服务
网络安全
数据与网络安全服务 | 塔塔咨询服务TCS
基本要点
- 许多网络安全实践着眼于确保合规性而非降低风险;他们仍遵循“信任,但要验证”的基本理念。为应对当前挑战,我们需要一种更具弹性的(安全防御)模式,其运作前提为“永不信任,始终验证”。
- 零信任网络安全能够应对新兴威胁和不断变化的访问需求,且可实时检测威胁,并立即采取行动,保护企业的数据、设备和运营得安全,而重复使用的密码和VPN无法做到这些。
- 如今,最好的网络安全解决方案实际是服务,而不仅仅是软件。该解决方案可应对不断演变的威胁态势,且可为目标导向型企业快速推进的创新议程提供支持。
问题
如今,我们的经济、社会和监管环境均处于不断演变的动态过程之中,这要求我们对传统企业网络安全进行重新审视。在这样一个以云计算和威胁日益分散为特色的时代,仅靠那些于数据和应用程序等IT基础设施构成要素均囿于公司内部时确立起来的实践显然是不够的。超连接无边界网络成为现代数字化组织的新常态。这意味着组织将在全球范围内面临越来越宽泛的威胁面,以及越来越多的包含恶意行为者的载体。
技术进步—从物联网到人工智能和高级分析—让构建兼具有弹性和适应性的目标驱动型企业成为可能。然而,对许多公司而言,IT网络安全原则和工具仍只是事后想法,因而它们一直在试图赶上技术颠覆步伐。因此,虽然企业的业务部门一直专注于将新产品快速推向市场,这点无可厚非,但其在必要安全标准和治理方面却经常处于滞后状态。
这使得重要数据出现漏洞(易受攻击),而一些重要业务也面临风险。更重要的是,网络风险的威胁对象已不仅是公司、政府和个人信息。随着物联网功能广泛应用于我们的日常生活—包括先进的医疗保健解决方案—甚至人类的生命也可能面临风险。
新冠疫情期间及之后的网络安全
近年来,采用过时安全策略的公司所面临的网络攻击风险日益加剧。但随着新冠肺炎疫情的出现,该等挑战已急剧增加。
由于现在有如此多的关键员工在远程工作,敏感数据需要在公司的围墙外共享。这包括员工数据、知识产权、公司财务数据和其他专有信息。它还包括关于客户的数据,比如客户采购信息及其所购产品在相关领域的表现等。
网络罪犯抓住了这一机会。他们推出网络钓鱼计划,诱使电子邮件用户点击恶意文件。其中许多计划都与新冠肺炎疫情有关,包括模仿语音邮件的音频文件(针对Office 365用户),以及自称由公司高管发出的电子邮件等。与此同时,暴露在互联网上的远程桌面协议(RDP)服务器数量已从2020年1月的300万台剧增至5月的450多万台,而在3月和4月,美国境内针对该等服务器的攻击量均增加了300%以上。
让安全专家的工作更加复杂的是,自带设备(BYOD)工作协议的普遍存在给了网络攻击者可乘之机,使其可利用员工机器上未打补丁的已过时操作系统或不安全应用程序3,例如,最近在流行的iOS邮件应用程序中发现了一个漏洞,而该漏洞可能已被利用两年(甚至接近八年)。4此外,公司还须防范中间人攻击,即攻击者秘密潜入用户与其所访问的网络服务之间,伺机发动攻击。例如,攻击者或可利用被破坏的Wi-Fi系统来获取用户发送的任何信息,包括密码。
企业还面临一些更新、更复杂且更易渗透的威胁。利用无补丁软件漏洞的零日漏洞威胁日益增多。此外,恶意软件攻击,包括键盘记录器和勒索软件等,正在利用企业网络,甚或导致网络瘫痪。越来越多的恶意软件试图将IoT设备与僵尸网络相连接,使僵尸网络可对公司、政府和机构发起大规模分布式拒绝服务(DDoS)攻击,进而在一些行业中引发有史以来最大规模的停业现象。5
挑战:一个庞大且不断扩展的漏洞网络
面对如此众多的威胁,企业必须确保修复大量漏洞。员工本身亦可能带来风险,无论是由于糟糕的网络安全卫生状况还是出于自身恶意。深度融合的合作伙伴和供应商,包括第三方供应商及其下游供应商,亦可能为网络犯罪活动打开大门。例如,因犯罪分子使用恶意软件窃取暖通空调(HVAC)分包商的登录凭据,而最终导致1.1亿目标客户的个人和信用卡数据遭泄露。随着企业对数字生态系统的互操作性的依赖的加强,威胁形势的复杂性也在加深。
