数字化转型和攻击面管理
在这个由 4 部分组成的数字化转型 (DX) 系列的第 1 部分中,我们讨论了 DX 是什么、好处、4 种类型的数字化转型以及组织为何难以实施新技术。在第 2 部分中,我们讨论了制造业及其通过数字化转型发展的机遇和挑战。在第 3 部分中,我们讨论了金融行业,随着银行、对冲基金、交易所和经纪商等在 DX 中导航,该行业可能拥有最多的机会和风险。此外,安全是关键,因为如果金融机构遭到破坏,他们将遭受的损失最大。
在第 4 部分,我们在数字化转型系列的最后一篇博文中,我们将重点关注 IT 安全组织因数字化转型而不得不保护的不断增长的攻击面。我们将向您介绍各种新术语和首字母缩略词,我们保证您将在未来几乎在 nauseum 听到。
什么是新兴的网络安全风险?
让我们从Gartner的建议开始,“安全和风险管理领导者必须应对七大趋势,以保护现代组织不断扩大的数字足迹免受现在及以后新出现的威胁。
Gartner 研究副总裁 Peter Firstbrook 表示:“世界各地的组织都面临着复杂的勒索软件、对数字供应链的攻击和深层嵌入的漏洞。” “大流行加速了混合工作和向云的转移,挑战首席信息安全官来保护日益分散的企业 - 同时处理缺乏熟练的安全人员。”
Gartner 进一步指出,这些挑战有助于影响网络安全实践的三个总体趋势:
1. 对复杂威胁的新反应
2. 安全实践的演进与重构
3. 重新思考技术
好的,我们知道您在想什么,“这些是相当广泛的总体趋势,它们与我们自网络行业开始以来一直在处理的趋势没有任何不同。” 我们同意,所以让我们深入研究一下攻击面问题,以及 Hitachi Systems Security 如何为我们的客户提供实用的解决方案,以保护他们自己免受新环境中的攻击。
攻击面的定义是什么?
Gartner 擅长很多事情,但创造术语和创建首字母缩略词是他们的核心竞争力。企业攻击面正在扩大。与使用网络物理系统和物联网、开源代码、云应用程序、复杂的数字供应链、社交媒体等相关的风险已将组织的暴露表面置于一组可控资产之外。
物联网或物联网是推动数字化转型的主要因素;近年来,通过互联网连接和控制的设备呈爆炸式增长。物联网技术的广泛应用意味着不同设备的细节可能会有很大差异,但大多数设备都具有共同的基本特征。物联网为将物理世界更直接地集成到基于计算机的系统中创造了机会,从而提高了效率、经济效益,最重要的是,可以随时随地访问数据和系统。
2019 年至 2030 年全球物联网 (IoT) 连接设备数量
IT 安全组织面临的问题是试图控制访问、监控系统、保护敏感数据、保护他们的新云基础设施,并防止员工被大量社会工程攻击所欺骗,而这些攻击是最常用的攻击媒介。
组织必须超越传统的安全监控、检测和响应方法,以管理更广泛的安全风险。Gartner 建议,数字风险保护服务 (DRPS)、外部攻击面管理 (EASM) 技术和网络资产攻击面管理 (CAASM) 将支持 CISO 可视化内部和外部业务系统,自动发现安全覆盖差距。这仅仅意味着安全负责人需要利用新的专业知识(人员)、改进的漏洞识别(流程)并采用领先的安全产品(技术)。
攻击面是未经授权的用户可以访问系统并提取数据的所有可能点或攻击向量的数量
简单地说,物联网系统架构由三层组成:第 1 层:设备,第 2 层:网络,第 3 层:云。让我们以非常清晰的攻击面定义结束本节,然后我们将在接下来的几节中讨论如何保护它。攻击面是未经授权的用户可以访问系统并提取数据的所有可能点或攻击向量的数量。攻击面越小,越容易保护。数字攻击面包括连接到组织网络的所有硬件和软件。其中包括应用程序、代码、端口、服务器和网站,以及影子 IT,它让用户绕过 IT 使用未经授权的应用程序或设备。
定义你的攻击面?
了解您的攻击面比以往任何时候都更加重要,因为您无法在不 (1) 知道其位置和 (2) 了解其价值的情况下保护组织中的每一项资产或数据。安全团队必须识别潜在弱点、评估漏洞并确定用户角色和权限级别。组织可以通过识别构成其攻击面的设备来评估潜在漏洞,这些设备可能包括企业防火墙和交换机、网络文件服务器、计算机和笔记本电脑、移动设备、打印机等。
然后,组织可以评估哪些用户可以访问数据和资源以及他们拥有的访问级别。这有助于他们了解用户和部门的特定行为,并将攻击向量分类为功能和风险等类别,以使列表更易于管理。此外,如下表所示,组织可以利用其风险管理原则,使用包括威胁情报和漏洞严重性在内的各种类别来找到一些可接受的风险水平。
考虑 Log4j/Log4Shell 漏洞
当发现在数百万台设备上使用的 Java 存在一个 CVE 得分为 10 的严重漏洞(每年 10,000 多个漏洞中只有 30 个漏洞得分为 10)时,安全团队争先恐后,几乎徒劳无功地修补每个使用该软件的系统。许多组织不知道他们正在修补的系统是否具有敏感数据或 IT 环境中的某些关键功能。他们只是尽快修补系统,却没有完全理解修补和测试其环境中的所有系统需要数周甚至数月的时间。与此同时,攻击者正在扫描他们的系统以找到漏洞并加以利用。许多攻击很可能成功,威胁参与者可能正在等待在未来某个时候利用最关键的资产。
考虑到这一点,该漏洞已经被“越来越多的威胁参与者”使用,美国网络安全和基础设施安全局局长 Jen Easterly 在发现漏洞后的一份声明中表示。她补充说,在周一与新闻机构的电话会议中,与关键基础设施运营商的电话会议中,该漏洞是“我在整个职业生涯中见过的最严重的漏洞之一,如果不是最严重的话”。在同一次电话会议上,一位 CISA 官员估计,可能有数亿台设备受到影响。
以下是我们在管理 Log4j / Log4Shell 中学到的 5 个主要经验教训:
1. 企业中可靠的资产/应用程序库存对于快速准确的事件响应至关重要
2. 制定网络威胁情报手册,以更积极主动的方式实施公共 IoC
3. Reddit 和 Twitter 等社交媒体是事件响应早期 IoC 的最佳来源
4. 确保您的 SOC 可以回答这个问题,我们如何知道我们是否受到攻击,我们可以做出回应吗?
