1. 依靠操作系统供应商能完全防止自身的网络安全漏洞
依靠操作系统供应商来防止其自身的网络安全漏洞是不可能实现的,就好像Microsoft Defender号称它可以保护所有的微软终端一样。
谁是网络安全世界中最大的安全供应商?毫无疑问,你会想到Windows,因为它既是操作系统供应商又是其安全软件供应商,微软的安全系统也称为“Microsoft Defender”、“Windows Defender”和现在的“Windows Security”。
2021 年是 Microsoft系统中出现的漏洞达到了史上最高峰,比如攻击者疯狂地利用了 Exchange Server 中的 Microsoft 漏洞,例如 ProxyLogon 和 ProxyShell。紧接着是 PrintNightmare,接下里是 HiveNightmare。
Microsoft Defender 几乎没有阻止 Hafnium 和 Conti 组织利用此类漏洞发起的任何勒索软件攻击,并且它们在 Defender 中存在的时间超过了 12 年的。
最近的历史表明,依靠操作系统供应商来防止其自身的网络安全漏洞是不可能实现的。
2. Mac 是安全的,根本不可能遭遇黑客攻击
与微软不同的是,苹果并不是为了保护自己的产品而销售安全软件,但它仍然借着自己是一个封闭系统积极宣传自己的安全性,将其作为 Mac 相对于其他硬件的独特卖点之一。事实上,苹果的产品和其他产品一样,也需要第三方安全管理。比如最近肆虐的Log4j漏洞,包括苹果公司、亚马逊公司、云网络安全服务公司、国际商用机器公司(IBM)、微软旗下“我的世界”、帕洛阿尔托网络公司和推特公司都向其用户发出了安全警告。再比如2021年底的CVE-2021-30853(CVSS 评分:5.5),攻击者可以利用该漏洞简单而可靠地绕过无数基本的 macOS 安全机制并执行任意代码。
苹果今年早些时候承认 macOS 确实存在被恶意软件攻击的问题,虽然很少有公司将 Mac 用作服务器或网络控制器,从而避免了勒索软件运营商的注意,但它们在企业高管和开发人员中都非常受欢迎。这使得企业级 Mac 成为对高价值攻击目标,而在过去 12 个月中出现的新 macOS 恶意软件主要是针对特定目标的间谍活动和后门。
与此同时,Mac用户自己在很大程度上并不知道,恶意软件可以并确实在许多方面击败苹果使用的内置安全技术。Mac 的内置安全性在很大程度上依赖于代码签名、证书撤销检查和旧文件签名。攻击者绕过这些防护并没有什么困难,并且与 Microsoft Windows 一样,操作系统软件的复杂性使得修复漏洞越来越频繁。
最重要的是,Mac 的内置安全控件无法让用户或管理员看到。作为首席信息安全官,如果没有外部安全软件提供防护,你如何知道有哪些 Mac感染了后门、间谍软件或其他 macOS 恶意软件?
3.提前预防是不可能的,只需要检测就可以了
它已成为传统网络安全供应商的一个防御失败的借口了,他们试图用这个借口为防御套件和 EPP 的失败辩解,声称预防是不可能的,感染后检测和隔离是唯一现实的防护目标。
但我们已经到了 2022 年,多年来我们一直在使用机器学习和人工智能,任何企业都明白企业的安全供应商完全有办法完全阻止基于文件的恶意软件预执行。
完全依赖基于签名的检测的供应商应该用可以防止大多数类型的恶意 PE 文件的静态 AI 引擎补充或替换他们的检测引擎。更重要的是,信息岗位上的管理者应该拒绝那些告诉他们无法预防的供应商。
4. 零信任安全可以完全确保网络安全
虽然采用零信任是减少攻击面的正确方法,但现实是大多数组织无法跨多个资产和安全系统有效地实施完整的零信任架构 (ZTA)。
当供应商提供“零信任 SKU”时,组织应谨慎行事。除了营销高谈阔论之外,实现 ZTA 安全模型还需要跨所有技术进行集成。没有“即插即用”的方式可以在一夜之间改变你的组织。事实上,从传统的基于边界的安全模型到 ZTA 安全模型是一个多年的过程,而对企业的攻击每天都在发生。
传统的安全防护是以边界为核心的,基于边界构建的网络安全解决方案相当于为企业构建了一条护城河,通过防护墙、VPN、UTM 及入侵防御检测等安全产品的组合将安全攻击阻挡在边界之外。这种建设方式一定程度上默认内网是安全的。零信任的本质是以身份为中心进行动态访问控制。零信任对访问主体与访问客体之间的数据访问和认证验证进行处理,其将一般的访问行为分解为作用于网络通信控制的控制平面及作用于应用程序通信的数据平面。
与企业安全方面的许多方法一样,ZTA 只是提供了一种解决方案,但它不是万能药。
5. 移动设备的安全不是必须的
令人难以置信的是,目前还有些供应商和安全从业者仍然没有意识到企业中移动设备安全保护的必要性。多年来,我们一直在通过移动设备查看商务邮件和访问工作数据。
移动领域由两大操作系统供应商 Google 和 Apple 主导,尽管他们采取了截然不同的方法来保护安全,但都明白移动安全的必要性。最近,谷歌专门对 iOS 零日、零点击漏洞如何危害苹果用户做了剖析。以色列一家名为NSO的软件公司推出名为飞马的间谍软件可以几乎监视全球任何一部iPhone,只需要被监视的人误点击一条链接就能静默监控,甚至不需要有任何操作就能监控,令人望而生畏。
