Mary K. Pratt

這場疫情不斷考驗(yàn)著企業(yè)的安全實(shí)力，也暴露出了很多弱點(diǎn)。

一年前，2019年秋天，Mike Zachman為他的公司斑馬科技（Zebra Technologies）進(jìn)行了一次安全演習(xí)。

作為首席安全官，Zachman負(fù)責(zé)網(wǎng)絡(luò)安全以及產(chǎn)品安全和物理安全，他把這次演習(xí)的重點(diǎn)放在業(yè)務(wù)連續(xù)性上，以確定公司的計(jì)劃能否順利實(shí)施。

他過去曾組織過類似的活動，模擬過勒索軟件攻擊，以及摧毀數(shù)據(jù)中心的自然災(zāi)害等。為了進(jìn)一步測試他的公司，2019年他提出了一個新設(shè)想：假設(shè)出現(xiàn)了疫情，上班族都要接受體溫檢查。

Zachman向大家保證，他并非有先見之明，而是非常務(wù)實(shí)：過去，跨國公司不得不應(yīng)對非典和局部流行病，因此他認(rèn)為測試公司應(yīng)對疫情的反應(yīng)是負(fù)責(zé)任的舉措。

這次演習(xí)測試了該公司的“3+2”戰(zhàn)略，旨在確保其災(zāi)難恢復(fù)、供應(yīng)鏈和員工（“3”）以及維修站和配送中心（“2”）有足夠的彈性來處理事件。

Zachman說：“經(jīng)歷了這一演習(xí)后，當(dāng)新冠疫情爆發(fā)時，我們發(fā)現(xiàn)我們已經(jīng)做好了充分的準(zhǔn)備。當(dāng)然還是有挑戰(zhàn)。我們投入了很多人員和精力來確保我們能正確地執(zhí)行。而我們不需要跑來跑去的問‘我們該怎么辦？”

該公司有一個指揮與控制計(jì)劃，有足夠的VPN來支持廣泛的遠(yuǎn)程工作。該公司的員工隨身帶著設(shè)備，因?yàn)?019年秋季的演習(xí)促使他們認(rèn)為有必要晚上把筆記本電腦帶回家，以保證突發(fā)緊急情況時的業(yè)務(wù)連續(xù)性。

然而，Zachman說，斑馬科技在其網(wǎng)絡(luò)安全運(yùn)行中仍然遇到了一些需要解決的問題。例如，該公司發(fā)現(xiàn)，其筆記本電腦上的一些配置不能很好地保護(hù)通過員工家庭互聯(lián)網(wǎng)進(jìn)行的長期遠(yuǎn)程訪問。而且，對家庭筆記本電腦網(wǎng)絡(luò)數(shù)據(jù)流的可見性較低，這促使斑馬科技加快了向更成熟的零信任環(huán)境的邁進(jìn)。

正如斑馬科技的經(jīng)驗(yàn)所表明的那樣，這場疫情暴露了即使準(zhǔn)備充分的企業(yè)也存在安全缺陷。在持續(xù)的不確定性和長時間在家工作的情況下，首席信息安全官及其部門仍然要繼續(xù)開展工作，遇到這些大大小小的缺陷，無論其規(guī)模和性質(zhì)如何，都使得首席信息官們格外的忙碌。

IT服務(wù)管理公司TEKsystems的風(fēng)險(xiǎn)和安全實(shí)踐主管Kory Patrick說：“可能是‘嘿，這是我們的差距，也可能是‘我們比自己想象的要落后得多，但每個人都在疫情中學(xué)到了一些東西?！?/p>

暴露出的安全短板

最近幾個月的大量報(bào)告發(fā)現(xiàn)，2020年攻擊的數(shù)量、類型和嚴(yán)重程度都呈上升趨勢。例如，NETSCOUT在其上半年的威脅情報(bào)報(bào)告中稱，上半年共有483萬次攻擊，比上一年增加了15%。這些統(tǒng)計(jì)數(shù)據(jù)凸顯了首席信息安全官自3月份以來一直所說的：這一疫情不斷考驗(yàn)著企業(yè)的安全實(shí)力。

