2021年RSA大会上值得关注的十大网络安全问题

2021年RSA大会已于本周开幕，IT外媒CRN为此采访了九家知名厂商的高管，以了解他们预计哪些网络安全问题会成为今年这届大会的话题。

虚拟展会，现实问题

在过去的29年，RSA大会已成为全球企业和技术信息安全专业人员齐聚一堂的盛会，去年36000多名与会人士在新冠疫情加剧的形势下，讨论网络安全数据、技术创新和思想领袖等方面的最新动态。

2020年2月下旬，650多家公司涌入旧金山莫斯康展览中心的两层楼，以展示各自的最新产品，大约520场宣传教育会议涵盖一系列广泛的主题，从隐私和开源工具到机器学习和区块链，不一而足。不过线下展会付出了代价，Exabeam公司的四名员工新冠病毒检测呈阳性，一名员工更是因新冠病毒昏迷了整整两周。

今年的RSA大会是一场完全采用虚拟形式的盛会，包括300多场会议，涉及20场宣传教育分会，涵盖主题演讲、合作伙伴研讨会、互动会议和赞助商通报会。组织者在2020年5月将为期一周的2021年RSA大会的开幕时间从2月8日推迟到5月17日，希望办一场线上线下相结合的盛会，但在2020年11月声称取消线下活动。

2021年RSA大会已于17日开幕，IT外媒CRN为此采访了九家知名网络安全厂商的高管，以了解他们预计哪些会是今年这届盛会关注的重点领域。从由人操纵的勒索软件和愈演愈烈的漏洞武器化，到保护远程工作人员和安全情报自动化，这些是最顶尖的安全专业人员所关注的几个方面。

借助XDR遏制勒索软件

Sophos的首席执行官克里斯•哈格曼（Kris Hagerman）表示，勒索软件团伙通常设法潜入受害者组织，然后采用众多手法在受害者的网络中扩大攻击范围。这常常成为一场较量：一边是攻击者从一个目标转移到下一个目标，以查找和泄露有价值的信息，另一边防御者试图关闭大门、堵住通道，以最大限度地减少信息泄露。

哈格曼表示，妥善实施的扩展检测和响应（XDR）技术可以消除网络、端点、服务器和电子邮件安全等产品之间的缺口，从而加大攻击者得逞的难度。他表示，人们一直在竭力迅速查看一家公司的所有数据，依靠自己获得可付诸行动的洞察力，企业应充分利用自动化和机器学习来加快这个过程。

哈格曼表示，与此同时，分析人员在更高级攻击的模式识别方面可以发挥非常重要的作用。他表示，通过将一家组织的所有信息与一组丰富的遥测数据和细粒度数据放在同一个位置，实施得当的XDR就能防止和检测勒索软件攻击。

边缘的出现

RSA首席执行官罗希特•盖伊（Rohit Ghai）表示，去年，企业将重心由数据中心内部的资产转移到企业网络外面的情况。盖伊表示，这引起了人们重新对身份及访问管理、物联网及运营技术监控以及端点检测和响应产生兴趣。

盖伊表示，确保边缘安全始于让用户在企业网络上成为合规的角色，这就需要在提供登录信息时和用户在网络上实际进行工作时都验证身份。由于身份信息随时可能遭到泄露，盖伊表示这一步至关重要：不断验证身份，而不仅仅是在登录时验证。

据盖伊声称，如果组织无法完全控制用户所在的环境，比如家庭网络或关键基础设施环境，强大的身份验证产品至关重要。他说：“在您无法控制的环境中，您无法信任任何人。”

人为操纵的勒索软件

据迈克菲首席技术官史蒂夫·格罗布曼（Steve Grobman）声称，人类对手能够找到受害者组织中最薄弱的环节以索要赎金，可以执行能够突破防御者的传统控制措施的攻击计划。格罗布曼表示，具体来说，操纵人员可以进行侦察，更深入地了解受害者的攻击面，然后根据侦察的情况调整攻击手法。

格罗布曼表示，操纵人员可以在受害者组织中尝试多种手法，直至找到切实可行的那种手法，由一种特定的漏洞利用程序换成下一个漏洞利用程序。格罗布曼称，如果发现目标组织在使用易受攻击的应用程序、配置或操作系统，操纵人员可以做出实时决策，以决定如何利用该信息，发动有效而致命的攻击。

他表示，要智胜对手，最好的方法是借助一支训练有素的网络操作团队，并配备最好的检测技术。执行侦察的行动在端点检测和响应（EDR）或扩展检测和响应（XDR）工具中会作为可疑活动显示出来，从而使训练有素的网络防御团队可以在黑客大搞破坏之前将对方揪出来。

网络保险

卡巴斯基北美区董事总经理罗布·卡塔尔多（Rob Cataldo）表示，网络保险商要求向投保公司加大投入，以帮助控制所提出索赔的数量。卡塔尔多表示，具体而言，保险公司要求学区及其他投保人既实施端点检测和响应（EDR）产品，又实施事件响应保留产品。

检测可疑活动不足以确保组织安全，因此保险公司希望确保投保人能够开展全面的数字取证调查工作，以应对安全事件并尽快恢复。他表示，如果拥有事件响应保留产品，受害者比较容易更改配置、改变安全状态，以防止类似的攻击事件再次发生。

卡塔尔多表示，出人意料的是，随着网络保险日益成为一种行业标准和法规要求，这反而给了黑客实施勒索软件攻击的更大动机，因为受害者现在可以通过保单获取资源，从而可以支付赎金。网络保险在全球2000强企业和学区中非常普遍，正在中小企业领域加快采用。

