會有所不同,但有些情況可能會變得更糟。首席安全官一直在關(guān)注4個關(guān)鍵趨勢,以預(yù)測這些趨勢在2021年怎樣發(fā)展。所有這些都是由這場疫情所造成或者所影響的,這將對威脅局面以及安全部門怎樣保護員工和資產(chǎn)產(chǎn)生長期影響。
勒索軟件:更大,更卑鄙,更狡猾
網(wǎng)絡(luò)犯罪分子是機會主義者。這場疫情使得企業(yè)在疲于應(yīng)對危機時變得更為脆弱。2020年成為勒索軟件攻擊最為猖狂的一年,主要表現(xiàn)在攻擊量的增加。網(wǎng)絡(luò)保險提供商Coalition報告稱,勒索軟件攻擊占2020年上半年提交的所有網(wǎng)絡(luò)保險索賠的41%。
努力應(yīng)對這場疫情的企業(yè)、學(xué)校和醫(yī)療健康機構(gòu),無法承受由于勒索軟件攻擊而導(dǎo)致系統(tǒng)離線,攻擊者知道他們因此而更有可能支付贖金。據(jù)去年8月和9月進行的2020年Crowdstrike全球安全態(tài)度調(diào)查,在過去12個月中,27%的勒索軟件受害者支付了贖金,平均支付了110萬美元。
攻擊者最近改變了策略,對受害者變本加厲。他們改進了其加密方案的實施,使其更難被破解。現(xiàn)在,一些犯罪分子不再簡單地加密關(guān)鍵數(shù)據(jù),而是竊取敏感數(shù)據(jù),并威脅說,如果不支付贖金,就會將數(shù)據(jù)公開。例如,F(xiàn)IN11集團直到最近還是一直專注于從金融、零售和餐飲企業(yè)勒索錢財。去年,他們把重點轉(zhuǎn)移到勒索軟件上,并建立了一個網(wǎng)站,公布從拒絕支付贖金的公司竊取的數(shù)據(jù)。
Cloudflare報告說,包括FancyBear、CozyBear和Lazarus在內(nèi)的一些組織正在實施基于贖金的分布式拒絕服務(wù)(DDoS)攻擊。攻擊者威脅說,如果不支付贖金,他們會用DDoS攻擊來破壞目標(biāo)受害者的網(wǎng)絡(luò),有時還會同步進行可造成輕微破壞的“挑逗式”攻擊。
勒索得越來越狠,目標(biāo)是最脆弱的受害者,以及使加密數(shù)據(jù)更加難以恢復(fù)的策略,等等,所有這些將使勒索軟件成為2021年網(wǎng)絡(luò)犯罪最有利可圖的“業(yè)務(wù)”,也是所有企業(yè)面臨的最大威脅。因此,首席信息安全官在未來一年中一定要遵守最佳實踐以緩解勒索軟件風(fēng)險,這一點非常重要。
首席信息安全官承擔(dān)了更多的角色
正如網(wǎng)絡(luò)犯罪分子在破壞中看到機會一樣,首席信息安全官也有機會在管理層發(fā)揮更大的作用。疫情提高了對安全的重視。越來越多的攻擊,尤其是勒索軟件導(dǎo)致的攻擊,已經(jīng)引起了首席執(zhí)行官、首席財務(wù)官和董事會的注意,他們期待著首席信息安全官做出回應(yīng)。疫情引發(fā)的企業(yè)進行數(shù)字化轉(zhuǎn)型的熱潮反而會增大安全風(fēng)險,首席信息安全官因此應(yīng)參與轉(zhuǎn)型工作。突然間需要為大量遠(yuǎn)程工作員工提供安全支持,這引起了對系統(tǒng)和數(shù)據(jù)漏洞的擔(dān)憂。
最成功的首席信息安全官總是在業(yè)務(wù)大環(huán)境下看待安全功能。隨著他們現(xiàn)在得到了更多的關(guān)注,這一點也更為重要了。那么,他們在執(zhí)行力上要有信心,更要有信心管理好疫情導(dǎo)致的復(fù)雜運營變化。