疫情還暴露出很多弱點(diǎn)。安全領(lǐng)導(dǎo)和專家列舉了一些已經(jīng)暴露出來的常見短板：

準(zhǔn)備和計(jì)劃不足。網(wǎng)絡(luò)安全解決方案和咨詢服務(wù)公司W(wǎng)aite SLTS的創(chuàng)始人、網(wǎng)絡(luò)安全女性組織（WiCyS）成員Shelly Waite Bey介紹說，在疫情的最初幾個月，很多企業(yè)意識到他們對安全計(jì)劃的關(guān)注和投資低于需求。她說：“當(dāng)時有很多企業(yè)捉襟見肘，而這些企業(yè)現(xiàn)在正通過提高安全性來改善這種狀況。”

不被董事會重視。IS副總裁兼McBride首席信息安全官Kathryn Salazar說，很多首席信息安全官在高管層面的地位不高，除非發(fā)生了事故，否則他們?nèi)匀幻鎸χ辉笍氐捉鉀Q網(wǎng)絡(luò)風(fēng)險(xiǎn)的董事會。她說：“在這種新環(huán)境下，首席信息安全官并沒有獲得保護(hù)企業(yè)所應(yīng)得的資金。”

2020年10月，來自SafeGuard Cyber的一份報(bào)告證實(shí)了她的觀察結(jié)果，其指出“實(shí)際存在的安全和合規(guī)需求與企業(yè)規(guī)劃能力之間仍然存在明顯的脫節(jié)和緊張關(guān)系。盡管在未經(jīng)批準(zhǔn)的應(yīng)用程序、勒索軟件攻擊、保護(hù)各種技術(shù)堆棧等方面存在數(shù)字風(fēng)險(xiǎn)，但只有18%的受訪者認(rèn)為安全問題應(yīng)該上升到董事會層面?！?/p>

一直依賴周界防御。隨著企業(yè)爭相為員工啟用遠(yuǎn)程工作方式，很多首席信息安全官意識到他們沒有足夠的VPN來支持負(fù)載，他們的安全基礎(chǔ)設(shè)施也無法保證只有經(jīng)過授權(quán)的個人才能在需要時訪問所需的數(shù)據(jù)。Patrick將此歸咎于一直嚴(yán)重依賴于周界防御，這種依賴性使得很難安全地?cái)U(kuò)展遠(yuǎn)程工作方式，有時甚至是幾乎不可能。專家們說，為了應(yīng)對這種情況，首席信息安全官正在加速采用先進(jìn)的身份和訪問管理解決方案以及零信任原則。

補(bǔ)丁問題。網(wǎng)絡(luò)威脅情報(bào)分析師、網(wǎng)絡(luò)安全組織VetSec和WiCyS的資深成員John E. Stoner說，2020年的事件也暴露了企業(yè)程序補(bǔ)丁的弱點(diǎn)。Stoner說，一些企業(yè)通常沒有投入足夠的時間來應(yīng)用補(bǔ)丁，而其他企業(yè)則沒有強(qiáng)大的資產(chǎn)管理計(jì)劃來有效地管理補(bǔ)丁。還有一些在為企業(yè)資產(chǎn)打補(bǔ)丁方面做得很好，但沒有將補(bǔ)丁程序推送到用于工作的個人設(shè)備上。

黑客們也心知肚明，成功攻擊了很多仍然沒有打上補(bǔ)丁的已知漏洞。Stoner說：“我們已經(jīng)看到，沒有打上補(bǔ)丁導(dǎo)致了入侵，包括一些大公司?！盇rctic Wolf公司的《2020年安全運(yùn)營報(bào)告》將補(bǔ)丁協(xié)議問題確定為一個關(guān)鍵問題，指出在疫情期間，關(guān)鍵漏洞打補(bǔ)丁時間增加了40天。

可見性和控制不足。網(wǎng)絡(luò)安全顧問兼首席信息安全官Gina Yacone介紹說，她建議她的企業(yè)客戶考慮他們新的遠(yuǎn)程工作人員所帶來的漏洞。她解釋說：“我很擔(dān)心他們的個人家庭網(wǎng)絡(luò)，包括路由器和Wi-Fi等，這些不可能真正提供企業(yè)級的保護(hù)，除非他們是以企業(yè)方式購買的。”她還指出，家庭網(wǎng)絡(luò)一般沒有加密，有些甚至沒有密碼保護(hù)。如果企業(yè)不使用VPN，或者他們的員工正在處理任何類型的敏感數(shù)據(jù)，那么這種情況就特別成問題。Yacone問道：“員工們在家里真的能按要求保護(hù)數(shù)據(jù)嗎？”據(jù)Arctic Wolf的報(bào)告，自3月份以來，連接開放式Wi-Fi網(wǎng)絡(luò)的設(shè)備數(shù)量增加了243%，這意味著“如果沒有適當(dāng)?shù)目刂拼胧?，分散在各地的員工們面臨著越來越大的不安全網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)?！?/p>

