又一年即将结束,网络安全领导者正在回顾并回顾 2023 年的主要趋势。业内许多人最关心的话题是远程劳办公、网络保险、生成式人工智能、安全意识培训等。在这里,网络安全领导者分享了他们的一些想法。
鉴于当今持续混合劳动力的现实,组织需要评估其访问治理以及威胁检测和响应技术的协同工作效果。远程访问异常,特别是在基于浏览器的环境中,过去更容易检测到,但现在越来越难以持续识别,这给 IT 部门(识别潜在和实际风险)以及员工本身(等待风险)带来了更大的压力。被授予继续其工作流程的访问权限。
在应对混合劳动力挑战时,组织需要考虑一些关键的补充战略。首先,当在“最小权限”或“零权限”的基础上进行操作时,有效处理访问请求变得至关重要 - 无论是在保持业务发展方面,还是在员工(可能还有合作伙伴)满意度方面。正确请求的批准滞后会减慢业务速度并使最终用户感到沮丧。因此,自动化工作流程是这方面的关键。人工智能还可以在加速请求路由甚至代理审批方面发挥重要作用。
组织应该考虑的另一个策略是实施动态访问策略。当检测到从非标准位置访问信息的潜在风险帐户时,组织应该能够动态调整数据安全措施(例如通过数据脱敏),以便在给定应用程序或业务流程中更有效地管理风险。以自动化方式完成此操作可以让 IT 和安全团队有更多时间来评估风险并提出适当的响应,而不是在不完全知情的情况下做出反应。
今天的劳动力与我们以前见过的不同。快速转向远程优先已经让人们接受了团队可以在任何地方进行协作。这需要在全球范围内提高业务速度,并带来 CISO 必须应对的新风险。
混合或远程优先环境中的员工通信越来越容易受到社会工程攻击,个人或不安全的公司设备成为勒索软件攻击的目标。虽然这些并不是新策略,但攻击的增加表明威胁持续存在。
让员工能够以不同的方式思考安全问题并成为安全冠军,将大大有助于确保这一新边界的安全。传统的安全方法不会消失——保护设备、应用程序、网络、基础设施和更广泛的业务系统仍然是任何安全计划的重要组成部分。
与在办公室的日子不同,员工获得有关安全工具和流程的实时帮助或信息更加困难。让员工能够继续完成工作,同时保持安全,是一种平衡行为,也是现代 CISO 必须克服的问题。
安全意识培训仍然是保护不同劳动力的最佳方法。确保强有力的安全培训计划,特别是针对社会工程和勒索软件的培训计划至关重要。
随着网络保险行业的成熟和更多历史索赔数据的可用,保险范围的要求不断发展。这通常会导致对网络安全保护的需求增加,以及采购策略的更多“必备条件”,例如多因素身份验证 (MFA) 和端点保护 (EPP)。鉴于该行业是由海量数据分析和相关性检测驱动的,单一索赔可能不会产生巨大影响。但如果它预示着一种趋势,它将推动变革。
我最好的建议是将网络保险公司视为合作伙伴。建立牢固的关系并进行定期对话将改善续保和索赔流程。安全领导者需要在这种关系中保持积极主动和坦诚的态度,除了填写申请表和调查问卷之外,还要完整地讲述他们的网络安全方法。请记住:没有人比网络保险公司拥有更多有关网络安全风险和损失的数据 - 关注他们的建议是有意义的。
网络保险公司因勒索软件等成功网络事件的增加而面临巨大风险,并且正在亏损。为了确保他们能够覆盖风险,他们需要提高价格。在我们对网络保险的研究中,我们发现保险价格大幅上涨,大多数购买网络保险的公司最终都会使用它,而且许多公司会多次使用它。
对第三方供应商的依赖可能会严重影响网络风险,从而影响保险费。因此,安全领导者需要确保他们获得良好的溢价,因此他们必须管理第三方网络风险。如果他们管理风险,那么他们可以显着降低成本并降低保费。采取务实、基于风险的方法并通过实施强大的解决方案来降低风险可以向承保人表明他们成为受害者的可能性较小,并且会获得较低的保费。
随着更多网络保险政策的推出,以及最终许多企业需要使用它们,网络保险的成本正在以惊人的速度持续上升。我预计随着 2024 年的到来,这种情况会继续下去。
