近日,Check Point Software首席信息安全官皮特就当前网络安全形势谈及了他的思考,一方面,Lapsus$正向国际知名公司提出挑战,另一方面,俄乌冲突背后的网络威胁也在进一步升级。为应对两条“战线”上的安全趋势,网络安全警告不绝于耳。皮特也对近期的安全威胁和风险进行了回顾,并对应提供了相应的安全建议:
1. 内部威胁:黑客组织通过向公司员工支付报酬以破坏公司内部网络和资源。甚至还会向员工提供大量的额外补偿,以访问数据库或管理其他公司的IT运营,这样他们就可以来扩大受害者的数量(例如 Solar Winds、Kaseya)。
对策:通过确保员工只被授予其工作所需的访问权限,并确保在不需要时访问权限是过期状态,从而强制实施“最小特权”。为高度敏感的系统和办公套件添加额外的身份验证,如多因素身份验证。确保对特权访问进行监控,并设置参数以在检测到异常访问或可以防止进一步入侵时触发警报。
2. 零日攻击:大多数安全防御都可以被攻破,因为它们缺乏阻止零日攻击的技术。零日漏洞被用作最初的妥协机制,黑客登陆后并扩展,窃取凭据,寻求升级权限并获得对关键资产的访问权限,启动勒索软件加密,破坏运营或窃取知识产权。
对策:确保所使用的工具必须能够防止零日攻击。大多数工具只能检测到新型攻击,有些甚至完全漏掉了它们。所以需要寻找能够预防而不仅仅是只能检测的安全套件。查看MITRE ATT&CK框架测试结果并选择表现最佳的。确保所有身份验证工具、SAAS访问、审计和资源日志的记录登记到位。
3. 勒索软件和加密勒索:这仍然是第一大漏洞,应立即审查和解决此风险。不应指望员工成为最后一道防线,因为每个人都很容易被最新的黑客伎俩所愚弄。而安排的员工培训也其实收效甚微。
对策:最新的电子邮件保护工具现在都是基于API的,因为传统的电子邮件安全网关方法正在被淘汰。基于API的电子邮件保护对于试图了解用户正在使用的工具的黑客来说是无形的。最新的基于API的保护利用了人工智能、机器学习和威胁源信息。
4. 没有安全专业人员或预算大的中小型公司:这是与上述类似的威胁。许多公司负担不起安全专业人员、全天候监控或最新工具和保护措施。
对策:通过合理的成本外包来解决专业人员不足和企业级安全问题。通过有经验的 MSSP(安全托管服务提供商),查看他们正在使用的工具以及发送给客户的报告和票证。要求提供参考资料和员工凭证。签订短期试用合同以了解它们。
5. 远程工作者风险:工作者在除了办公室以外的任何地方工作,应该仔细研究与远程工作相关的风险。允许员工使用个人笔记本电脑、个人手机和不安全的家庭无线网络的公司将大大增加风险。
对策:为员工提供公司的笔记本电脑和手机可能会花费更多的前期成本,但另一种选择是代价高昂的计划外的入侵。当前用于笔记本电脑和手机的终端工具可以消除与远程工作人员相关的数十种风险:防止密码重复使用、防止数据泄露、阻止访问危险网站以及防止恶意软件和勒索软件执行。
确保部署了VPN或零信任工具以降低家庭网络受损的风险。寻找具有单一控制台的工具,以便监控和控制所有远程工作人员、云资源和物理防火墙。
6. 没有提前做好准备的风险:大多数小公司都没有为毁灭性的网络事件做好准备。大多数人没有网络保险或应急计划。当安全事件发生时,业务通常会停止,成本也会增加。
对策:检查和更新业务系列计划和事件响应计划。在了解业务、恢复时间和所拥有的资源后,寻求可以制定这些计划的安全合作伙伴帮忙。仔细阅读本行业内相关规范文件,并查看安全供应商或 MSSP提供的示例计划,以确保它们是完整的并覆盖所有场景。
7. IT 流程不佳的风险:中小型公司面临着修补所有系统并需要保持最新状态的挑战。此外,还需要确保对所有系统进行适当备份,以防勒索软件攻击或其他业务中断。
对策:确保内部员工或寻找外包团队能在30天内为每个操作系统和应用程序打上关键、高和中风险级别的补丁。确保系统经常备份,并考虑使用两个不同的系统,如果一个系统受到损害,还有另一个后备方案。寻找在修补和备份方面经验丰富的合作伙伴合作。
威胁和风险是真实存在且不断增加的。要想让机构组织免受这两个浪潮的影响,就得做好充分准备,利用各种工具或方法来降低网络攻击的发生率,以保证公司的网络安全。