新年一季度业已过半,但仍是清点存货、展望未来,让2021年成为最好年景的好时机。为此,公司企业需回顾2020年,从这个网络安全尤为困难的时期汲取经验教训。
很多公司企业2021年的预算都很紧张,所以安全预算不在削减之列的情况可能有些令人意外。个中问题就在于安全团队不得不寅吃卯粮来填补去年始料不及的安全需求,导致今年一开年,预算就是部分亏空的。
我们无法预测今年会发生什么,但可以根据2020年的情况考察几个合理的安全投资领域。2021年,我们的工作、旅行、游玩方式都将不同于以往,网络安全也必须考虑到这些变化。
即使能重回办公室,这个过程也将十分缓慢。
这一年,更多的人将继续在家办公。市中心的办公楼依然封闭,员工也意识到了不用每日通勤的便利,于是,在家办公的状况似乎不太会发生改变。事实上,2020年年中的一份独立研究指出,IT主管认为,近35%的员工在疫情之后仍会部分或全部时间都继续在家办公。我们可能会重返办公室,但每周五天工作制恐怕会终成历史。
有鉴于此,远程员工可能会因为更加依赖个人设备和家庭网络而遭受更多攻击。我们可能会看到手机被用于中间人(MitM)攻击,甚或家庭物联网设备感染恶意软件,在用户工作时嗅探企业数据。
所以,必须升级网络策略和移动设备策略,使之能够应对远程办公面临的基础设施和设备挑战。这样我们才能支持安全远程办公。可以采纳的技术包括家庭环境的多因子身份验证和零信任策略,或者强制使用虚拟专用网连接访问任何工作相关的信息。
▶ 老派黑客手法依然战果丰硕
过去几个月在家办公比例如此之高,2020年商务电邮入侵(BEC)攻击的数量也是水涨船高,各公司雇员频繁遭遇BEC攻击。电子邮件是工作和生活不可或缺的通信方式,攻击者自然不会放过这么好的机会。钓鱼邮件貌似来自合法供应商或承包商,请求合情合理,截止时间却强人所难。收件人在紧迫时限的压力下往往疏于验证就匆忙响应。尤其是在请求者是(或者至少看起来是)公司高管的情况下,雇员很容易就为了表现工作效率而快速响应,及时做出邮件所要求的动作。
想要切实减轻BEC风险,唯一有效的方法就是用户意识培训。很多公司企业都会执行虚假电子邮件测试活动,针对响应了虚假邮件的用户进行意识培训,收效甚好。同时,围绕安全进行工作-生活培训也是不错的方法。比如说,要强调与非预期邮件发件人对话以验证真实性的重要性,并格外警惕截止时间特别紧迫的电子邮件。综合运用以上几种方法可以帮助用户识别BEC邮件,在收到此类邮件时能够正确应对。
▶ 威胁随网络变动而演进
随着越来越多的业务迁移到公有云服务,存储在云端的数据也越来越多;2020年,因数据库防护不周或暴露而发生的数据泄露事件增多毫不令人意外。2021年,我们将会逐渐熟悉“云劫持”这个术语:网络罪犯入侵云服务索要赎金,或是借助云服务发起大规模恶意软件攻击。
5G服务已做好快速铺开的准备。接入这些网络的物联网设备越来越多,安全比以往任何时候都来得更为重要,必须防止攻击者从不安全物联网设备跳转入企业网络,进而染指业务系统,造成无尽损害。
网络演进的每一步都要考虑安全因素。隐藏基于云服务角色的账户,定期更换复杂密码,采用多因子身份验证:挡在网络前面的安全层越多越好。物联网设备也应保证安全,但在某些情况下,由于效率需求、实时性需求和电池寿命等因素而无法切实做到这一点。推出任何服务和产品都需要利用隔离、安全路由和高级威胁检测等现代网络功能来缓解和减少物联网漏洞。这些安全考虑可能挡不住彻底武器化的针对性攻击,但会尽早报警,争取足够的时间加以缓解伤害。
▶ 安全不止于检测
网络安全往往就是与攻击者比拼谁技高一筹,虽说攻击者一方天然占据主动优势,但目前安全团队已经有了明显成长。过去,安全主要用作防守战术。不过,在新技术新功能的帮助下,检测也走入了主动战术行列,公司企业开始更多地关注在事发前识别威胁。SIEM(安全信息与事件管理)和云SIEM等领域的发展将帮助安全团队追捕威胁,在数据和服务遭破坏前就做好防护。
2020年,我们的安全团队被适应新冠肺炎疫情的非预期挑战搞到疲于奔命,而且不幸遭遇了一些安全滑铁卢。现在看来,基本上多数公司企业设置的工具和过程还是符合公司安全要求的。展望未来,强安全的重要性毋庸置疑。如今,公司企业真正认识到了这一点,而随着安全逐渐进入董事会级讨论,各团队朝着共同目标迈进,安全也将帮助公司企业切实保护好公司资产和用户。
凡事预则立,汲取了2020年的经验教训,心中萦绕这许多安全考虑,2021年将会是安全的一年。我们仍将遇到许多挑战与变迁,但前进的脚步不会停下,用户和企业都能得到充分的保护。