犯罪分子还可能利用许多非人类实体,包括(但不限于)机器人、微服务、自动化功能以及支持系统访问的技术(如IoT设备及操作技术)等。事实上,企业IT系统存在许多漏洞:未打补丁的过时软件;加密缺失或不足;不安全的SQL数据库;以及允许代码(包括JavaScript和ActiveX代码及其他相关代码)提交的数据访问点(例如基于网络的应用程序)和网站输入字段等。
数据泄露情形日益严峻
有这么多漏洞可以利用,网络攻击的数量和严重程度同时上升便不足为奇了。而在一些受新冠肺炎疫情影响最严重的国家,如美国和意大利,这种情况已在加剧。新冠肺炎疫情导致旅游业业绩急剧下滑,受此影响,万豪酒店(Marriott)于2020年4月遭受了网络攻击,致使超过500万名客人的数据受损,6这是该酒店两年来遭受的第二次大规模网络攻击。无独有偶,2020年4月,欧洲最大的电力和天然气供应商之一葡萄牙电力公司也遭受了网络攻击。罪犯要求该公司支付1100万美元的赎金。7
在某些情况下,网络罪犯的黑手伸向了各大组织,这些组织是应对新冠肺炎疫情不可或缺的成员。新冠肺炎疫情开始后,世界卫生组织冠状病毒检测实验室所遭受的黑客攻击数量增加了一倍。捷克共和国一家拥有最大规模新冠肺炎疫情检测设施的医院在遭受网络攻击后被迫关闭。最近,REvil勒索软件被用于攻击疫苗研究人员以及未打补丁的VPN服务器等。(2019年,网络罪犯部署REvil来攻击数据中心、托管服务供应商以及德克萨斯州地方政府和牙科诊所。)
物联网的兴起是导致安全漏洞数量增加的原因之一。虽然IoT黑客主要利用路由器漏洞,但他们也越来越多地瞄准那些并不接收IP地址的硬件,如网络摄像头、打印机,甚至是电表和加油站油泵。随着5G使IoT更为普及,手机可以作为Wi-Fi网络使用,这种风险将会加剧。
随着数字生态系统的不断发展,实现与客户无摩擦互动的需求日益增长,而满足这一需求可能会导致公司在安全方面做出妥协,因此网络安全的理念和实践均须改变。对所有非人类身份和外部用户的全面封锁,会将安全囿于“城堡”内,将机会置于“护城河”外。公司若想抓住“护城河”外的机会,就必须妥协并放弃全面封锁,而这势必会产生漏洞,除非该等妥协是引入风险导向、情境感知型的强适应性系统。这就是网络安全必须要走的路。
解决方案:适应性强的网络安全机制
我们早就应该重新思考网络安全,以改变用户名、密码和IP地址等概念,将其转变为支持网络安全基本功能的实际元素。只有当实现传统计算元素(大型机、操作系统、应用程序和联网)的原子化、抽象化和虚拟化时,新兴的数字生态系统才有望落地生根。因此,为保护自己并增强应对网络犯罪的弹性,公司需要考虑更广泛的生态系统,并采用适应性强的网络安全机制。
许多安全实践仍基于“信任,但需验证”的陈旧理念,然而,今天的数据和应用程序早已不再囿于公司内部,盲目信任已成为任何企业都负担不起的奢侈品。相反,网络安全应专注于在请求任何受保护资源时验证身份和设备。该等资源广义上包括任何一旦被泄露就会对企业构成风险的事物。它意味着数据、网络和工作负载,还包括其数据流及为其提供支撑的底层基础设施。
传统安全体系不够健全,无法保护由远程工作者、工作场所、合作伙伴和客户交互等构成的当代IT生态系统,亦无法保护员工在离职时可能需要访问的数据。过去,企业安全体系以在企业办公室内或使用VPN驱动型笔记本电脑工作的现有员工为基石。安全功能侧重于应对外部威胁。内部错误、威胁和泄密并未得以认真对待。
当只有台式机、打印机和本地数据中心需要许可时,这种安全体系足以应对公司所面临的安全挑战。但随着技术的不断进步,新漏洞也随之而来。不仅员工使用自己的设备(智能手机、笔记本电脑、平板电脑和台式机等),企业本身也依赖于联网产品相关操作技术。此外,各部门经常在企业IT保护伞之外独立部署机器人和其他自动化实体,而该等实体可能不符合安全标准。这就是为什么必须在企业IT架构内解决安全问题。
在数字生态系统中,安全局域网的访问权限不应该依据用户的电子邮件地址和密码,而应结合具体情境来授予,换言之,情境应成为确定能否访问的关键。情境是指考虑各种因素。例如,访问者是何种身份,身份状态如何?当前正在使用什么设备?设备安全状况如何?设备管理状况如何?从何处访问资源,包括物理方位以及网络相关方位?访问何时开始?
