信息來源:企業(yè)網(wǎng)
2020年全球企業(yè)安全領(lǐng)域的主要趨勢是什么?人們在2020年需要關(guān)注四個安全問題。
企業(yè)需要努力增強其安全狀況,這是安全實現(xiàn)現(xiàn)代化趨勢的一部分,因為安全專家和IT領(lǐng)導(dǎo)者已經(jīng)認識到這樣一個事實,即傳統(tǒng)的網(wǎng)絡(luò)邊界防御和其他長期策略本身并不能在當今的IT環(huán)境中完全消除安全威脅。
企業(yè)需要保持良好的工作狀態(tài),這是因為新的一年將在網(wǎng)絡(luò)安全領(lǐng)域面臨許多新的挑戰(zhàn)。
2020年的安全趨勢:新興威脅
網(wǎng)絡(luò)安全服務(wù)商 Kenna Security公司首席安全工程師Jerry Gamblin說:“2020年將成為考驗企業(yè)在過去五年中部署的網(wǎng)絡(luò)安全防御新策略的一年。由于今年將要舉行美國總統(tǒng)大選,新的勒索軟件攻擊,以及激進國家進行的攻擊和破壞,預(yù)計今年將是很多企業(yè)不斷做出反應(yīng)的一年。很多企業(yè)需要在快速變化的威脅形勢中努力保持領(lǐng)先地位?!?
但是,對于許多企業(yè)而言,最直接的威脅可能不是頭版新聞中提到的。
Gamblin說,“在系統(tǒng)修補和維護方面落后的企業(yè)將繼續(xù)成為惡意行為的目標。”
毫無疑問,這些問題依然存在。例如,如果企業(yè)在諸如密碼和其他證書等方面的安全習慣一直很差,那么會怎么樣?當企業(yè)采用云計算技術(shù)和現(xiàn)代IT的其他特征時,這仍然是一個問題。
因此,從操作實踐和組織文化的角度出發(fā),重新審視基礎(chǔ)知識并確保安全始終是一個好主意。除此之外,Gamblin和其他安全專家還預(yù)測了2020年企業(yè)威脅領(lǐng)域的幾個關(guān)鍵趨勢,這是企業(yè)在2020年應(yīng)注意的四個問題:
1.云原生技術(shù)需要云原生安全策略
簡單的安全模式一次又一次地發(fā)揮作用:隨著平臺或生態(tài)系統(tǒng)的普及,越來越多的威脅也隨之而來。
瞻博網(wǎng)絡(luò)公司技術(shù)安全主管Trevor Pott表示:“用戶群越大,網(wǎng)絡(luò)攻擊者的目標就越豐富?!?
隨著云計算環(huán)境(尤其是多云策略和混合云基礎(chǔ)設(shè)施)繼續(xù)成為一種運營規(guī)范,不良行為者越來越關(guān)注這些環(huán)境,以期希望找到可利用的安全漏洞。他們還利用了相關(guān)的工具和技術(shù)(例如容器和編排器)作為可能的攻擊媒介。
Fugue公司首席技術(shù)官Josh Stella將此視為今年企業(yè)云安全的主要趨勢之一,他說,“高級云原生攻擊的出現(xiàn)——這些攻擊利用了錯誤配置的云計算資源,以獲得對環(huán)境的訪問、橫向移動和提取數(shù)據(jù),而無需通過傳統(tǒng)的安全分析工具進行檢測。”
不過,這里有個好消息:隨著云原生技術(shù)以及使用這些工具的IT專業(yè)人員不斷成熟,它們的安全特性以及最佳實踐的普遍認知和實施也日益成熟。Kubernetes就是一個很好的例子:社區(qū)已經(jīng)對開源平臺的安全性做出了明顯的承諾,而且似乎已經(jīng)得到了回報。
StackRox公司產(chǎn)品營銷副總裁Michelle McLean指出,“在2019年底,CNCF完成了對Kubernetes的首次全面審核,這表明Kubernetes是用于容器編排的基礎(chǔ)安全且功能齊全的平臺。對云原生堆棧安全性的信心日益增強,其好處將在2020年及以后延續(xù)。隨著人們了解有關(guān)保護Kubernetes和容器的最佳做法的更多信息,我們將看到越來越強大的環(huán)境,從而提高了企業(yè)利用云原生技術(shù)的運營價值的能力。”
Red Hat公司首席安全架構(gòu)師Mike Bursell指出,人們對機密計算的興趣與日俱增:簡而言之,這將加密靜態(tài)數(shù)據(jù)并將加密傳輸中的數(shù)據(jù)。Bursell說,“很多企業(yè)意識到,有些工作負載過于敏感,無法部署到它們不擁有或無法完全信任的主機上,監(jiān)管機構(gòu)也對此表示贊同。我們可以期望看到該領(lǐng)域的新項目和技術(shù)越來越受到人們的關(guān)注和歡迎?!背闪⒂?019年10月的機密計算聯(lián)盟已擁有20多個成員,并向其捐贈了三個開源項目,其中包括Enarx(這是一個使用WebAssembly在多個硬件平臺上提供可信賴的運行時的項目)。
2.繼續(xù)對安全責任進行重新思考
這也意味著重新審視和修訂傳統(tǒng)的安全孤島和角色。例如,近年來關(guān)于DevSecOps和安全性“左移”的一般原則有很多討論,這意味安全性遷移引起人們的重視,而不是在代碼進入生產(chǎn)環(huán)境之前將其視為最后或接近最后的一步。
不管怎么說,這里的想法都不能將安全視為利基需求。“安全是每個人的責任”聽起來像是一種陳詞濫調(diào),但其中至少有一部分事實。
McLean說:“人為錯誤是大多數(shù)安全事件的核心。容器和Kubernetes有很多功能。有時,DevOps與安全團隊之間的協(xié)調(diào)有限,使該基礎(chǔ)設(shè)施的安全保護更具挑戰(zhàn)性?!?
