壞消息:勒索軟體成為更大的威脅,致使找到安全人才變得更加困難;好消息:資安長資安長將獲得影響力,安全基礎設施也將獲得改善。
文/Michael Nadeau 譯/酷魯
新冠病毒大流行對安全團隊造成了沉重的打擊。勒索軟體攻擊增加。遠距辦公中斷並削弱了安全處理程序。資訊長被迫調整其短期和長期計畫。2021年將會更好,對吧?
好吧,情況會有所不同,有些情況可能會變得更糟。CSO安全長一直在追蹤關注4個關鍵趨勢,以預測它們在2021年將如何發揮作用。所有這些趨勢都受到新冠疫情大流行的驅動或影響,這將對威脅形勢以及安全團隊如何保護人員和資產造成長遠持久性的影響。
1.勒索軟體:更大、更卑鄙、更聰明
網路犯罪分子變得更加投機。這種大流行使組織在疲於奔命應付危機帶來的各種副作用時變得更加漏洞百出。這使得2020年成為勒索軟體攻擊的興旺之年,尤其是在數量增加上最為明顯。網路保險(Cyberinsurance)服務供應商Coalition報告指出,在2020年上半年提交的所有網路保險索賠項目中,勒索軟體佔比高達41%。
企業、學校和醫療機構正在努力應對大流行的同時,可能無承受得住因勒索軟體攻擊而導致系統離線的後果,而且攻擊者確知他們因此更有可能願意付費了事。根據端點安全防護商於2020年8月和9月間進行的《2020年Crowdstrike全球安全態度調查》指出,在過去12個月中,有27%的勒索軟體受害者支付了勒索費,平均支付額達110萬美元。
[ 下載 2020-21 CIO大調查報告,掌握最新企業IT導入趨勢 ]
攻擊者最近改變了策略,進一步提高了受害者的風險。他們改進了加密方案的實施方式,使其更難以破解。如今一些犯罪份子不再只是簡單地加密關鍵資料,而是威脅如果不支付贖金,就會將所竊取的敏感資料公諸於世。例如,FIN11駭客組織直到最近才專注於勒索金融、零售和飯店業者。去年,他們將重點轉移到勒索軟體上,並架設了一個網站,一旦有任何受害公司拒絕支付勒索要求的贖金,便會將所竊取的資料公開在該網站上。
網路基礎設施暨網站安全公司Cloudflare報告指出,包括 Fancy Bear、Cozy Bear 和Lazarus在內的一些駭客組織正在進行基於勒索的分散式阻斷服務(DDoS)攻擊。如果沒有支付贖金,攻擊者會威脅透過DDoS攻擊癱瘓目標受害者的網路,有時還會同步伴隨著會引發輕微破壞的「挑逗性」攻擊。
運用愈來愈大的壓力迫使受害屈服勒索、專門鎖定最漏洞百出的受害者,以及使加密資料更難復原的策略,將使勒索軟體成為2021年網路犯罪分子最賺錢的「營業項目」,並成為所有組織所面臨的最大威脅。這使得資訊長在未來一年裡如何確保他們能遵循減緩勒索軟體風險的最佳實踐變得更至關重要。
2.資安長的角色與作用不斷擴大
就像網路犯罪分子看到四處興風作浪的機會一樣,資安長也獲得了在公司領導層中發揮更大作用的機會。COVID已提升安全的重要性與影響力。更大的攻擊量,尤其是勒索軟體,引起了CEO執行長、CFO財務長和董事會的注意,他們正在尋求資安長的因應之舉。由大流行引發組織內的數位轉型熱潮可能會增加其自身的安全風險,因此資安長必須成為這個過程的一部分。安全支援大量遠距工作者的突發性需求引起了人們對系統和資料弱點的擔憂。
最成功的資安長始終會檢視業務環境中的安全機制。隨著關注的加重,這使得這些安全機制變得更加重要。這也使得公司上下也對他們執行和管理大流行所迫使的複雜性作業變更能力建立了信心。
在最近《CSO》雜誌舉辦的CSO50全球資安大會上,麥當勞副總裁暨全球資安長 Tim Youngblood 談到了當前資安長需要做什麼才能取得成功。首先要從擅長這項工作的技術方面做起,但Youngblood特別強調了卓越營運(Operational Excellence)的必要性,他將其稱之為允許資安長從事其他事情的入場券。
他以身分管理為例。「這是連接公司所有資產的方式,」他說。「歸根結底,儘管身分認證很大部分是在保護東西,但我們也讓安全連接環境中的一切成為可能。這正是卓越營運在其中變得如此重要的原因所在。如果他們在營運作業上不信任你,那麼在其他事情上也不會信任你。」
[CIO都在讀: 網路安全真相、數據與統計 ]
Youngblood另外也建議安全負責人要與業務端合作。「我們已占有一席之地。我們常被要求與董事會對話。既然我們現在已占有一席之地,我們就必須展現我們的價值。」這意味著不只要討論到威脅和緩解措施,並要說明安全如何變成能成就業務的最佳夥伴。「如果你成為合作夥伴並且被完全信任,那麼你的成功就是他們的成功,」他說。
成功的合作關係需要良好的溝通。華特迪斯尼公司(Walt Disney Company)資訊安全暨風險管理資深副總裁 Greg Wood 在CSO50資安大會上發表了有關資安長討論2021年安全性的演講。「資安長必須能以不同高度談論網路安全事務,他們並且需要知道他們自己處於什麼樣的高度,」儘管資安長在與精通技術的同事們交談時必須能夠展現出技術知識,才能擁有「江湖名聲」(Street Credibility),他表示,但資安長必須以每個業務合作夥伴的「語言、焦點、觀點」進行交流。
「我們被更快地拉進業務戰略會議中,」Wood表示。「而以前向來都是技術戰略會議。當你被要求與會不是因為CIO資訊長希望你出席,而是CFO希望你參加的話,那麼這無異是組織紀律本身成熟的標誌。」
不僅僅大流行重塑了資安長的角色。新的隱私權和安全法規也在發揮作用。「我們的工作有了根本性的改變,」抖音(TikTok)安全長 Roland Cloutier 在CSO50資安大會上這麼說。「我們的服務需要改變,其中尤以如何保護資料為然。你要如何推動會與組織中其他隱私、IT、資料管理與資料治理等方面專業跨界交流的資料防禦計畫。這遠遠超出了網路防禦行動的範疇。我們正在討論的是資料等級的控制、保證與監控,以及如何將其整合到你安全平台中的細節。」
資安長應對這些新法規要求的關鍵是要與自己組織內的總法律顧問和隱私工作小組保持良好的關係,Cloutier表示。「我們需要對我們的業務、提供的內容,以及能提供內容的所在都要有清楚的了解。一旦了解了你自己的操作參數……你就建立了良好的關係,你便可立於不敗之地開始建立你需要提供的服務。
3.組織重新評估安全策略和技術堆疊
如果端點可以在任何地方,也可能在不受控制的裝置上,那麼你要如何保護所有端點?你的組織是否已為日益精緻化與專業化的網路犯罪組織做好準備?你的安全基礎架構和人員能否應付和適應快速的變化?
