新的一年資安長反思他們在 2022 年所學知識,以及如何應用這些知識的好時機。
文/Andrada Fiscutean‧譯/Nica
我們就要結束這動盪的一年:馬斯克買下 Twitter、俄羅斯入侵烏克蘭,許多員工也回到了他們的辦公室。我們也看到了首位因隱瞞資料外洩事件而被判入獄的資安高層。
這些與其他種種事件改變了商業經營版圖,也迫使資安長(CISO)在不確定狀態下領航前行。「由於網路安全領域的移轉,2022 年成為里程埤的一年,我們將在研究網路安全與數位信任何時與何以緊密融合的歷史中進行回顧。」Trustwave 的資安長 Kory Daniels 如此表示。
2022 年,各行各業企業組織紛紛提升資安預算。同樣地,他們也意識到,若資安團隊未能確實證明能夠保障企業安全的方式,這項投資「就會成為紙老虎」,Daniels 補充表示。
每個人自有一套分析這一年的方式,繼而對發生的一切進行反思,這麼做可以對未來提供寶貴的知識,因此我們訪談了幾位資安長,分享他們在今年學到的幾個切身相關的課題。
「若公司企業不從這些課題吸取教訓,完善他們資安的實作方式,我們將看到更多的資安稽核與第三方風險評估,而這終將對企業的財務、聲譽、營運,甚至是合規性造成影響。」Veracode 的資安長 Sohail Iqabl 如此表示。
一、別等到地緣政治衝突才推動安全性
俄羅斯對烏克蘭的全面入侵,致使國家主義者與犯罪組織選邊站,也迫使企業組織採納政府為協助他們強化安全性狀態所發佈的指南。這其中含括美國網路安全暨基礎設施安全局(CISA)的 Shields Up【譯註:資安指引入口網站】與英國國家網路安全中心(NCSC)的 Technology Assurance。「這場衝突提醒了許多企業組織詢問網路復原力備戰狀態的相關問題,以制止這些威脅行動者,甚至戰勝這場攻擊。」
這些問題多年前就該問了。「不要等到具有進攻能力網路安全團隊的國家之間爆發全球衝突,成為你評估企業組織安全狀態是否經得起產物威脅與攻擊的理由那一刻。」Google Cloud 的資安長辦公室總監 Taylor Lehmann 表示。
企業組織與機構,通常需要數年處理這些評估與實施建議控管間的鴻溝,因此早點提問有益無害。「我們必須體認到,要花上很多時間(有時需要數十年)與努力,才能保障企業組織處於不受進階安全性威脅的狀態。 」Lehmann 補充道。
二、威脅行動者數量爆增,導致服務異常低廉
勒索軟體幫派在 2022 年不斷退役又重塑,據 ENISA 指出,威脅集團展現出「針對供應鏈與代管服務供應商攻擊能力的不斷提升。」此外,駭客即服務的業務模式依然是主流。
「現在任何人都能犯罪,技術並非必要。」前西雅圖市資安長與網路安全公司 Critical Insight 資安長 Mike Hamilton 說道。「犯罪集團使用的附屬機構與即服務的業務模式,降低了進入的門檻,這從接收到的誘餌訊息數量與性質上都不能發現。」
舉例來說,C2aaS 平台 Dark Utilities 的 premium 級存取僅需 9.99 歐元。該平台提供的服務包括遠端系統存取、DDoS 功能與加密貨幣挖礦。
三、訓練不足的員工將令公司損失數百萬
勒索軟體攻擊在 2022 年持續升溫,公司企業與政府機構是最顯眼的目標。Nvidia、Toyota、SpiceJet、Optus、Medibank、義大利帕拉摩市,以及哥斯大黎加、阿根近與多明尼哥共和國的政府機構皆為 2022 年受害者,這一年,財務與政治意圖的勒索軟體集團界線逐漸模糊。
任何企業組織,防禦策略中最重要的一塊應該是員工意識與訓練,因為「員工一直都是威脅行動者透過釣魚與其他社交工程手段的戰略目標。」GuidePoint Security 的資安長 Gary Brickhouse 如此表示。
儘管如此,今年的好消息之一就是董事會成員與執行高層開始注意勒索軟體了,因為他們已經看見這些攻擊對營運所能造成的影響。