考慮到這種討論本質(zhì)上涉及人們的日常工作職責(即添加新職責,以及將職責與他人剝離的觀念),這將在某些組織中引起持續(xù)的辯論和分歧。
Aqua Security公司戰(zhàn)略副總裁Rani Onsat說,“DevOps團隊將發(fā)現(xiàn)自己承擔越來越多的責任,包括更多的安全性和質(zhì)量自動化,隨著企業(yè)采用規(guī)模不斷擴大的DevOps實踐,對業(yè)務(wù)和關(guān)鍵任務(wù)應(yīng)用程序的影響不容忽視?!?
Fugue公司Stella看到了與云原生攻擊同時出現(xiàn)的趨勢:讓開發(fā)人員對其代碼的安全性承擔更多責任。
Stella說:“開發(fā)人員將通過軟件工程工具(如策略驗證代碼和對嚴重錯誤配置漏洞的自動補救)對云計算基礎(chǔ)設(shè)施的安全性擁有更多保證。那些投資于為其開發(fā)人員提供確保其云計算環(huán)境安全所需的工具的能力的企業(yè)將有機會抵御高級云原生攻擊?!?
McLean指出,保護應(yīng)用程序和基礎(chǔ)設(shè)施安全的“固定”方法注定要因現(xiàn)代技術(shù)堆棧而失敗。
McLean說:“直到最近,安全性通常還是開發(fā)過程中的事后考慮?!蜃筠D(zhuǎn)移’的心態(tài)是云原生開發(fā)所必須的措施。在技術(shù)棧或DevOps流程中,在安全性方面落后是行不通的,例如,在構(gòu)建階段獲得正確的配置對保護基礎(chǔ)設(shè)施至關(guān)重要?!?
無論企業(yè)的安全角色和職責如何變化,都希望自動化成為跨角色和團隊的更強大的安全保障之一。
Osnat說:“傳統(tǒng)的IT、安全、質(zhì)量保證和合規(guī)團隊一直在使用的流程和方法通常與DevOps的敏捷性不兼容,并且無法應(yīng)對變化的速度。解決方案在于將許多這樣的實踐自動化到DevOps流程和工具鏈中,從而實現(xiàn)更集成的‘及早發(fā)現(xiàn),快速修復(fù)’環(huán)境?!?
3.憑證填充嘗試次數(shù)增加
瞻博網(wǎng)絡(luò)公司的Pott預(yù)測,憑證填充的做法(將其視為黑客使用自動化擴展其操作的版本)將越來越多地被用來攻擊大量云計算服務(wù)提供商的帳戶,作為一種突破大型企業(yè)防御措施的手段,尤其是在公共云的廣泛保護下的平臺。
Pott說:“隨著人們進入2020年,憑證填充攻擊正在增加。這并不奇怪,因為每年被泄露的證書數(shù)量都在增加,而且各種數(shù)據(jù)泄露的規(guī)模都會定期刷新記錄?!?
Pott說:“在2020年及以后,安全專業(yè)人員應(yīng)該特別關(guān)注軟件即服務(wù)(SaaS)應(yīng)用程序和基礎(chǔ)設(shè)施即服務(wù)(IaaS)帳戶,尤其是那些主要云計算提供商的帳戶。但人們?nèi)匀辉谌蚧ヂ?lián)網(wǎng)上重復(fù)使用憑據(jù)。多因素身份驗證將是最好的防御方法,但在實際使用中仍會有所保留?!?
4.終端安全挑戰(zhàn):還沒有發(fā)現(xiàn)
就像傳統(tǒng)的網(wǎng)絡(luò)邊界變得模糊不清一樣,人們對“端點”的看法也是如此。端點安全曾經(jīng)用來保護用戶的筆記本電腦和手機。而現(xiàn)在,這可能意味著要保護冰箱、門鈴或大量其他連接設(shè)備(通常稱為物聯(lián)網(wǎng))的安全。
瞻博網(wǎng)絡(luò)公司全球安全戰(zhàn)略總監(jiān)Laurence Pitt說:“為了更高效、更環(huán)保、對市場變化做出反應(yīng),企業(yè)面臨著利用物聯(lián)網(wǎng)實現(xiàn)這一目標的壓力。更大的挑戰(zhàn)來自于這些連接到企業(yè)網(wǎng)絡(luò)的其他物聯(lián)網(wǎng)設(shè)備,在企業(yè)網(wǎng)絡(luò)中,采用物聯(lián)網(wǎng)的速度往往與業(yè)務(wù)和安全斗爭的速度保持一致。其中許多在設(shè)備級別沒有內(nèi)置安全性,因此需要將安全性視為總體網(wǎng)絡(luò)態(tài)勢的一部分。”
盡管物聯(lián)網(wǎng)正在蓬勃發(fā)展,但其安全隱患實際上仍處于起步階段。Pitt說:“隨著新的物聯(lián)網(wǎng)的推出,在安全團隊努力更新系統(tǒng)和打補丁的同時,犯罪分子也有更多機會濫用這個媒介,并獲得訪問權(quán)限。”