隨著COVID「在家辦公」轉變策略的實施,企業開始出現許多安全團隊不得不加以保護的全新遠距端點,這些端點有可能在未來成為永久性的「常態」模式。網路安全管理軟體商Skybox主導的《網路安全新常態》(Skybox’s Cybersecurity in the New Normal)大調查顯示,有70%的組織認為至少有三分之一的遠距工作者會在未來18個月繼續維持這樣的工作型態。這樣的發展態勢,說明了凡是將這些行動假設為暫時性的安全措施都有必要重新思考與評估。
大流行也刺激了許多公司啟動或加速數位轉型計畫,這強烈意味著要將更多的系統移轉到雲端上。關於這一點也需要對安全策略和基礎架構做一番重新思考與評估。
[CIO都在讀: IT必須掌握的新核心能力 ]
安全負責人愈來愈擔心國家級駭客組織所構成的直接和間接威脅。在Crowdstrike調查中,有87%的受訪者表示,國家級贊助的攻擊比大多數人想像的更加普遍,有73%的人認為,這類攻擊會在2021年成為企業組織的最大單一威脅。在大流行期間,像生物科技和製藥公司會說出他們面臨最高風險(約82%受訪者這麼認為)的話,可是一點都不奇怪。但這並沒有考慮到國家級贊助代理組織單獨行動所造成的間接性國家級威脅,也沒有考慮到犯罪集團愈來愈有用的戰術、工具和程式。
根據IDG《安全優先順序研究》報告指出,為了因應這些永久性的變動和不斷加劇的威脅,許多公司正在研究一些會在2021年進行前導測試或直接實施的技術。受訪者表示,他們將在2021年評估或投資這些技術:
- 零信任(Zero trust)(40%)
- 欺敵/誘騙技術(Deception technology)(32%)
- 身分驗證解決方案(32%)
- 存取控制(27%)
- 應用監控(25%)
- 雲端式安全服務(22%)
4.安全人才招募:需求上升
隨著安全負責人適應大流行所帶來的長期變化,許多負責人可能會希望增加人員編制或改變其安全團隊的組成。即使在最好的時期也很難做到這一點,但是隨著每個人莫不都在重新評估人員需求,2021年招聘安全人才的難度勢必會加大。
安全部門基本上沒有受到與大流行相關裁員的影響,只有24%的Crowdstrike大調查受訪者表示,他們因COVID新冠病毒而導致人員流失,而約35%受訪者表示他們凍結了安全人員的招聘。因此,千萬別指望2021年由於裁員而會有大量人才湧入市場。但基本上對安全人才的需求似乎也在成長。專門提供網路安全就業市場數據的CyberSeek顯示,在筆者撰寫本文時,美國約有525,000個安全工作空缺,而在大流行疫情爆發前則約有390,000個空缺。更糟糕的是,Emsi Research 在2020年7月的研究報告指稱,符合這些職位要求的合格候選人不到20萬人。
[ 加入 CIO Taiwan 官方LINE,與全球CIO同步獲取精華見解 ]
其中一種選擇就是考慮遠距安全工作者。雖然許多組織都拒絕僱用遠距安全專業人員,但這起新冠疫情大流行已向許多人證明,並非所有安全人才都必須駐守在現場才行。這讓企業得以將尋求原本難以找到的人才範圍擴大到不同的地理區域。
Emsi Research 的報告為填補安全職位空缺提出了一些建議。首先是訓練非安全人員,這就是所謂的「只建不聘」(build, don’t buy)策略。據該報告指出,IT、財務和商業經營人員是最適合進行再培訓的員工,而且他們轉型至網路安全的比率最高。每個人都各有自己專精的領域知識,例如網路系統、金融交易和商業流程,這對任何安全技能的再學習會有強化的作用。
另一個建議是讓雇主、教育機構和當地勞動力發展計劃進行協同合作。透過特定安全需求的確認,他們可以共同培養在地級人才。例如,透過安全認證價值的傳達與成本的降低,他們可以讓求職者更容易勝任安全角色。
(本文授權非營利轉載,請註明出處:CIO Taiwan)