我是 Rob Lefferts,帶領 Microsoft 365 資訊安全工程團隊。我的團隊以及與我們合作的 Microsoft 安全性研究團隊,堅持不懈地專注於發現和應對本公司、客戶和整個全球社區面臨的最新威脅趨勢。
到目前為止,我們只在內部分享了我們的威脅簡報,但我們決定開始採用CISO Insider的形式,將其公開發佈。我們的目標是為全球組織提供最新的安全性見解和指導,以更有效地保護自己和客戶免受網路犯罪的侵害。
新冠疫情要求組織增加對靈活辦公場所的依賴並加速數字化轉型 ,而這些變化也自然而然也要求對安全策略進行一些更改。其範圍已經擴大,並且越來越混合,跨越多個雲端和平台。儘管新技術為許多組織帶來了福音,即使在充滿挑戰的時期也能提高生產力和成長,但這些轉變也為網路犯罪分子提供機會,後者設法利用日益複雜的數位環境,惡意探索其中發現的弱點。
與我交談的安全性專業人員最關心的是與遠端工作相關的網路釣魚攻擊的增加,我們也看到這一點反映在我們的研究中。2020 年,在 Microsoft 對安全性領導者進行的一項調查中,55% 的人告訴我們,自疫情開始以來,他們的組織檢測到網路釣魚攻擊有所增加,88% 的人表示網路釣魚攻擊影響了他們的組織。我還經常聽到有關勒索軟體攻擊激增、惡意軟體如何持續構成威脅,以及身份洩露如何繼續成為困擾安全團隊的主要挑戰。
除此之外,我們知道民族國家的攻擊日益具有侵略性和持久性. 利用 SolarWinds 平臺的NOBELIUM 供應鏈攻擊是去年成為頭條新聞的眾多新型攻擊之一。雖然華而不實的新技術經常抓住新聞熱點,但首席資訊安全官們一再告訴我,即使是這些進階威脅行為者,就像大多數網路罪犯一樣,也傾向於關注低成本、高價值的機會攻擊。
為了進一步說明這一點,我們看到利用密碼噴灑攻擊的民族國家攻擊者有所增加。身為安全性主管就要管理風險和確定優先事項,很多安全性主管告訴我,加強網路檢疫以防止最常見的攻擊,尤其是在其不斷增長的數位足跡中,正是其首要任務。 A我們的資料和研究支持此觀點:我們估計基本的安全性清潔仍然可以防範 98% 的攻擊 (請參閱 2021 年 10 月 《Microsoft 數位防禦報告》第 124 頁)。
您可能認為,談論基本的安全性步驟再容易不過,但在現實生活中實施它們要困難得多,尤其是當團隊過度勞累且人手不足時。不過我認為,成為安全性領導者需要同時管理風險和優先順序,這使得關注基本面成為一種非常務實的方法。很多時候,安全事件不是「是否」的問題,而是「何時」的問題。令人震驚的網路安全統計數據數以百計,例如僅在美國每天就發生約 4,000 起網路犯罪攻擊,全球每天有超過 30,000 個網站被駭客入侵。
我認為,最好的防線是採取權衡方法,在預防的同時投資於事件檢測和回應。
儘管在努力跟上日益增長的偵測和回應需求的同時,投資於新的預防維度層級似乎很困難,但在這兩種努力之間找到適當的平衡,這既重要又有益。一項2021 年 Ponemon Institute 和 IBM Security 的研究發現,如果組織沒有事件回應團隊或方案到位,數據洩露的平均成本上升了 55%。能夠平衡可靠預防與策略(包括事件回應以及對偵測和補救工具的投資)的安全性團隊將能夠很好地應對不可避免的情況。
轉到這些天來我們最關心的 CISO 的下一個首要話題:供應鏈及其暴露的內在威脅。由於供應鏈日益互聯和複雜,安全邊界擴展到安全組織和 IT 之外,這是當今商業環境的現實。Sonatype 2021 年 9 月的一份報告發現,與 2020 年相比,供應鏈攻擊同比增長了 650%。
公司供應鏈中的平均供應商數量
來源:BlueVoyant,
「CISO 供應鏈,」 2020 年
的企業聲稱 將超過四分之一的日常業務任務外包給 需要訪問其業務數據的供應商
來源:(ISC)2, 「確保合作夥伴生態系統安全」, 2019 年
難怪安全領導者更加關注供應鏈風險——供應鏈中的任何環節不僅對公司的運營至關重要,而且鏈中任何一環的中斷都可能以多種方式造成危害。
在安全性領導者將應用程式、基礎設施和人力資本的外包業務擴展到供應商的同時,他們正在尋找更有效的框架和工具,來幫助評估和降低跨供應商層級的風險。因為這個 650% 的數位十分駭人,而且我們都容易受到影響。
首席資訊安全官告訴我,雖然傳統的審查措施可以有效地降低遴選過程或審查期間的風險,但他們的團隊正在努力解決時間點審查的固有缺點,包括:
這些措施意味著組織根本無法即時執行合規性並降低風險。因此,安全團隊更難應對異常行為,例如隔離受感染的外部軟體或阻止經由洩露的管理員登入資訊存取其網路。如果說最近的攻擊教會了我們什麼,那就是即使有最好的網路安全性清潔,並致力於識別、度量和降低風險的基本原則,也無法完全消除威脅潛入供應鏈的可能性。
