總部位于美國的無線運營商T-Mobile公司在1月19日發現,該公司的3700萬份客戶記錄被泄露。密碼管理平臺LastPass也遭遇多次攻擊,導致2500萬用戶身份泄露。弗吉尼亞聯邦大學衛生系統(VCU)在本月早些時候發現數據泄露,4000多名器官捐贈者和接受者的數據已經泄露。
數據泄露: 外圍防御失敗的后果
當網絡攻擊者找到新的方法來避開外圍防御時,受害者可能會出現漏洞,使他們能夠在不被發現的情況下訪問網絡,并采用包括勒索軟件在內的惡意載荷感染網絡。在那些經常被引用的外圍防御失敗案例中,通常導致一些企業損失數百萬甚至數十億美元。不同的因素會導致數據泄露,其中包括人為錯誤和外部攻擊。這些因素使得基于邊界的安全系統難以檢測和阻止網絡攻擊者的攻擊和破壞,同樣令人不安的是,受害者檢測到漏洞的時間已經增加到近9個月。
即使增加了網絡安全支出,數據泄露行為也將在2023年激增
企業的首席執行官及其所在的董事會通常將網絡安全支出視為一種值得投資的風險控制和管理戰略。Ivanti公司在其發布的《2023年安全準備狀況報告》中指出,71%的首席信息安全官和安全專業人員預測他們的預算今年將平均增長11%。到2026年,全球在信息和安全風險管理方面的支出將從2021年的1678.6億美元飆升至創紀錄的2614.8億美元。令人不安的是,盡管網絡安全和零信任預算不斷增長,勒索軟件和更復雜的攻擊卻不斷成功。
力量的天平似乎傾向于網絡攻擊者,包括有組織的網絡犯罪集團和高級持續威脅(APT)攻擊集團。例如,他們針對一家企業進行數月的研究,然后用“低而慢”的策略入侵該公司的網絡,以避免被發現,網絡攻擊的復雜性和嚴重性正在增加。受到網絡攻擊的企業過于依賴基于邊界的防御,而狡猾的網絡攻擊者會設計新的方法來突破這些防御。Ivanti公司在研究報告中預測,隨著勒索軟件、網絡釣魚、軟件漏洞和DDoS攻擊的增加,今年對首席信息安全官及其團隊來說將是充滿挑戰的一年。Ivanti公司的首席產品官Srinivas Mukkamala表示,威脅行為者越來越多地瞄準網絡安全缺陷,包括遺留的漏洞管理流程。
Mandiant公司的首席執行官KevinMandia表示:“網絡攻擊者花費六個月的時間來攻擊某一企業,這種聰明才智和堅持不懈讓我感到驚訝。因此需要時刻保持警惕。”
運營部門是攻擊載體的選擇
網絡攻擊者只需要一個暴露的威脅面或者繞過一個依賴于幾十年前技術的外圍防御系統,就可以獲取受害者的重要數據并索要巨額贖金。通常情況下,最易于攻擊的目標會產生更多的勒索贖金。業務運營部門是網絡攻擊者的最愛,他們希望破壞和關閉企業的業務和供應鏈,運營部門成為網絡攻擊的具有吸引力的目標,是因為其技術堆棧的核心部分依賴于傳統的ICS、OT和IT系統,這些系統針對性能和過程控制進行了優化,通常忽略了安全性。
企業可以采取的處理數據泄露的步驟
“零信任”概念的創始人、行業領袖John Kindervag最近在接受行業媒體采訪時建議說,“企業需要從一個單一的保護面開始……因為這就是企業如何將網絡安全分解成小塊的方法。”Kindervag目前擔任ON2IT集團網絡安全戰略高級副總裁和研究員。
企業高管必須接受這樣的理念,即按照預先確定的順序,一次只保護一個面是可以接受的。在一次接受行業媒體的采訪中,Kindervag表示企業在獲得零信任權利時需要提供護欄。他說,“最重要的是,需要保護什么?一些人經常向我詢問安全問題,他們說,‘我買了一些安全部件,我該把它放在哪里?’我說‘你在保護什么?’他們說,‘嗯,我還沒想過這個問題。’,我說,‘好吧,那你可能會失敗。’”他強調,零信任并不一定復雜、昂貴且規模巨大,它不是一項技術。
以下是企業應對數據泄露的5個步驟:
(1)審計所有的訪問權限,刪除不相關的帳戶和收回管理權限
網絡攻擊者將商業郵件泄露、社交工程、網絡釣魚、偽造多因素身份驗證(MFA)會話等結合起來,使受害者難以應對,從而泄露他們的密碼。80%的數據泄露都是從特權訪問憑證的泄露開始的。
人們經常會發現,多年前的承包商、銷售、服務和支持合作伙伴仍然可以訪問門戶網站、內部網站和應用程序,因此清除不再有效的帳戶和合作伙伴的訪問權限至關重要。
使用多因素身份驗證(MFA)保護有效帳戶是最起碼的要求。多因素身份驗證(MFA)必須立即在所有有效帳戶上啟用。在2022年,受害者在識別和控制漏洞方面平均需要277天(約9個月)的時間。