風(fēng)險(xiǎn)管理和法律咨詢服務(wù)提供商Consilio的全球信息治理咨詢服務(wù)副總裁Matt Miller說，與此同時，對于那些沒有成熟的數(shù)據(jù)分類、強(qiáng)大的資產(chǎn)管理流程以及成熟的監(jiān)控計(jì)劃的企業(yè)，很難在這些領(lǐng)域獲得所需的可見性，無法保證自己足夠安全。他舉了1個例子，一家客戶公司有550萬個社會保險(xiǎn)號碼，包含在6000個電子表格中，既沒有密碼保護(hù)也沒有加密。Miller說，這種情況促使企業(yè)安全部門急忙去開發(fā)并實(shí)施策略和解決方案，以提高對端點(diǎn)、數(shù)據(jù)流和網(wǎng)絡(luò)流量的可見性和控制能力。

缺乏敏捷性。Miller說，在過去的幾個月里，一些安全部門疲于應(yīng)對接踵而來的一個個挑戰(zhàn)。誠然，他們要處理一系列艱巨的危機(jī)，這就要求快速處理任務(wù)，但在這些方面遇到困難后，很多首席信息安全官卻發(fā)現(xiàn)，他們的安全部門沒有他們所希望的那么敏捷。專家將敏捷方面的局限性與安全領(lǐng)域長期存在的問題聯(lián)系在一起，即缺乏足夠的人員和缺乏自動化，員工們無法從日常的例行雜事中解放出來，也就不能從事價值更高的項(xiàng)目。不管是什么原因，其影響都是顯著的。Miller看到一些企業(yè)需要幾個月的時間來處理安全漏洞，他指出：“不夠敏捷、不能快速進(jìn)行調(diào)整的后果是，這些企業(yè)過度暴露于風(fēng)險(xiǎn)之中，風(fēng)險(xiǎn)等級急劇上升。現(xiàn)在已經(jīng)明白，他們需要更加靈活才能處理超出常規(guī)的情況?！?/p>

得到的教訓(xùn)

盡管2020年的事件凸顯了企業(yè)安全機(jī)制中的薄弱環(huán)節(jié)，但安全專家指出，很多問題其實(shí)都是首席信息安全官計(jì)劃在其長期路線圖中解決的已知問題。

Patrick說：“很多企業(yè)一直想會有更長的時間來做出改變，但疫情加快了這些計(jì)劃，因?yàn)橐咔楸┞读撕芏嗥髽I(yè)的安全問題，并直接影響了業(yè)務(wù)的可用性?！?/p>

現(xiàn)在正在采取補(bǔ)救措施。

Patrick等人說，隨著企業(yè)網(wǎng)絡(luò)周界環(huán)境的最終消失，以及隨著遠(yuǎn)程員工的增加和聯(lián)網(wǎng)設(shè)備的增長，端點(diǎn)的數(shù)量也在激增，他們看到越來越多的首席信息安全官轉(zhuǎn)而使用零信任架構(gòu)，或者使用的越來越成熟，以更好地保證安全。

首席信息安全官也在加強(qiáng)端點(diǎn)管理程序，并推進(jìn)數(shù)據(jù)分類和控制。

所有這些都應(yīng)該促使整體上更加安全——或許，這就是烏云背后的一線光明。

Miller說：“我看到首席信息安全官并沒有對今年的特殊事件做特別的準(zhǔn)備，但他們現(xiàn)在說，‘讓我們看看怎樣改進(jìn)我們的災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃，以后無論再出現(xiàn)什么情況，我們都能適應(yīng)未來發(fā)展?！?/p>

Mary K. Pratt是馬薩諸塞州的一名自由撰稿人。

原文網(wǎng)址

https：//www.csoonline.com/article/3596517/6-security-shortcomings-that-covid-19-exposed.html