網絡安全管理及安全分析服務商SkyboxSecurity公司的高級技術總監DavidAnteliz對企業必須從以嚴重性為中心轉變為以風險為中心進行了分析和闡述。他指出,采用主動和全面的安全策略可以幫助安全團隊應對網絡安全威脅。
很多企業的網絡安全戰略已經落后,這并不是什么秘密。調研機構最近發布的一份報告發現,在迅速變化的威脅形勢下,40%的首席安全官認為他們的企業并沒有對網絡安全做好充分的準備。這一統計數據表明,過去幾年,數字化轉型的步伐加快,網絡攻擊面擴大。
與此同時,網絡犯罪的復雜性也在不斷增加,新的漏洞數量也在不斷增加。即使是更早的漏洞(例如Log4j),在未來幾年仍將對企業構成威脅。
Anteliz表示,全球在2021年公布了20174個新漏洞,高于2020年的18341個,這凸顯出漏洞的數量快速增長。在過去的一年,美國網絡安全和基礎設施安全局(CISA)發布了30多個安全警告,警告企業防范一些能夠被利用的漏洞,其中許多漏洞影響了各行業組織。影響許多設備和企業的警報的一個例子是Icefall漏洞,美國網絡安全和基礎設施安全局(CISA)為此在去年6月發布了警報提醒公眾。這些警報解決了56個影響全球幾個關鍵基礎設施環境中操作技術(OT)設備的漏洞。受到影響的供應商包括霍尼韋爾、摩托羅拉、歐姆龍、西門子、艾默生、JTEKT、BentleyNevad、PhoenixContract、ProConOS以及Yokogawa等公司。
影響企業運營業務的漏洞并不復雜,導致企業無法最大限度地減少摩擦,也無法集中精力于健康安全和環境(HSE)影響。這使得網絡威脅行為者能夠更快地發現新的攻擊并將其武器化,從而導致許多漏洞。
網絡安全已經成為企業董事會擔憂的一個主要問題。安全團隊努力應對不斷擴大的技能差距、日益分散的網絡、可見性和補救以及掃描差距所導致工作負載不斷增加等問題。安全團隊的任務是克服日益嚴峻的挑戰,發現和補救具有最高業務風險的漏洞。數據泄露對企業的業務影響可能是巨大的。隨著威脅和壓力的增加,那些繼續依賴傳統反應性網絡安全方法的企業將會繼續落后。
漏洞掃描并不足夠安全
通常使用的“掃描和補丁”策略忽略了現代漏洞管理的關鍵組件,特別是在設置修復優先級時。僅靠掃描程序無法提供足夠完整的網絡拓撲信息,警報會使安全運營過載,因此無法正確識別企業面臨的真實風險。
采用傳統的方法可能會讓資源有限的團隊感到沮喪,例如依賴電子表格和人工評估來獲取漏洞的洞察。這些方法未能包括所有影響漏洞風險的因素,導致安全團隊無意中將資源浪費在網絡犯罪分子可能永遠不會發現或不知道如何利用的問題上。
如果沒有及時、準確地檢測高風險漏洞并確定其優先級,安全團隊將無法成功降低企業面臨風險,即使他們關閉了大量漏洞。現在是采取新方法的時候了,將網絡安全從被動措施轉變為主動識別和降低風險的有效流程。
最近美國國家安全局(NSA)和美國網絡安全和基礎設施安全局(CISA)發布的指南打開了一個新的窗口,強調了企業從傳統方法轉向漏洞管理的重要性,并指出保護OT/ICS的傳統方法不能充分解決當前對這些系統的威脅。該指南建議創建一個完整的“連接清單”,作為緩解風險的關鍵步驟,還強調了在黑客攻擊之前消除漏洞暴露風險的重要性。為了成功地遵循這些建議,企業必須采取積極主動的方法來進行漏洞管理,學習在威脅環境中識別和優先考慮暴露的漏洞。
采用基于風險的方法
安全團隊應該尋求采用基于風險的方法來進行漏洞管理,通過使用更復雜的評估策略、優先級和補救功能來增加對消除網絡犯罪分子可見的漏洞的關注。
基于風險的網絡安全方法對于任何網絡風險管理計劃都是必不可少的。通過量化風險的概率和將產生的影響,企業可以就是否減輕、接受或轉移風險做出明智的決定。這種方法可以幫助企業更有效地分配資源,這比以往任何時候都更重要,并更快速有效地響應網絡威脅。基于風險的管理還使安全優先級與業務保持一致,并幫助安全領導者在他們的觀點和結果上更具戰略性。
基于風險的網絡安全戰略有多個方面,其中,企業應該關注成功實施的三個關鍵組成部分:
•漏洞分析:通過進行漏洞分析,企業可以識別可利用的漏洞,并在企業的網絡配置和安全控制中關聯數據,以確定網絡攻擊在哪里構成最高風險,該策略決定了可以用來訪問易受網絡攻擊的攻擊向量或網絡路徑。
•風險評分:網絡風險評分為企業評估安全態勢提供了一個客觀的衡量標準,該標準考慮了一系列風險因素,包括關鍵資產脫機的財務影響、威脅情報的可利用性、曝光率和資產重要性。風險評分能夠使企業在對手破壞系統時量化每天的業務成本。
•漏洞評估和優先級:該策略允許具有復雜環境和有限資源的企業在最重要的地方通過優先考慮構成最大風險的漏洞來實現這一點。為了確定嚴重程度,漏洞評估和優先級可以自動考慮威脅情報、資產場景和攻擊路徑分析。
基于風險的網絡安全管理方法具有變革性,使企業能夠專注于其最重要的資產,并主動預防威脅。自動化解決方案使快速有效地實現基于風險的方法成為可能,并為安全團隊節省寶貴的時間,還提供了持續監控風險和實時自動響應變化的能力。最近的一項行業基準研究發現,在2021年沒有出現數據泄露的企業中,48%是基于風險的網絡安全領域的領導者。
