近年来,针对最新网络威胁或攻击活动,政府与行业网络安全人员都会做出被动性响应,这导致降低网络威胁变得很困难,因为从一开始,网络防御就落后攻击者一步。

一系列针对重要目标(包括SolarWinds、克洛尼尔输油管道, OPM, Anthem)等网络攻击向防御者敲响了警钟,暴露出当前防护模式的缺陷和被动性。被动防御思维在逐渐发生变化。

我们对网络设备、企业和应用互联的依赖不断增长,恶意软件和黑客的网络入侵也在不断增加。包括各种犯罪组织、黑客和敌对民族国家的网络攻击者不断增加。

Cybersecurity Ventures公司预计,未来五年,全球网络犯罪成本将以每年15%的速度增长,到2025年将达到每年10.5万亿美元。此外,随着向远程工作模式迁移,以及对创新技术和服务的采购需求增加,网络风险环境也发生了变化,催生对网络安全新范式的需求。

IT对业务的重要性不断增强,以及网络攻击活动的急剧增加,人们越来越认识到,对攻击活动的防范工作不仅是必要的业务成本,也是确保业务连续性和维护企业声誉的必要手段。业界和政府已经越来越多地认可和采用主动网络安全防御手段。

主动安全=风险管理

在不断发展的数字生态系统中,实施主动安全策略,不仅是指采购技术和雇佣人才,还意味着采用新的网络安全框架,其中包含战术手段、加密、验证、生物特征、分析以及持续测试、诊断和缓解等一系列安全措施。简而言之,主动网络安全能帮助实现业务的连续性。

从核心意义上讲,成功的网络威胁应对战略可以缓解风险、响应突发事件,以保持业务连续性。感知不断变化的网络威胁形势,为所有潜在情景制定应急计划,是非常关键的措施。风险管理战略要求加强态势感知、信息共享,尤其是网络弹性规划。

网络漏洞风险评估是实现主动网络安全的基础,是网络安全最佳实践的关键第一步。它可以快速识别网络漏洞并确定漏洞优先级,以便可以立即部署解决方案,保护关键资产免受恶意网络行为者的攻击,同时可以立即提高整体运营安全。

全面的风险管理方法应包括网络安全最佳实践、教育/培训、使用政策和许可、配置网络访问、代码测试、安全控制、应用程序、设备管理、应用控制和定期网络审计。

目前,可以通过三种策略来加强网络安全风险管理,这包括设计即安全(SecureBydesign)、纵深防御和零信任。设计即安全(Secure By design)维护安全流程;通过纵深防御部署多层冗余保护措施以防止数据泄露;零信任则通过身份验证和适当的授权来实现严格的身份和访问管理,重点保护企业资源(包括资产、服务、工作流、网络帐户等)。

具体的主动安全方法因环境而异,但连接网络安全各个要素的网格是态势感知与紧急情况下关键通信的系统能力的结合。该指导原则在美国政府国家标准与技术研究所(NIST)为工业和政府部门制定的指南得到体现,即:“识别、保护、检测、响应、恢复”。

第一步:代码和应用测试

测试软件代码是信息技术产品验证的关键功能。如果不遵循测试流程,产品最终可能存在缺陷,使机构面临风险。检测和修复软件开发中的缺陷是确保产品最终质量的有效方法。

评估需要从应用安全测试开始,以识别代码或软件错误配置中可被利用的漏洞,或发现应用中已存在的恶意软件。代码是应用和网络的基础,防范和预防网络攻击要从发现代码的已知和未知漏洞开始。

新发布的代码,特别是第三方软件,在网络安装之前,需要彻底进行识别、评估和验证。行业主管机构网站(如CERT)和安全公司发布的预警对于网络安全团队监控新的已知漏洞非常重要。

新发布的代码存在威胁,许多应用和程序可能已在有缺陷和违规接入点的系统上运行了,也是威胁的来源。作为漏洞评估的一部分,需要检查遗留代码的补丁和任何新发布的代码。每个应用都从软件编码开始,用相关检测标准来优化和发现漏洞。这些工作可以通过可视化扫描和渗透测试来完成,包括验证/确认存在漏洞的源代码。测试和验证测试的目的是在问题被带入产品并污染网络和设备之前,能够及时发现它们的存在。

已知的问题往往明确的。软件测试、评估和验证的一大挑战是要能预测网络安全中的未知威胁。这些未知威胁可能包括检测无法被沙箱、基于签名和其他行为识别的隐藏恶意软件。

对大多数公司来说,软件测试能够确保产品质量。在问题进入市场之前提前得到解决。测试能够检查产品的一致性、用户界面和功能,并转化为客户满意度。如果计划发布应用,有必要检查该品在各种操作系统和设备中的兼容性和性能。

测试与预算相关,因为它具有成本效益。在软件开发过程中可同步规划软件测试,可以实现在软件开发生命周期的初始阶段,捕获并修复软件缺陷和错误配置,从而节省软件开发成本。

