普普安全資訊一周概覽(0924-0930)

作者:

時間:
2022-09-30
01

未來:超自動化

網絡安全左移和右移的理念已經得到業(yè)內的廣泛認可,但除了應用安全,無處不在且不斷快速增長的網絡空間資產更是令打補丁這項工作成為了不可能的任務。似乎只剩下一條路可走,自動化,或者說智能化更加準確些。因為,不僅是實時性,前瞻和預測也同樣重要。只有機器速度的識別、理解和響應,安全團隊才能夠在幾乎不需要人工干預的情況下,主動、快速地解決問題。自動化將完成大部分工作,人只是最終的仲裁者,根據機器提供的智能分析采取適當的行動決策。這個過程區(qū)別于傳統(tǒng)的自動化,可稱之為超自動化。

在接下來的五年里,我們將看到超自動化在漏洞補丁管理中的廣泛應用。如果說漏洞管理時代開始于2011年,基于風險的漏洞管理開始于2017年(Wanncry和Nopetya),那么從2023年至2025年將是從基于風險的漏洞管理過渡到超自動化管理的時期。


普普點評

到2025年,我們應該看到更多的安全控制以代碼的形式編寫到軟件中,比如將策略作為代碼,將安全作為代碼,將開發(fā)作為代碼。同樣,我們將補丁作為代碼,暴露面作為代碼,漏洞枚舉作為代碼。“作為一種代碼”(as a code)將成為未來十年的流行語。隨著它成為熱門話題,我們將在“自動化技術嵌入軟件”方面取得巨大進展。




02

2022年三大SaaS安全威脅

當不法分子打算攻擊你的SaaS應用程序時,他們會使用更基本,更復雜的方法。通過SaaS應用程序攻擊商業(yè)電子郵件帳戶的傳統(tǒng)路線遵循以下方式:

1)網絡不法分子發(fā)送包含OAuth應用程序的釣魚郵件

2)用戶點擊該鏈接

3)用戶登錄自己的帳戶

4)應用程序請求允許訪問閱讀電子郵件和其他功能

這會創(chuàng)建一個OAuth令牌,直接發(fā)送給網絡不法分子。

5)OAuth令牌使網絡不法分子能夠控制基于云的電子郵件或驅動器等。(取決于所獲取權限的范圍)

6)不法分子通過 OAuth來訪問電子郵件或者驅動等,并將其加密。

7)用戶再次登錄到他們的郵箱和驅動時,就會發(fā)現(xiàn)自己的信息已被加密。勒索軟件生效了。

8)用戶收到勒索信息:他們的信息已被加密,必須通過付錢來恢復權限。


普普點評

經過多年來的發(fā)展,SaaS逐漸被運用于各大企業(yè),不但降低了成本,也方便了軟件的維護。由于SaaS的數據和服務均部署在云端,所以用戶可以打破空間的限制,隨時隨地地通過瀏覽器來辦公。但這同時也帶來了更多的安全隱患。提高效率和便利的同時,我們更要把安全放在首位,否則只會得不償失。



03

提升安全事件響應能力方法

1、建立定期的事件響應溝通機制

當網絡安全事件發(fā)生時,不知道從何處入手可能會加劇攻擊的損害后果。當需要制定或啟動計劃時,每個參與人員都必須準確地知道自己該做什么。

2、將事件響應計劃落實到執(zhí)行手冊

針對威脅的事件響應手冊對于有效的執(zhí)行安全事件響應計劃至關重要。該手冊不一定要正式發(fā)布,但應該包含一個易于訪問的文檔,并且可以在事件響應混亂期提供指導。

3、持續(xù)優(yōu)化安全事件響應計劃

安全事件響應計劃必須定期修訂,尤其是在公司不斷成長的情況下。

4、主動測試響應計劃的有效性

企業(yè)在事件響應測試中的主要問題在于,對計劃落實中的壓力測試存在不足,因此每個利益相關者都應該參與到計劃的評估測試過程中。

5、定期開展企業(yè)安全狀況審查

定期開展安全狀況審查將使事件響應工作更加有效,并有助于降低事故發(fā)生的風險。常見的審查工作應包括更改密碼、更新和輪換密鑰、審查訪問級別等。


普普點評

對于計算機安全事件響應來說,必須時刻準備好應對突發(fā)的網絡安全事件。在嚴重安全事件發(fā)生時,需要能夠第一時間制定應急處置方案,充分調動內外部團隊資源,并讓所有成員明確自己的任務。此刻,保持頭腦冷靜、行動周全對于成功處理安全事件至關重要,而如果陷入到焦慮不安的恐慌中,將會嚴重影響企業(yè)做出正確的決策。