四、政府正積極立法保障網路安全
美國、英國與歐盟正強化立法,保障自身免於網路事件威脅。「找出關鍵風險,我們也看見持續走向立法干預的趨勢。」NCC Group 集團資安長 Lawrence Munro 如此表示。
在美國,聯邦與州政府層級已有所改變。政府機構如今被要求實施安全性訓練並遵循資安政策、標準與實作。他們也必須回報資安事件與應對計劃。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
Munro 補充表示,他對於應如何主動為即將到來的法規做好準備的觀點已有所改變。「我已備有監控此事的策略,但必須進一步開發自動化元件,確保已提前為任何改變做好萬全準備。」他表示。
企業組織必須注意資料隱私權與資安規則持續進化這件事。「瞭解它們之間的差異,以及企業組織是否符合資料落地權、資料主權與資料在地化需求,如今已是關鍵業務營運當務之急,而且這一切會日趨複雜。」
五、企業組織應更完整追蹤開放源碼軟體
於 2021 年尾聲浮現的 Log4j 危機,持續延燒整個 2022 年,影響全球成千上萬的企業。據 CISA 近期報告指出,這個涉及遠端程式碼執行的漏洞,在未來會持續造成「重大風險」,因為它將「持續存留在系統裡好多年,可能十年,甚至更久。」
「Log4j 這個漏洞為業界許多人敲響了警鐘。」Thrive 的資安長 Chip Gibbons 表示。「許多企業組織不知道自身在某些系統裡使用這個軟體,因為他們真正的重點放在面對網際網路的那些裝置。」
雖然這個資安議題造成一團混亂,但它也提供了學習契機。「Log4j 既是詛咒也是祝福。」Sumo Logic 的安全長(CSO)暨 IT 資深副總 George Gerchow 如此表示。「它讓我們在事件反應與資產追蹤上做得更好了。」
公司企業開始更認真持續追蹤開放源碼軟體,因為他們瞭解「誤信正在使用中軟體的來歷與品質,終將受害。」Lehmann 表示。
六、應該更注重找出漏洞
企業組織在追蹤開放源碼軟體與版權軟體裡的弱點上,應該要再做更多。不過,這不會容易,因為每年都有數以千計的臭蟲出現。漏洞管理工具有助於識別作業系統的應用中發現的的漏洞並排列優先順序。「我們必須瞭解在我們第一方程式碼中的漏洞,擁有一份漏洞清單與適切處理方式,以管理第三方程式碼裡的風險。」Iqbal 表示。
Iqbal 指出,好的 AppSec 專案,應該是軟體開發生命周期的一部份。「若你撰寫安全程式碼就是從弱點出發並預先管理它,就能大大保障企業組織的安全。」Iqbal 表示。「別忘了,到最後,一切都是程式碼。你的軟體、應用、防火牆、網路與政策,統統都是程式碼,因為程式碼變動如此頻繁,所以必須持續不斷這麼做。」
七、公司企業必須做更多以保障供應鏈安全
鎖定 Okra、GitHub 的 OAuth tokens 與 AccessPress 等攻擊事件,所造成的意外事件頭條新聞,讓供應鏈攻擊成為 2022 年網路安全頭號隱憂。保障免於這些威脅的任務在 2023 年依舊是個複雜的處理程序。「我認為供應鏈風險範疇的快速進展困擾著許多企業。」Munro 表示。「我們知道已有諸多資金投入解決這些問題的各項技術,但都缺乏針對這些解決方案如何適應現有體系的瞭解。」
據 Munro 表示,軟體物料清單(SBOM)帶來了新的框架與技術。「這份清單有管理資訊整合的工具、軟體物件供應鏈級別(SLSA)的補充框架,與漏洞可利用交換(或稱 VEX)這類技術標準。」Munro 表示。「這會大大增加複雜度,為防禦者帶來更多挑戰。」
Lehmann 補充表示:「我們還應該考量遭到入侵時,硬體供應鏈會對我們造成什麼樣的影響,而我們現在又有什麼能力或需要什麼能力,才能信任(或不信任)為我們使用中那些軟體提供能力的硬體。」
八、零信任應為核心準則
零信任專案,不僅止於佈署技術以管理身份或網路。「它同時也是一項紀律與文化:在數位轉型期間,剔除隱含信任,用嚴謹信任取而代之。」Iqbal 表示。「這是必須跨身份、端點裝置、網路、應用工作負載與資料,同時進行的程序。」