(2)首先從用戶的角度來看待多因素身份驗證
確保多因素身份驗證(MFA)的每一個有效身份都是至關重要的,面臨的挑戰是使其盡可能不引人注目但安全。基于場景的分析技術顯示了改善用戶體驗的潛力。盡管采用多因素身份驗證面臨挑戰,但很多首席信息官和首席信息安全官表示,多因素身份驗證是他們最喜歡的速戰速決的方法之一,因為它在保護企業免受數據泄露方面的貢獻是可衡量的。
Forrester公司的高級分析師Andrew Hewitt表示,保護身份的最佳起點是始終圍繞著強制執行多因素身份驗證。這對于確保企業數據的安全大有幫助。從那里開始,它將注冊設備,并使用統一端點管理(UEM)工具保持嚴格的合規標準。
Hewitt還建議,想要在多因素身份驗證實現方面表現出色的企業,可以考慮在傳統的“你知道什么”(密碼或PIN碼)單因素認證實現中,添加“你是什么”(生物識別)、“你做什么”(行為生物識別)或“你擁有什么”(令牌)等因素。
(3)確保基于云的電子郵件保護程序更新到最新版本
一些首席信息安全官表示,他們正在推動電子郵件安全供應商加強反釣魚技術,并對可能危險的URL和附件掃描執行基于零信任的控制。這一領域的主要供應商使用計算機視覺識別URL以進行隔離和消除。
網絡安全團隊正在轉向基于云的電子郵件安全套件,這些套件提供集成的電子郵件安全功能,以使這轉變成為一個快速的勝利。Gartner公司的副總裁分析師Paul Furtado在研究報告《如何為勒索軟件攻擊做好準備》中建議,“考慮以電子郵件為重點的安全編制自動化和響應(SOAR)工具,例如M-SOAR,或包含電子郵件安全的擴展檢測和響應(XDR)。這將幫助實現自動化,并改善對電子郵件攻擊的響應。”
(4)自動修復端點是強有力的第一道防線,尤其是在應對網絡攻擊中
從企業支持的供應鏈到完成的客戶交易,運營是保持業務運行的核心催化劑,它們的端點是可以保護和增強網絡彈性的最關鍵的攻擊面。
首席信息安全官需要用提供更多網絡彈性的自動修復端點取代傳統的基于邊界的端點安全系統。行業領先的基于云的端點保護平臺可以監控設備的運行狀況、配置以及與其他代理的兼容性,同時防止數據泄露。行業領先的自動修復端點提供商包括Absolute Software、Akamai、BlackBerry、CrowdStrike、Cisco、Ivanti、Malwarebytes、McAfee和Microsoft 365。基于云的端點保護平臺(EPP)為希望快速啟動的企業提供了一個有效的入口。
(5)跟蹤、記錄和分析對網絡、端點和身份的每次訪問,以便及早發現入侵企圖
了解零信任網絡接入(ZTNA)投資和項目的益處至關重要。實時監控網絡可以幫助企業檢測異常或未經授權的訪問嘗試,日志監視工具非常有效地識別發生的異常設備設置或性能問題。IT運營分析和人工智能(AIOps)有助于檢測差異并連接實時性能事件。該領域的領導者包括Absolute、DataDog、Redscan和LogicMonitor。
Absolute Insights for Network(前身為NetMotion Mobile IQ)于去年3月推出,展示了當前一代監控平臺的可用功能。它旨在快速、大規模地監控、調查和補救最終用戶的性能問題,即使在非公司所有或管理的網絡上也是如此。它還提高了首席信息安全官對零信任網絡接入(ZTNA)政策執行有效性的可見性(例如,政策阻止主機/網站、地址/端口和網絡信譽),允許立即進行影響分析并進一步調整零信任網絡接入(ZTNA)政策,以最大限度地減少網絡釣魚、詐騙和惡意攻擊。
面對不可避免的數據泄露需要創造網絡彈性
企業可以采取的最有效的方法之一是接受它的不可避免性,并開始將支出和戰略轉向網絡彈性,而不是逃避。網絡彈性必須成為企業DNA的一部分,才能在持續的網絡攻擊中幸存下來。
預計在2023年將會有更多針對運營的網絡攻擊,因為控制供應鏈的遺留系統是一個軟目標。網絡攻擊者正在不斷尋找目標,采用勒索軟件鎖定運營團隊就是他們的做法。
以上步驟是更好地控制基于運營的網絡安全的起點,這些都是任何企業都可以采取的務實措施,可以讓企業避免數據泄露而陷入倒閉的困境。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號