那麼,如何在保持敏捷性和生產力的同時管理供應鏈風險呢? 事實證明,在處理供應鏈威脅時,與處理網路攻擊的方式大致相同,許多安全性領導者專注於強大的基本面並提高可見度。
由於與供應商生態系統相關的風險種類繁多,因此不存在明確的標準化、「最佳做法」,甚至沒有技術來管理它們。然而,許多安全性領導者傾向於採用零信任模型作為降低風險敞口的方法,並幫助防範供應鏈威脅背後的弱點,例如第三方使用者的登入資訊洩露、受惡意軟體感染的設備、惡意代碼等。
雖然前兩個原則有助於降低遭入侵的可能性,但假設缺口有助於組織通過構建流程和系統來快速偵測和回應缺口,就像它已經發生一樣。在實踐中,這意味著使用冗餘安全性機制,收集系統遙測資料,使用它來偵測異常,並在可能的情況下將該深入解析與自動化聯繫起來,從而可以近乎即時地進行預防、回應和補救。首席資訊安全官們告訴我,他們正在投入於實施強大的監控系統,以幫助他們偵測環境中的變化,例如遭入侵的物聯網設備試圖開啟與其他設備的無用連線,以便快速識別和遏制攻擊。
與我討論過零信任的領導者一致認為,它是創建基本網路衛生(包括供應鏈管理)的絕佳架構。
讓我們來看看安全性領導者如何採用零信任準則來保護他們的供應鏈。
顯式驗證意味著我們應該檢查存取請求的所有相關方面,而不是基於網路位置等薄弱保證來假設信任。就供應鏈而言,攻擊者通常會利用顯式驗證中的漏洞,例如查找不受多重要素驗證保護的高權限廠商帳戶,或在信任的應用程式中注入惡意代碼。安全性團隊正在加強他們的驗證方法,並將安全性原則要求擴展到其第三方使用者。
實現第一項準則后,最低權限存取權有助於確保僅在適當的環境和設備上授予權限,以實現特定的商務目標。這有助於通過限制任何遭入侵資源(使用者、端點、應用程式或網路)可以存取環境中其他資源的程度,最小化橫向移動的機會。安全性領導者告訴我們,他們正在優先考慮只向供應商和第三方提供所需的訪問權限,並不斷審查和評估組織供應鏈內的存取請求和原則,以儘量減少與重要系統和資源的接觸。
我們都聽說過大辭職。 全球 40% 的勞動力正在考慮今年離開他們的雇主,而安全性領導者和他們的團隊已經感到人手不足。我經常與首席資訊安全官們談論整體情況,而提供、尋找和留住頂尖人才是他們最關心的問題之一。如果頂尖人才真的離開,他們要麼尋找新的頂尖人才,要麼提升留任人才的技能。更為高效、集成和自動化的技術頗有助益,但這還遠遠不夠。
隨著網路攻擊經常出現在新聞中,安全性流行語已成為日常用語的一部分,而這些攻擊(以及有關它們的新聞)可能會對公司產生深遠的影響。但您知道嗎? 這並不全是壞消息。鑒於網路安全已成為組織所有領域的一個熟悉的話題,我們聽說「安全性人人有責」的概念開始在組織中引起共鳴。特別是隨著新的混合式工作模式和安全邊界以各種新方式得到推動,安全性領導者日漸依賴創新方法來確保每個人的安全,即使他們面臨人才和技能差距。不是「事半功倍」,而是「異舉功倍」,這是當今創新型安全性領導者的宗旨。
雖然人才和技能短缺絕對不是積極的,但這裡有一絲曙光——創造一種安全性文化正在成為現實。許多首席資訊安全官告訴我們,在人員配備挑戰中解決安全性挑戰的最有效方法之一是,建立一種安全性文化,讓安全人人有責。首席資訊安全官日漸倡導這樣一種觀念,即整個組織可以承擔安全責任,尤其是在他們面臨人員短缺或資金挑戰的情況下。
開發團隊、系統管理員以及終端使用者都必須了解與他們相關的安全性策略。共用資訊至關重要,安全性團隊越來越多地尋找與開發人員、管理員和商務流程所有人合作的新方法,以了解風險並制定有利於整個組織的策略和程式。
人才短缺和技能差距(尤其是在不斷變化的網路安全性行業)促使首席資訊安全官尋找新的創新方法來保持領先地位。我們不斷聽到的一種策略是安全性團隊之外的員工不斷「代理化」。首席資訊安全官希望利用整個組織,特別注重培訓終端使用者成為解決方案的一員,並建立相鄰團隊的支援。
提高和增強終端使用者對安全性威脅的了解(例如確保他們了解網路釣魚和微妙攻擊的跡象)對增加安全團隊的知情渠道大有裨益,尤其作為「矛尖」策略,終端使用者通常是攻擊的切入點。我並不是說終端使用者可以奇蹟般地受訓來捕捉一切,但讓使用者做好準備並提高警惕,可以大大減輕安全團隊的負擔。
另一種策略是將 IT 作為安全性的一部分。保持 IT 團隊與安全性團隊的密切聯繫,並確保向 IT 部門通報安全策略,這有助於許多安全性領導者將其使命擴展到組織的所有領域。
在自動化和其他主動工作流程和任務管理策略方面提供指導和幫助,這是首席資訊安全官擴展團隊和利用 IT 幫助確保穩固安全態勢的基本方式。
所有引用的 Microsoft 研究均使用獨立研究公司來連絡安全性專業人員進行量化和質化研究,以確保隱私保護和分析的嚴謹性。除非另有說明,本文件中收錄的引用和研究結果均來自 Microsoft 研究的結果。