Iqbal 補充解釋,每項單一產品或服務都應支援單一登入(SSO)/ 多因子驗證(MFA),而公司與非生產性網路應與正式上線環境隔離。「為多重信號建立關聯,驗證端點是否更新安全態式,並針對驗證、存取與授權使用行為模式分析,也相當重要。」他補充說道。
九、網路責任險需求可能持續提升
近幾年,網路責任險已成為必要條件,但保費卻逐年遞增。而且,企業組織面臨來自保險業者更多的審查,確認風險範疇。「這個程序比過去嚴苛許多,為獲得網路責任保險所需耗費的時間與精力更多。」Brickhouse 表示。「企業組織應將這個處理過程視同稽核看待:預先準備,完整紀錄企業的資安專案與監控,嚴陣以待將面對的驗證程序。」
十、軟體測試的「左移(shift-left)」處理已過時
僅測試風險是否「左移」是不夠的【譯註:以軟體測試時間軸為基準,將產品發行視為里程埤。】,ReversingLabs 現場資安長 Matt Rosa 如此說道。縱然在早期階段測試產品的觀念是合理的,但開發人員不過是複雜應用安全性專案的一部份。「DevOps 程序的所有階段皆具風險,因此應該套用工具,遍及程序所有地方移動調查,不僅止於左移。」他表示。「若企業組織僅搜尋左側是否有問題,就只能發現左側的資安風險。」
據 Rose 所述,更好的處理方式是提升整個 DevOps 生態體系的安全性,包括建立系統與可佈署的物件本身。「供應鏈風險與安全的重要性與日俱增,若只找左側很難發現問題。」他補充道。
十一、用錯誤工具處理錯誤資產無法修復問題
Halborn 共同創辦人暨資安長 Steven Walbroehl 說道:「錘子是給釘子用的,而不是螺絲。」他的重點是?資安長必須留意細節差異,為想要解決的問題找到正確工具。「我們在 2022 年學到的教訓,就是開發人員或公司企業不應試圖將安全性一般化,以為它是可以一體適用於所有資產與資源的解決方案。」他說道。「我們都應該付出最大的努力,找出必須被保護的特定技術所適合或行得通的資安解決方案或服務。」
十二、企業組織需要協助才能瞭解完整的應用程式架構
科技世界一年比一年複雜,企業組織必須瞭解其整體應用生態體系,才能避免重大資安漏洞。「應用程式因開放源碼套件、API、內部開發程式碼、第三方開發程式碼與微服務使用上的激增、一切都串接在不斷變動的原生雲端開發實作上而日益複雜。」Rose 表示。「若你不知道要找的風險型態是什麼,又怎麼能找到它?」
Rose 表示,現今開發實務著眼於越來越小的責任區塊,所以沒有人能完整掌握應用的所有面向。
十三、安全性應是努力不懈的任務
太多科技領域以外的公司企業將網路安全視為要只執行一次就保證安全的任務。然而,科技是動態的,保護它應是「需要風險管理處理方式的持續努力。」Walbroehl 表示。「公司企業不應該試圖將網路安全視為通過/失敗的目標。」
Walbroehl 建議,企業組織應找出關鍵處理程序與資產。接著,確認他們所能接受的安全性暴露程度等級。為降低風險等級所需的解決方案或處理程序排列優先順序會是不錯的做法,他補充道。
十四、制定計劃
2023 年將是資安長筋疲力盡的一年幾乎是可以確定的了。他們將再次面臨全方位挑戰:烏克蘭戰爭將會持續、有些國家可能面臨衰退,而技術會是持續進化的領域。這就是何以必須為意外事件發生制定一套計劃。「現在就做好準備,而不是事到臨頭再倉促成事。」Gibbons 表示。
Trustwave 的 Daniels 贊同這個觀點。「我們在今年學到的重要教訓之一,就是對網路安全採取嚴格反應處理,事實上會削弱企業競爭力、財務狀況與市場成長力,並將它們置於風險之中。」他表示。「主動,甚至預先性網路安全操作已逐漸成為資安領導者的重要條件,建立有效率地將安全性融合到業務裡的程序也是。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)