04

未來網絡安全的四大趨勢

趨勢一:持續(xù)開展遠程工作

新冠疫情極大地改變了企業(yè)的工作方式。隨著企業(yè)向遠程工作的轉變,安全團隊需要重新考慮工作安排,并采取必要措施來更新安全策略、流程和技術。

趨勢二:采用自動化技術

企業(yè)對網絡安全的需求不斷增長,用人工智能和機器學習并對監(jiān)控的安全事件數據執(zhí)行持續(xù)數據分析的安全技術可以比人們更快地檢測新威脅,增加自動化的數量和提高自動化技術的質量可以減輕網絡安全的日常負擔。

趨勢三:采用零信任原則

在授予訪問權限之前驗證每個設備、用戶、服務或其他實體的可信度,并在訪問期間經常重新驗證可信度,以確保沒有受到損害。

趨勢四:提升響應能力

通過勒索軟件攻擊獲得已經成為網絡攻擊者的一項實際業(yè)務,企業(yè)需要做好應對大規(guī)模勒索軟件事件的準備,這意味著事件響應人員不僅要與安全專家密切合作,還要與系統(tǒng)管理員、法律顧問等人員密切合作,以確保響應順利進行并迅速恢復。


普普點評

隨著企業(yè)繼續(xù)應對與遠程工作增加和由新冠疫情驅動的在線商務面臨的網絡威脅,網絡安全已經上升到企業(yè)議程的首位。根據研究,88%的企業(yè)現(xiàn)在將網絡安全視為業(yè)務風險,而不僅僅是IT團隊需要處理的技術問題。并且由于對網絡安全的擔憂加劇,加上網絡安全專業(yè)人員的持續(xù)短缺,也將推動未來幾年網絡安全戰(zhàn)略和工作場所政策的變化。



05

筑起數據安全“防火墻”

近年來,在總體國家安全觀的指引下,我國高度重視、不斷推進數據安全保護工作,數據安全領域法治建設不斷完善?!?021年施行的數據安全法、個人信息保護法與2017年施行的網絡安全法,共同構成了我國數據安全立法‘三駕馬車’,標志著我們國家數據安全領域基礎性法律框架體系構建完成。”中國信息通信研究院副院長魏亮認為,在上述三部法律構成的基礎性法律框架體系之上,其他法律、法規(guī)、地方性法規(guī)等不斷細化、充實相關具體內容,共同促進我國數據安全領域法律法規(guī)體系日益健全。近年來,網信、公安、市場監(jiān)管等部門持續(xù)加大對APP違法違規(guī)收集使用個人信息、數據非法獲取和交易等重點熱點問題的整治力度,相關部門結合各行業(yè)、各領域數據安全監(jiān)管需求,積極推動行業(yè)企業(yè)落實數據安全保護責任,同時聚焦數據安全突出問題開展專項行動,數據違規(guī)共享、數據安全保障措施不到位等突出問題得到有效整治。


普普點評

數據安全是國家安全的重要組成部分,數據泄露、丟失和濫用將直接威脅國家安全和社會穩(wěn)定。目前,泄密溯源技術、大數據反詐系統(tǒng)、量子加密技術等各種數據安全技術在不斷的更新迭代發(fā)展中。作為企業(yè)也應當時刻警惕數據安全,并根據相關配套制度制定適合企業(yè)的相關數據安全管理規(guī)范,緊跟國家步伐共同構建安全“防火墻”。



07

物聯(lián)網面臨的五個方面的安全挑戰(zhàn)

挑戰(zhàn)1:滿足規(guī)模需求

機械制造廠通常每月生產大量設備,每臺設備都有自己的證書和身份。維護所有已頒發(fā)證書的清單,并監(jiān)控和更新它們,這是一項重大任務。

挑戰(zhàn)2:零信任

拒絕訪問是默認設置,并且僅根據嚴格的標準授予訪問權限,它不僅將安全性作為一項功能加以固定,還將其作為整個產品生命周期的設計元素融入其中。

挑戰(zhàn)3:平臺限制

安全性從來不是物聯(lián)網設備的賣點。市場上重要的是產品的性能、能源效率、成本等。物聯(lián)網產品銷售商不能通過將安全性作為價值主張向客戶收取更高的產品費用。

挑戰(zhàn)4:平衡安全性和功能性

在制造設備的設計過程中,安全通常不是首要事項。產品設計必須考慮平衡安全性和互連性,以防止?jié)撛诘臄祿孤犊赡軐ζ髽I(yè)聲譽造成損害。

挑戰(zhàn)5:滿足合規(guī)標準

物聯(lián)網將在未來幾年內發(fā)生大量演變。新的用例、技術和威脅將催生新的法規(guī)。但安全性永遠是物聯(lián)網開發(fā)的首要任務。


普普點評

從理論上來說,物聯(lián)網基礎設施甚至比服務器和工作站更安全,因為人工流程通常是基于云計算的基礎設施中最脆弱的部分。但作為一項面臨爆炸性增長的新技術,隨著新技術、法規(guī)、用例和威脅的出現(xiàn),物聯(lián)網設備安全可能成為一個不斷變化的目標。因為醫(yī)療設備、軍事設備或主要公共設施等受到損害的數據泄露的潛在后果可能會危及人身安全。