三个主要趋势正在推动网络保险市场的增长。这包括网络违规造成的责任不断扩大、董事会和高级管理层对违规行为承担更多责任,以及网络保险为维持网络安全态势提供的“强制功能”。
这些因素已经并将随着时间的推移而发生变化,并将持续几年,因为与任何其他形式的保险不同,预测网络事件造成的损害程度的能力非常有限;与汽车或房主保险相比,有大量数据表明可能的赔付金额,网络保险仍在努力解决潜在的赔付金额。例如,保险公司刚刚开始对物联网/OT 系统进行风险评估,这些系统可能会造成生命损失、物理损坏以及比数据泄露造成的损失更大的声誉损失。
风险评估和网络保险将始终以与威胁媒介本身发展相同的方式发展。最近的变化,例如威胁行为者利用易受攻击的物联网/OT 设备和更多开源漏洞的转变,正在促使保险公司调整其风险模型,并对被保险人施加条件,例如要求非 IT 设备和系统实现自动化网络卫生。
最重要的是组织要进行自己的风险评估,并确保其内部策略能够解决整个攻击面。很多时候,组织制定了精心设计的内部政策,但随后仅将其应用于传统 IT 资源;除非获得特定豁免,否则所有数字连接资产(例如物联网/OT)都应遵守这些政策。
由于生成式人工智能当前和未来带来的风险,我预计我们将在不久的将来看到数据隐私法规得到加强。人们关心隐私,并期望他们的代表制定法律法规来保护隐私。作为一个行业,为了实现人工智能的预期价值,我们需要与管理机构合作,帮助确保潜在的法律和法规具有一定程度的一致性和敏感性。
生成式人工智能工具的使用最终仍处于起步阶段,仍然有许多问题需要解决,以帮助确保数据隐私得到尊重并保持组织的合规性。我们所有人都有责任更好地了解潜在风险,并确保采取正确的防护措施和政策来保护隐私和数据安全。
与大多数风险因素不同,生成式人工智能正在变得普遍。人工智能正在快速构建到各种工具中,每当快速开发时,就有可能出现意想不到的漏洞。此外,随着每个人都可以免费和付费访问生成式人工智能,无意的内部威胁式数据泄露的风险呈指数级增长。
随着该领域的新手利用代码生成器来构建代码,生成式人工智能可能会将恶意软件即服务和脚本小子活动的概念提升到一个全新的水平。它通常不会是最有效、最高效或最隐蔽的代码,但是,这意味着更多的人可以更快地编写出恶意代码,从而全面提升总体威胁级别。这可能会增加此类恶意软件针对的小型组织和消费者的数量。帮助机器人的妥协仍然是我对生成式人工智能攻击最大的担忧之一。
生成式人工智能已经改变了网络犯罪分子的游戏规则,他们可以利用它快速开发、传播和修改攻击。它还提高了组织的安全效率。随着所有设备上攻击组织的威胁的复杂性和数量不断增加,基于人工智能的生成安全性为组织提供了阻止这些违规行为的机会。
2023 年,我们再次看到,在网络攻击复杂的时代,安全团队关注员工行为而不仅仅是意识是多么重要。旧的安全意识培训模型旨在应对昨天的威胁。当今和未来的攻击所需要的是一个动态安全行为改变平台,该平台能够与不断变化的威胁形势保持同步。请记住,浪费人类威胁情报是一件可怕的事情。您的组织内可能有安全拥护者报告此类新攻击。确保您拥有良好的 SOC 流程,强调报告威胁和响应威胁的速度,以便尽可能有效地减轻危险。
2023 年再次证明,组织内部强大的信息安全意识对于防止网络攻击至关重要。组织必须培养一种“报告而不产生后果”的文化,以确保员工在报告可疑活动时感到安全和放心。除了在员工中建立这种文化之外,组织还必须对所有潜在的攻击面进行持续监控。
如今,企业中的移动安全和教育比以往任何时候都更加重要。在大多数情况下,移动设备对企业来说是一个重要的、未解决的攻击面。无论它们是企业所有还是 BYOD 策略的一部分,实施适当的安全控制并教育最终用户有关潜在威胁的需求都至关重要。