实现“零信任”网络安全
为部署使企业能够专注于其自身目的的安全体系,必须采用“零信任安全模型”。“零信任”通过对访问请求实施基于风险的自适应性粒度化控制,来防止对任何数字资源进行非授权访问。“零信任”依赖于以下六个核心原则及相关技术。
1. 永不信任,始终验证。
今天,几乎所有工作均在特定网络环境(即可能遭受破坏的环境)中开展。鉴于威胁的大量性、多样性和演变性,企业所用安全策略需能在访问建立之前验证任何身份。
2. 目的驱动型访问
以前的方法,比如通过互联网协议将“一次性密码”发送至电子邮件地址等,已经不再适用,因为它们极易被破坏。相反,访问必须是与情境相关且有时间限制的:确保“刚好”、“及时”交付所需业务成果方面。与多次密码重置和不安全的电子邮件传递相比,无密码多因素身份验证(MFA)对用户而言更安全,通常也更快。
3. 持续识别风险,并予以实时处理
应采用更具敏捷性和操作更严谨的自动化“发现-修复”法来取代大多数IT组织所采用的“审计、测试和修复”法,因为后者周期更长。
网络安全的目的应该是管理风险,以确保业务得以正常开展。但是大多数安全解决方案更重视合规性,而非风险本身。尽管合规在监管依从性、报告和安全卫生等方面总是必要的,但真正的技术风险往往与情境相关。只有那些支持动态校准控制方案的措施才能真正解决威胁。访问治理必须由资源的风险指数和身份背景的风险水平来驱动。
4. 设计即安全
随着由新技术和新商业模式推动的颠覆创新日益成为决定业务增长和市场份额的差异化因素,向终端用户提供可持续的、安全的产品和服务的重要性变得更加重要,特别是对于任何触及人类生活的创新。因此,由于网络安全必须成为决定客户体验和业务连续性的核心要素,在任何软件或系统开发周期的早期,就将网络安全因素考虑进去,以确保其优先级,并最终交付完美项目。
5. 以信息为中心的安全
前瞻性企业大多专注于其核心业务,而非IT,甚至会剥离与其经营目的无关的资产。如今,云模式大量涌现,以满足企业的计算需求,这使得企业可将其专有信息和专业知识(即企业相关数据及其具体用途)放在业务的核心位置,而IT服务可围绕该等核心部位确保周边区域的安全。
6. 安全即文化
俗话说,链条的强度取决于其最薄弱的环节,同样,企业数据的安全性取决于其最脆弱的数据载体。除将网络安全定义为一个执行问题外,安全文化还使网络安全成为每个人的责任,促使每个用户感知网络安全问题并采取行动。
实现强适应性网络安全
时至今日,大多数公司的网络安全解决方案与其他其他公司并无任何不同。虽然行业标准和先进方法应成为任何技术解决方案的基础,但只有商业解决方案才能真正帮助特定公司处理其日常工作及特殊紧急事项。基于塔塔咨询与全球近500家公司和7000名网络安全专家的合作,我们开发了一种兼具弹性和适应性的网络安全方法。
人类和自动化决策所需的洞察力
深入全面地了解与公司业务相关的威胁,是确保企业专业人员的开始,其次是识别和衡量风险,全面洞察价值最高资产及流程,以确定各网络安全举措的优先级,在此基础上制定可据以部署主被动能力以实现网络安全目标的明确战略。
将行事邪恶(或鲁莽)者拒之门外
针对受保护资产的访问,需考虑具体情境—访问者是谁,访问什么,为何、何处、何时及如何访问,以及特定请求或连接的定义等。例如:
- 身份:人类、非人类或享有特权者(如系统管理员)?
- 设备:笔记本电脑、台式机、移动设备或IoT传感器—是否托管?
- 地点:通过公司内部部署或互联网,从当地工厂或不涉及公司业务之处?
- 访问开始及持续时间:为何从凌晨3点开始访问某人力资源(HR)数据库,且访问时间长达数小时?