软件测试还要考虑的一个重要因素就是安全性。如果开发中的产品中内置安全功能,则能够提高用户的信任度。在网络威胁行为日益复杂的情况下,产品安全是行业和政府软件的一项基本要求。

持续仿真验证测试的需求

在现实中,网络入侵并不是一种静态威胁,黑客总是在战术和能力上不断演变。网络犯罪份子现在使用更强的规避技术,如果恶意软件检测到是在沙箱运行或检测到其它恶意软件检测能力,恶意软件甚至可以停止运行。

漏洞利用组件注入目标系统后,软件就会运行代码注入或篡改目标系统的内存空间。通常,犯罪分子使用地下或暗网出售的被盗证书绕过反恶意软件大检测和机器学习代码。行业和政府必须采取更多措施应对和遏制网络威胁的挑战。

由于黑客利用复杂且不断增长的攻击面,测试需要超越传统的漏洞扫描和手动渗透测试。它还需要实现自动化,以跟上不断进化的网络环境,预测黑客可能的攻击行为,并配备有效的防范手段。这些可通过持续的模拟验证测试来实现。

通过模拟验证,可即时查看防御结果,还可频繁执行测试,不依赖于测试人员的技能水平,而这可能是导致漏洞大脆弱点。

鉴于每天都会在网络中出现新的攻击载荷和形式,持续模拟验证测试,再结合渗透测试,是很好的应对途径。目前有几家供应商提出了不同的持续安全验证解决方案。供应商Cymulate表示,2021对企业最大的威胁包括LockBit, Conti 和Dharma 勒索软件HAFNIUM, TeamTNT,以及滥用Log4j 的APT29。Cymulate的模拟验证方法采用即时威胁智能模块,通过在事先创建的测试场景中模拟潜在新型威胁,以评估和优化企业电子邮件网关、Web网关和端点安全控制。

模拟攻击非常有效,因为蓝队可以通过该方法,集成现有安全应用和系统(包括漏洞管理、EDR、SIEM、SOAR和GRC系统),来评估和调优自身的检测、告警和响应能力。

网络弹性和业务连续性

遭受攻击后,必须持续不断提升网络弹性和业务连续性,以优化和完善响应协议、培训安全人员以及部署自动检测和备份等技术。

提升网络弹性、保持业务连续性、增加技术创新,加强政府和行业负责人之间的合作,这是经验证、行之有效的模式。政府和私营机构可以合作发现有效的安全产品,协调灵活的产品发展路线,评估技术差距,帮助设计、评估和模拟可扩展架构,以提高企业效率,优化问责制度。

信息共享也是保证网络弹性和业务连续性的关键一环,因为它有助于行业和政府了解最新的病毒、恶意软件、网络钓鱼威胁、勒索软件、内部威胁,尤其是拒绝服务攻击。信息共享也可以建立有效的经验总结和网络弹性工作机制,这对于商业成功和打击网络犯罪至关重要。过去几年,美国国土安全部关键设施网络安全局(DHS CISA)扩大了信息共享计划,特别是与参与关键基础设施运营的企业加强信息共享。

主动安全要求必须加强与董事会、管理团队的有效沟通。CISO、CTO、CIO和管理层必须协调战略、加强合作,并定期评估信息安全计划、安全控制和网络安全。如果入侵影响到公司的运营,则通常需要声誉管理。

安全补救措施对业务连续性很重要。不管怎样,入侵事件总会发生。为了实现网络弹性的有效性,行业和政府应制定安全响应计划,包括事件减缓、业务连续性规划以及安全备份协议,以有效应对网络和设备被入侵。技术培训和桌面演练可以改进真实网络攻击事件发生时的安全响应计划实施。

吸纳过去数年的最佳实践及从安全事件中吸取的教训,对构建防御计划中的攻击预防、恢复和连续性要素提供了宝贵数据。不幸的是,许多企业在准备和分析安全事件时仍然疏忽大意。Wakefield Research最近的一项研究发现,三分之一的中型组织缺乏安全响应计划。

新兴技术挑战

新兴技术既是网络防御者的工具,也是威胁攻击者的工具。当前的网络威胁面包括人工智能、机器智能、物联网、5G、虚拟和增强现实以及量子计算。

自动化技术结合人工和机器智能,是新兴的未来网络安全方法。人工智能(AI)将成为网络安全的一大催化剂,推动实现实时威胁检测和分析。公司通过该技术能够监控到其系统中有什么,以及异常的行为。

人工智能可被犯罪黑客恶意使用,用来发现网络漏洞并自动实施网络钓鱼攻击。如果企业不使用自动化安全防护,或者不理解此类技术被滥用的影响,将严重损害网络弹性和连续性。在不久的将来,人工智能和其他新兴技术都将对安全和运营模式产生颠覆性影响。应对新的和更复杂威胁将是未来十年网络弹性和业务连续性的基础。

在当今复杂的威胁环境中,企业要生存和发展,网络安全就不能再被事后考虑。对于任何身处数字领域的人士来说,都应该采取主动安全而不是被动防御。在网络风险管理中,有多种既定路径可遵循,以弥补不足、加强防御。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。