5. 请记住,修补和升级不会减轻正在进行的任何潜在危害,因此请考虑保持事件响应模式并继续主动监控
漏洞管理对于降低攻击风险至关重要
Tenable 是漏洞扫描程序的所有者、Nessus 和漏洞评估和管理解决方案的行业领导者,他们发现“使用 CVSS 7+ 策略来确定其修复工作优先级的组织浪费了 76% 的时间来修复几乎没有风险的漏洞——而在他们的环境中留下 44% 的风险最高的漏洞。
希望 Log4j 部分说明了组织停止在不构成风险的漏洞上浪费时间的重要性。安全团队需要了解每个漏洞的完整背景,包括受影响资产的重要性以及对当前和未来可能的攻击者活动的评估。因此,团队将能够专注于最重要的事情,因此您可以采取果断行动,以最少的努力最大程度地降低业务风险。
Tenable 的虚拟机生命周期
主动、风险驱动的方法可提供全面、持续的可见性,并为技术和业务决策提供信息。成功的漏洞管理计划的 4 个步骤应如下所示:
☺持续评估所有资产的漏洞和错误配置
☺使用威胁情报和资产重要性衡量漏洞对您的业务的风险
☺预测哪些漏洞对您的组织构成最大风险,因此您知道首先要关注什么
☺向企业主提供基于风险的信息
结论
在上一篇博客文章中,我们利用以下研究中的统计数据得出结论,即Ponemon 的数字化转型和网络风险研究,该研究表明 82% 的 IT 安全和 C 级高管在实施新技术和扩展供应链。很明显,跨行业的组织将面临未来保护最有价值的可用数据的挑战。
我们希望利用该统计数据来表明在未来几年内,庞大的攻击面问题对于 IT 安全领导者来说将是多么严重。识别敏感数据、评估系统、采用基于风险的补丁和了解潜在威胁对于组织保护自己和客户至关重要。
在结束这个由 4 部分组成的系列文章时,我们很乐意向您介绍 Hitachi Systems Security 认为我们的 IT 安全团队可以采取的 5 个步骤来减少攻击面并有效消除漏洞。
5 个步骤减少攻击面
1. 扫描漏洞
定期网络扫描和基于风险的修补使组织能够快速发现并消除潜在漏洞。拥有完整的攻击面可见性以防止云和本地网络出现问题并确保只有经过批准的设备才能访问它们至关重要。完整的扫描不仅必须识别漏洞,还必须显示如何利用端点。
2. 使用基于风险的补丁
该漏洞的严重性值或 CVE 分数应与系统严重性和易受攻击的可利用性相结合,以确定特定漏洞对组织构成的风险。这可以对漏洞进行排名和分类,以便尽快处理最有可能对关键系统造成重大损害的漏洞。
3. 消除 IT 和系统复杂性
不必要的复杂性可能导致管理不善和政策错误,使网络犯罪分子能够未经授权访问公司数据。组织必须禁用不必要或未使用的软件和设备,并减少用于简化网络的端点数量。
例如,复杂的系统可能导致用户可以访问他们不使用的资源,这扩大了黑客可用的攻击面。
4. 细分您的网络
网络分段允许组织通过添加阻止攻击者的屏障来最小化其攻击面的大小。其中包括像防火墙这样的工具和像 微分段这样的策略,它将网络分成更小的单元。
5. 培训员工
员工是抵御网络攻击的第一道防线。为他们提供定期的网络安全意识培训将帮助他们了解最佳实践,通过网络钓鱼电子邮件和社会工程发现攻击的迹象 。
什么是微分段?
微分段是指一种涉及隔离数据中心或云环境中安全区域的安全方法。这使 IT 管理员能够更精细地控制应用程序和工作负载。
使用微分段架构,每个安全区域都有自己的服务,定制设计以满足网络特定部分的需求。在实施 零信任 安全架构时,微分段可能特别有用。
管理员使用网络微分段来封锁网络的特定区域(甚至单个设备),然后使用分段网关为网络的特定部分设置零信任架构,该网关在人员和数据进入时监控他们,同时使用安全性确保他们有资格进入的措施。
数字化转型和网络风险: 你需要知道什么才能保持安全
预览地址:https://kdocs.cn/l/cgMT62mutEwD
下载地址回复关键词:20220711