漏洞武器化

据SonicWall总裁兼首席执行官比尔•康纳（Bill Conner）声称，黑客在软硬件漏洞武器化方面已变得极其有效；对手投入大量资源，伺机寻找产品的薄弱环节。因此，康纳表示，防御者需要确保所有的操作系统是最新版本，并经常执行渗透测试工作。

康纳说：“黑客每天对您进行测试，这些新手法的存留期只有数周，而不是数年。人们不能松懈，必须更新、保持版本最新。”

据康纳声称，企业需要从网络管理员往下，重新审查整套身份验证方案，因为对手会攻击客户组织和合作伙伴组织的关键用户。康纳声称，防御者的目光不能仅限于网络分段，还要让同时处理应用程序的多个管理员齐心协力，让企图冒充用户的活动更难得逞。

安全情报自动化

思科负责安全与协作的高级副总裁兼总经理吉图•帕特尔（Jeetu Patel）表示，从制定策略和修复漏洞到检测威胁和异常，几乎所有安全情报功能过去都是人工操作。帕特尔表示，但是信噪比变得越来越难以管理，因为大多数公司拥有如此多的数据，这无异于大海捞针。

许多组织正寻求帮助，以优先处理需要完成的紧急工作；帕特尔表示，这可以通过利用机器学习模型和智能模式检测、更有效地关联事件来完成。帕特尔表示，从评估风险到应对异常行为，需要融入自动化情报，让产品对客户来说很有用。

帕特尔表示，企业可以减轻网络运营和安全运营专业人员的负担，只要让他们可以从一个地方来集中制定策略和批准应用程序。可以利用机器学习，为企业建议默认设置和策略，从而大大简化安全管理的繁琐部分，以便专业人员专注于处理更重要的任务。

消除XDR周围的噪音

据趋势科技首席运营官凯文•西姆泽（Kevin Simzer）声称，现在，一大批从不同地方获取、关联和综合数据的安全公司都自称是扩展检测和响应（XDR）厂商，客户需要设法辨别真伪，弄清楚谁真正拥有足够广泛的产品组合，提供来自多个地方的遥测数据。

精明的客户应寻求这种广泛的产品：可以为端点、电子邮件、网络和云等工作负载提供开箱即用的连接，无需任何集成或专业服务工作。许多XDR厂商声称他们可以获取来自多个地方的数据，但是如果设置另外需要大费周折，西姆泽表示许多企业很难实现目标。

西姆泽表示，客户还应该检查声称提供XDR的厂商具有的数据湖和控制台功能，以确保对方的威胁搜寻和取证分析产品符合标准。考虑到安全事件很常见，西姆泽表示，XDR厂商应该能够深入了解安全事件的根源，弄清楚客户环境中真正发生的情况。

确保远程工作人员安全

思科安全首席战略官杜格•宋（Dug Song）表示，随着用户日益在IT部门不知情的情况下自行购买SaaS产品，企业正在规范、简化和精简IT生态系统方面寻求帮助。宋表示，与此同时，在新冠疫情促使企业向远程工作转移之后，企业必须守护庞大得多、复杂得多的攻击面。

宋表示，从员工使用公司设备和网络向员工使用个人计算机、访问网络外部的公司资源转变，已将端点暴露在新的不同威胁的面前。企业应整体了解全部终端，包括公司本身不管理的那些终端，以获取更全面的信息。

据宋声称，组织可以通过将所有VPN和设备整合到云托管的单一实体，实行一键式集成以部署云安全或SD-WAN，从而减少IT资产的占用面积。宋表示，如果公司可以更深入地了解支持遥测和威胁搜寻的终端环境以及基本的IT操作使用场景，也能从中受益。

阻止勒索软件引起的损失

IBM安全总经理玛丽•奥布兰（Mary O’Brien）表示，在勒索软件攻击期间，公司专注于缩短平均恢复时间以及敏感客户数据的丢失。奥布兰表示，正如SolarWinds攻击所表明，恶意软件可以通过特洛伊木马潜入企业，可以长时间潜伏下来，这意味着企业应维护备份的多个副本。

奥布兰表示，具体来说，公司需要确保他们没有备份到系统也被感染的时间点。 据奥布兰声称，客户日益接受这个想法：拥有多个时间点的多套备份，以加快恢复速度，并确保客户数据未丢失。

奥布兰表示，除了备份外，网络分段可通过最大限度地阻止黑客访问非常敏感或非常有价值的数据，有助于遏制潜在的破坏。据奥布兰声称，客户对勒索软件忧心忡忡：从敲诈勒索、破坏核心业务基础架构，到丢失客户数据和违反合规要求，不一而足。

敲诈勒索软件的受害者

据Fidelis网络安全公司总裁兼首席执行官阿努普•戈什（Anup Ghosh）声称，许多公司已经开始从品牌和责任的角度，更认真地考虑勒索软件攻击引起的风险。戈什表示，如果泄露的数据使公司处于不利或尴尬的境地，除了品牌可能受损外，它们还可能需要为泄露客户数据承担责任。

戈什表示，具体来说，内部电子邮件和商业机密非常敏感，如果它们被公开披露，会对组织造成重大损害。戈什表示，如果黑客利用受害者的恐惧情绪，可以迫使组织支付赎金，避免被公众关注。

戈什认为，客户全面洞察端点、网络和云，以保持随时了解最近发生的重大攻击，这点很重要。他还希望联邦政府在帮助私营部门的组织响应针对关键基础设施的勒索软件攻击方面发挥作用。

参考来源：https://www.crn.com/slide-shows/security/10-cybersecurity-issues-to-watch-for-at-rsa-conference-2021/1?itc=refresh

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。