在最近召開的CSO50大會上,麥當(dāng)勞公司副總裁兼全球首席信息安全官TimYoungblood討論了首席信息安全官要想取得成功,現(xiàn)在應(yīng)該做些什么。首先是要熟悉工作的技術(shù)方面,而Youngblood強調(diào)了卓越運營的必要性,他認(rèn)為這是首席信息安全官開展其他工作的前提。
他以管理身份為例。他說:“這是你與公司所有資產(chǎn)進行聯(lián)系的途徑。歸根結(jié)底,盡管身份認(rèn)證的一個重要作用是安全保護,但我們實際是在為環(huán)境中的一切創(chuàng)造條件。這就是卓越運營變得如此重要的原因。如果你在運營上得不到信任,那么在任何其他事情上也得不到信任。”
Youngblood還建議安全部門領(lǐng)導(dǎo)與業(yè)務(wù)部門領(lǐng)導(dǎo)展開合作。“我們擁有了話語權(quán)。我們經(jīng)常被要求向董事會匯報。既然我們有了話語權(quán),那就必須展示我們的價值。”這意味著不僅要討論威脅和緩解措施,還要解釋安全因素怎樣促使業(yè)務(wù)部門成為合作伙伴。他說:“如果你是合作伙伴,而且大家都認(rèn)同,那么你的成功就是他們的成功。”
成功的合作需要良好的溝通。沃特迪斯尼公司負(fù)責(zé)信息安全和風(fēng)險管理的高級副總裁GregWood在CSO50會議上談到了首席信息安全官在進入2021年后應(yīng)該怎樣討論安全性。“首席信息安全官應(yīng)能夠在企業(yè)不同的層面談?wù)摼W(wǎng)絡(luò)安全問題,他們要知道自己所在的層面。”他說,首席信息安全官在與精通技術(shù)的同事交談時必須能夠展示自己的技術(shù)知識,這樣才能讓人覺得自己有“街頭信譽”,而更重要的是,首席信息安全官在進行交流時,一定要使用業(yè)務(wù)部門每個合作伙伴的“語言、焦點、視角”。
Wood說:“我們現(xiàn)在更多地被拉去參加業(yè)務(wù)戰(zhàn)略會議,而以前只是參加技術(shù)戰(zhàn)略會議。如果不是因為首席信息官想讓你去,而是首席財務(wù)官想讓你去的時候,這就標(biāo)志著企業(yè)和各個業(yè)務(wù)部門本身的成熟。”
重塑首席信息安全官角色的不僅僅是新冠疫情。新的隱私和安全法規(guī)也在發(fā)揮作用。TikTok的首席安全官RolandCloutier在CSO50會議上說:“我們的工作已經(jīng)從根本上改變了。我們的服務(wù)需要改變,特別是在怎樣保護數(shù)據(jù)方面。你怎樣推動數(shù)據(jù)防御計劃,這與企業(yè)中的其他專業(yè)相互交叉,涉及到隱私、IT、數(shù)據(jù)管理和數(shù)據(jù)治理等。這遠(yuǎn)遠(yuǎn)超出了網(wǎng)絡(luò)防御行動的范疇。我們的重點是數(shù)據(jù)級別的控制、保證和監(jiān)控,以及怎樣將其集成到安全平臺中。”
Cloutier說,首席信息安全官要想很好地應(yīng)對這些新的監(jiān)管要求,關(guān)鍵是要與自己企業(yè)的總法律顧問和隱私管理部門保持良好的關(guān)系。我們需要對我們的業(yè)務(wù)、我們提供的服務(wù)以及在哪里提供服務(wù)有清晰的認(rèn)識。一旦了解了自己的具體業(yè)務(wù),而且建立了良好的關(guān)系,你就可以開始構(gòu)建所要提供的服務(wù)了。
重新評估安全策略和技術(shù)堆棧
如果端點可以在任何地方,或者可能在不受你控制的設(shè)備上,那么怎么保護它們呢?你的企業(yè)是否準(zhǔn)備好應(yīng)對越來越復(fù)雜和專業(yè)化的有組織網(wǎng)絡(luò)犯罪了嗎?你的安全基礎(chǔ)設(shè)施和員工能否進行調(diào)整并適應(yīng)快速的變化?