随着技术不断发展以应对当今新的业务挑战和需求,现代移动时代迎来了新的安全类别,以帮助应对当前的威胁。
API 安全在 2023 年成为焦点。由于开发速度快于可用安全资源,导致漏洞被忽视,因此它仍然面临挑战。安全团队在开发过程中的可见性有限,并且在追赶新的和现有的 API 时进一步强调了风险。组织可以通过促进安全和工程团队之间的协作、利用代码生成的 API 文档进行准确测试、在开发管道的早期集成安全测试、为开发人员提供上下文漏洞信息以及自动化日常安全任务来提高 API 安全性。这种方法支持主动安全策略,最大限度地减少漏洞,并允许安全团队专注于复杂的测试,从而增强组织的整体 API 安全态势。
网络攻击(例如今年早些时候针对米高梅和凯撒的网络攻击)凸显了各种规模的组织在网络犯罪袭击之前优先考虑网络安全的重要性。一旦发生攻击,无论威胁行为者如何访问网络,下一步都是确保他们无法进一步行动。大大小小的组织都应该实施具有最低权限访问权限的零信任安全架构,以确保员工只能访问完成工作所需的内容。
零信任是一种消除隐性信任的现代安全框架。它要求所有人类用户和设备都得到持续、明确的验证,并严格限制对网络系统和数据的访问。零信任关注的不是用户从哪里登录,而是关注他们是谁。通过在基础设施中采用零信任框架,领导者将处于更有利的地位,不仅可以识别对其组织的攻击并做出反应,还可以减轻任何潜在的损害。
API 使用量在 2023 年呈爆炸式增长。由此产生的 API 蔓延导致数据暴露风险增加,而且大多数组织缺乏针对 API 的治理策略。然而,API 现在为企业和消费者日常依赖的绝大多数应用程序和服务提供支持。API 的快速升级也为攻击者创造了更大的攻击面——攻击者充分意识到 API 传输的数据的巨大价值。由于 API 通常传输个人身份数据 (PII) 和其他关键财务数据,因此 API 是一个利润丰厚的目标。网络犯罪分子可以将这些信息用于邪恶目的,例如勒索赎金或在黑市上转售。
组织必须有能力持续发现其环境中存在的 API。他们必须了解每个 API 的用途,以评估它是否具有正确的安全态势,并确保它根据其用途公开正确级别的数据。此外,组织需要适当的 API 运行时保护。运行时保护对于发现潜在威胁和防止数据泄露至关重要。通过查看和了解 API 的使用行为,组织可以发现异常情况,以便在对手试图利用设计不当或配置错误的 API 时快速识别并阻止任何 API 误用或滥用。
态势管理相当于对数字资产或数字资产集合甚至整个组织的安全性进行健康检查。就像健康检查一样,其目的是在症状变成更大问题之前主动查找并解决它们。通过不断评估、收集证据并修复保护资产的预期配置和控制措施,组织可以确保其资产的安全性处于完美状态。不幸的是,大多数组织甚至难以识别其资产,因此态势管理必须从资产本身的发现和盘点开始。
设备状态检查可能是第一个主流的状态管理——用于在授予网络访问权限之前检查用户设备的安全性。此后,云安全态势管理(CSPM)在 2014 年 Netflix 开源 Security Monkey 后成为主流。与许多 Netflix 开源项目一样,该项目迅速转变为大量商业 CSPM 产品。CSPM 的使用已成为每个云安全团队工具包的重要组成部分,但由于缺乏有关云基础设施内的数据和身份的业务上下文,因此存在局限性。
任何形式的安全态势管理的关键是它应该是可操作的。就像健康检查一样,您不能不断指出无法修复或不需要修复的问题。不幸的是,这些工具中的许多都会产生大量噪音,需要进行大量调查才能确定是否需要修复这些发现,或者可以在不影响业务的情况下修复这些结果。企业应该寻找能够在前 12 个月后推动并维持安全态势改进的工具。这通常需要该工具收集有关业务数据的附加上下文和有关谁应该有权访问的业务逻辑,以及评估对当前操作的影响的方法。
来源:security