尽管如此复杂,但该漏洞并非由民族国家行为者开发,而是由私营企业 NSO 集团开发。在这种环境下,以利润为导向的攻击者可以将这种水平的专业知识应用到危害我们的移动设备上。移动攻击是真实存在的,企业管理者应该应用移动威胁防御措施来跟踪用户和设备的行为和操作。
6. 只要将数据备份就可以保护你免受勒索软件的攻击
信息安全世界瞬息万变,没有一成不变的防护措施。回想 2017 年的 NotPetya 和 WannaCry,当时大多数企业因为没有备份数据而遭受了无法估量的损失,后来,人们对勒索软件的防护措施里就多了一条,即备份数据。
然而现在这个经验并没有什么参考意义,因为到 2019 年,我们看到第一个人为操作的勒索软件组织——Maze和 DoppelPaymer开始使用双重勒索方法:通过公开窃取的数据来威胁用户,从而支付赎金。现在,如果公司重视数据的隐私,备份并没有让他们摆脱被勒索的困境。
双重勒索已经成为大多数勒索软件组织的标准操作方式,有的甚至威胁泄露客户数据或勒索受害组织的客户。
即便如此,一些组织还是准备死扛到底,冒着数据泄露的风险,从备份中恢复数据。不幸的是,这只会让攻击者把赌注提高到三重勒索方式上,除了威胁泄露数据和加密文件外,他们开始用DDoS攻击淹没受害公司,迫使他们回到谈判桌前。这意味着,再多的备份都无济于事。
信息安全员要注意的是,勒索软件运营商从以前的受害者那里获得了大量现金。他们有能力购买大规模的僵尸网络,用DDoS攻击你的网络,直到你付钱为止。如果条件允许,他们还可以负担得起从其他罪犯那里购买初始权限的费用,他们也可以负担得起雇佣人工操作人员(也就是“附属机构”)来实施攻击。备份在今天的双重和三重勒索勒索软件威胁中毫无意义。
7. 勒索软件威胁可以由政府解决
我们已经看到了多次有价值和勇敢的尝试,以对抗因美国政府对网络犯罪的新关注而导致的勒索软件激增。
今年5月7日攻击美国最大燃油系统Colonial Pipeline受到黑客攻击,Colonial Pipeline向媒体证实该公司支付了440万美元的赎金以换得解密工具,但因该工具的速度太慢,促使Colonial Pipeline继续利用自己的备份来恢复系统,一直至5月15日才恢复正常运行。5月30日,全球最大肉品企业JB,遭到网络攻击,造成澳洲与北美地区的部分肉品处理产线中断,美国白宫在6月1日召开记者会时也提及了此事,表示JBS应是遭到来自勒索软件攻击。
虽然JBS的总部位于巴西,但此次勒索软件攻击的受害者则是JBS的美国子公司JBS USA,因此,当JBS USA遭到攻击时,也同时惊动了美国政府,白宫与美国农业部皆已派员协助JBS USA。
对抗勒索软件已成为美国政府的重要政策,美国总统拜登(Joe Biden)也已启动快速战略审查,以解决日益增加的勒索软件意外,包括与私人企业合作以了解勒索软件架构的分布及参与者,创建一个全球联盟以向窝藏罪犯的国家究责,扩大对加密货币的分析以发现及追查犯罪交易,以及重新审查美国政府的勒索软件政策。
尽管政府采取行动的努力值得称道,但网络犯罪分子并未受到执法部门的威慑。
8.实现网路防御自动化后,你就不需要人工干预了
防护人员的网络安全技能的短缺是真实存在的,但尽管自动化可以为防护力和效率做出宝贵的贡献,但自动化永远不会取代网络安全中的人的因素。
风险不是静态的,随着组织的成熟和业务的扩展,风险面也在不断增长和变化。更多的服务、更多的生产服务器、更多的流和更多的客户数据使得降低风险的挑战不断提高。由于没有什么灵丹妙药可以让你了解企业的风险,也没有量化保护企业安全的手段,因此始终需要能够创新、评估和缩小这些差距的网络安全人才。
攻击载体也在不断进化,三年前,组织依靠对PE和其他可执行文件的静态分析来检测和防止恶意软件。不久之后,我们开始看到无文件的、基于脚本的攻击,以及成功渗透企业网络的横向移动尝试。像SolarWinds、Kaseya等大规模供应链攻击风暴为风险管理增加了另一个维度。与此同时,勒索软件经济创造了一个庞大的附属网络,这些附属网络使用新的垃圾邮件技术来绕过传统解决方案。
人类需要技术来帮助扩展、最大化生产力、消除日常的任务并专注于需要关注的关键事项,但最好的情况是网络安全自动化将减少不断增长的领域和攻击面。
9. 有了MDR安全服务则万事大吉
虽然自动化永远不会取代对人类分析师的需求,但也有相反的情况:人类永远无法像计算机一样快速地检测、响应和修复可识别的攻击。我们需要以最适合任务的方式使用我们的人力和计算机资源。
在软件和服务供应商中,托管检测和响应是越来越受欢迎的产品。随着部署率增加,这类产品的种类也随之增加。除MDR外,现在还有MEDR、MNDR和MXDR等。托管终端检测和响应(MEDR)。此服务的重点主要在终端。那些具有终端检测保护代理的供应商通常会扩展其产品,为其软件提供托管检测和响应。在安全性方面,几乎没有万能的解决方案。但是,在决定哪种服务最适合你的企业和需求时,你需要回答几个问题,包括以下:
是否涵盖你的终端?远程工作和零信任架构突显终端对企业整体安全状况的重要性。如果你没有强大的终端保护程序,MEDR是不错的选择。
总结
网络安全是一项复杂的业务,这是一个无法回避的事实,但做好基础工作是第一步。减少对操作系统供应商的依赖,部署设备上的终端保护,提供对整个产业的可见性,并培养网络安全人才,才会避免上述网路安全误区。