在疫情期間由于轉(zhuǎn)為居家辦公模式而導(dǎo)致安全部門突然要保護很多新上的遠(yuǎn)程端點,而這些端點很可能將成為永久性的。Skybox新常態(tài)下的網(wǎng)絡(luò)安全調(diào)查顯示,70%的企業(yè)預(yù)計,至少有1/3的遠(yuǎn)程員工會在18個月內(nèi)一直保持遠(yuǎn)程工作狀態(tài)。必須重新考慮認(rèn)為此舉是臨時性的安全措施。
此次疫情還促使企業(yè)啟動并加快數(shù)字轉(zhuǎn)型項目,這意味著要將更多的系統(tǒng)遷移到云端。這也需要重新思考安全戰(zhàn)略和基礎(chǔ)設(shè)施。
安全領(lǐng)導(dǎo)們越來越關(guān)注民族國家及其代理人造成的直接和間接威脅。在Crowdstrike的調(diào)查中,87%的受訪者表示,國家發(fā)起的攻擊比大多數(shù)人想象的要普遍,73%的受訪者表示,此類攻擊是2021年他們這樣的企業(yè)面臨的最大威脅。毫不奇怪,在疫情期間,生物技術(shù)和制藥企業(yè)說他們面臨的風(fēng)險最高(82%)。這還沒有考慮到他們的代理人獨立行動所帶來的間接的民族國家威脅,也沒有考慮到犯罪集團能更好地利用他們的策略、工具和程序(TTP,Tactics,ToolsandProcedures)。
據(jù)IDG的安全重要事項研究,為了應(yīng)對這些永久性的變化和加劇的威脅,一些企業(yè)打算在2021年試驗或者實施幾項技術(shù)。受訪者表示,他們將在2021年評估或者投資以下這些技術(shù):
零信任(40%)。
欺騙技術(shù)(32%)。
身份驗證解決方案(32%)。
訪問控制(27%)。
應(yīng)用程序監(jiān)控(25%)。
基于云的安全服務(wù)(22%)。
對安全人才的需求上升
隨著安全領(lǐng)導(dǎo)們逐漸適應(yīng)了此次疫情帶來的長期變化,很多企業(yè)可能想增加工作人員或者改變其安全部門的組成。即使在形勢最好的時候,這也很困難,隨著所有企業(yè)都在重新評估人員需求,2021年,肯定會更難招到安全人才。
安全部門在很大程度上躲過了疫情導(dǎo)致的裁員——在Crowdstrike的調(diào)查中,只有24%的受訪者說他們的員工因疫情而流失,35%的受訪者表示停止了招聘安全方面的新人。所以,不要指望2021年會因為裁員而有大量人才涌入市場。對人才的需求似乎也在增長。提供網(wǎng)絡(luò)安全就業(yè)市場數(shù)據(jù)的CyberSeek公司指出,在撰寫本文時,美國約有52.5萬個開放安全崗位,而疫情開始前只有39萬個。然而糟糕的是,Emsi研究公司在去年7月份報告說,符合條件的求職者只有不到20萬人。
一種選擇是考慮遠(yuǎn)程安全工作員工。很多企業(yè)拒絕聘用遠(yuǎn)程安全專業(yè)人員,但這場疫情證明,并不是所有安全人才都需要在現(xiàn)場工作。這樣,企業(yè)可以將其對難覓人才的搜索范圍擴大到不同的地理區(qū)域。
Emsi研究公司的報告提出了一些填補空缺安全職位的建議。首先是培訓(xùn)非安全人員,這就是所謂的“自建,不買”的方法。該報告稱,IT、財務(wù)和業(yè)務(wù)運營人員是最有可能接受再培訓(xùn)的員工,向網(wǎng)絡(luò)安全轉(zhuǎn)型的比率最高。每個人都有自己的領(lǐng)域知識,比如網(wǎng)絡(luò)系統(tǒng)、金融交易和業(yè)務(wù)流程等,這些知識可以增強他們所學(xué)的任何安全技能。
另一個建議是用人單位、教育機構(gòu)和當(dāng)?shù)貑T工一起發(fā)展合作項目。通過確定具體的安全需求,他們可以在當(dāng)?shù)毓餐囵B(yǎng)人才。例如,廣泛說明安全認(rèn)證的價值并降低認(rèn)證成本,使求職者更容易從事安全工作。
