地區的部分肉品處理產線中斷,美國白宮在6月1日召開記者會時也提及了此事,表示JBS應是遭到來自勒索軟件攻擊。
雖然JBS的總部位于巴西,但此次勒索軟件攻擊的受害者則是JBS的美國子公司JBS USA,因此,當JBS USA遭到攻擊時,也同時驚動了美國政府,白宮與美國農業部皆已派員協助JBS USA。
對抗勒索軟件已成為美國政府的重要政策,美國總統拜登(Joe Biden)也已啟動快速戰略審查,以解決日益增加的勒索軟件意外,包括與私人企業合作以了解勒索軟件架構的分布及參與者,創建一個全球聯盟以向窩藏罪犯的國家究責,擴大對加密貨幣的分析以發現及追查犯罪交易,以及重新審查美國政府的勒索軟件政策。
盡管政府采取行動的努力值得稱道,但網絡犯罪分子并未受到執法部門的威懾。
8.實現網路防御自動化后,你就不需要人工干預了
防護人員的網絡安全技能的短缺是真實存在的,但盡管自動化可以為防護力和效率做出寶貴的貢獻,但自動化永遠不會取代網絡安全中的人的因素。
風險不是靜態的,隨著組織的成熟和業務的擴展,風險面也在不斷增長和變化。更多的服務、更多的生產服務器、更多的流和更多的客戶數據使得降低風險的挑戰不斷提高。由于沒有什么靈丹妙藥可以讓你了解企業的風險,也沒有量化保護企業安全的手段,因此始終需要能夠創新、評估和縮小這些差距的網絡安全人才。
攻擊載體也在不斷進化,三年前,組織依靠對PE和其他可執行文件的靜態分析來檢測和防止惡意軟件。不久之后,我們開始看到無文件的、基于腳本的攻擊,以及成功滲透企業網絡的橫向移動嘗試。像SolarWinds、Kaseya等大規模供應鏈攻擊風暴為風險管理增加了另一個維度。與此同時,勒索軟件經濟創造了一個龐大的附屬網絡,這些附屬網絡使用新的垃圾郵件技術來繞過傳統解決方案。
人類需要技術來幫助擴展、最大化生產力、消除日常的任務并專注于需要關注的關鍵事項,但最好的情況是網絡安全自動化將減少不斷增長的領域和攻擊面。
9. 有了MDR安全服務則萬事大吉
雖然自動化永遠不會取代對人類分析師的需求,但也有相反的情況:人類永遠無法像計算機一樣快速地檢測、響應和修復可識別的攻擊。我們需要以最適合任務的方式使用我們的人力和計算機資源。
在軟件和服務供應商中,托管檢測和響應是越來越受歡迎的產品。隨著部署率增加,這類產品的種類也隨之增加。除MDR外,現在還有MEDR、MNDR和MXDR等。托管終端檢測和響應(MEDR)。此服務的重點主要在終端。那些具有終端檢測保護代理的供應商通常會擴展其產品,為其軟件提供托管檢測和響應。在安全性方面,幾乎沒有萬能的解決方案。但是,在決定哪種服務最適合你的企業和需求時,你需要回答幾個問題,包括以下:
是否涵蓋你的終端?遠程工作和零信任架構突顯終端對企業整體安全狀況的重要性。如果你沒有強大的終端保護程序,MEDR是不錯的選擇。
總結
網絡安全是一項復雜的業務,這是一個無法回避的事實,但做好基礎工作是第一步。減少對操作系統供應商的依賴,部署設備上的終端保護,提供對整個產業的可見性,并培養網絡安全人才,才會避免上述網路安全誤區。