就对某资产的访问而言,只有在以上述方式对其进行定义后,方可在“零信任”情境中予以细分和治理。
可扩展自适应访问
面对新冠肺炎疫情大流行,我们的“工作(模式)”发生了一些变化。有关工作场所的一些陈旧概念,比如位于特定地理位置、固定工作时长(以当地时间计时)、出勤主义和高接触式管理等,正逐步被人才生态系统的分布式(工作)模式所取代,以使商业机会最大化。8
疫情加剧了这一趋势,但对更加重视专业知识而非不动产的公司而言,这种分布式(工作)模式正在发挥日益重要的作用。即使一些地区和办公地点在疫情后重新开放营业,在许多公司的劳动力管理政策和实践中,居家工作仍被视为一种永久性战略或员工选择。
然而,这种前瞻性工作方式需要同样具有前瞻性的安全战略。这涉及建立独立于设备标识和位置的可扩展式自适应访问模式。遗留安全解决方案(如VPN)无法充分容纳远程工作人员。相反,多因素身份验证法和远程访问即服务解决方案可随着安全需求的出现和相关访问实例的增加而满足不断变化的安全需求。
另一重要防护层通过在开发环境中嵌入身份、访问、威胁和漏洞管理并实现其自动化,而成功纳入敏捷方法和DevOps。DevOps团队经常需要使用沙箱、云平台和未经测试或开源的软件。通过保护存放其工作成果的容器,并安全管理其用于身份验证的“秘密”(该等身份验证通常涉及用于开发和测试的不同容器、工具、平台和应用程序),DevOps团队可以更自由地操控其工作环境,同时使安全风险最小化。
实时检测,立即行动
除预防和保护外,公司还需实时行动—这是最后一道防线。这意味着以较为敏捷的方式堵塞漏洞和应对攻击。为此,需利用产品现有安全特性,或采用由可信赖的合作伙伴提供的基于服务的高效安全举措。为及时解决可构成风险的威胁—无论是即时还是长期威胁,公司可以寻找能够修复弱点和覆盖受损点的合作伙伴的帮助。
除人类访问外,公司还需确保其部署的人工智能、机器学习、自动化和分析等技术的安全运作,因为该等技术本身对公司的战略性网络安全架构至关重要。人工智能和机器学习技术可实现对网络威胁的实时检测、即时调查和即刻应对。安全编排与自动化技术可提供高级功能来自动响应实时入侵和高级持久性威胁场景。
业务连续性所需的弹性
最后,公司必须为关键基础设施设计和实施零延迟的连续性、备份和恢复计划。这不仅对风险管理至关重要,对确保合规性亦是如此。事实上,政府现在正着手就关键IT基础设施发布命令。
风险防控为重点、上下文感知型安全所面临的障碍
预算和创新压力通常被视为风险导向、情境感知型安全所面临的两大主要障碍。
虽然网络安全通常被视为企业运营的必要条件,但考虑到威胁载体和漏洞的多样性,投资单点解决方案来解决特定网络风险并非一种可持续战略。
相反,当今最为先进的网络安全模式是基于消费的。通过利用网络安全即服务,公司可优化其现金流,同时获取最先进的防御能力,且通常无需额外付费来更新相关能力(与业已发布的许多商用现成版本不同)。此外,这种方法还可按捆绑价添加其他所需服务。该等网络安全即服务产品可能包括远程访问、身份管理、漏洞管理、威胁情报、数字取证、加密和多因素身份验证等。
此外,尽管合规导向型网络安全可能被视为企业的一个必选项,但其在企业内部通常被视为阻碍协作、创新和转型的制动器。换言之,对企业而言,合规导向型网络安全是一种“无可避免之灾祸”。相比之下,适应力较强的风险导向型网络安全却可颠覆这种看法(有时甚至颠覆现实)。对具备领先优势的网络安全实践和服务,其强大的适应性足以满足快速发展团队和新兴机遇的需求。通过消除遗留解决方案的许多“通用型”限制,网络安全可以以前不可用的方式实现开发、协作、迭代和现代化。
呼吁行动
打造成熟的网络安全体系并非一蹴而就之事。考虑到商业和前瞻性企业(更不用说野心勃勃的罪犯)不断演变的本质,“网络安全走向成熟”这一过程将是永恒的,尽管发现、定义、开发和交付等环节会随公司安全文化及其所用工具的发展和对不断变化的威胁和机遇的适应而逐步实现自动化和智能化。
发现
全面评估是帮助企业领导人了解其是否准备好实现网络安全现代化的第一步。了解企业安全现状—实际威胁概况、业务风险和当前安全态势等—是开展后续工作的基础。若缺乏该等知识,公司就只能处于完全被动的状态,只能在漏洞出现时予以及时封堵。
定义
有了发现的结果后,可据此创建一个方向性路线图来实现更高的安全成熟度。该路线图可确定可于短期内实现的初始目标,以及是否可以重用现有工具或是否需要新工具来满足该等目标的要求。最后,路线图可根据当前威胁级别以及组织对其网络安全最终成熟度的愿景,制定一份覆盖实现前述成熟度目标所涉各战术战略阶段的计划。
开发
若无需要广泛或即时关注的紧急威胁,即可开展一些可为防御提供支持的战术工作,该等工作通常由已配有少量资源的开发团队负责开展。
路线图所定义的其他领域可能会对敏感数据产生不那么直接、相对容易解决的风险,因此该等领域的解决方案应在当前阶段及时实施,而不是在风险演变成问题时再予以实施。其中许多或大部分均可为实现各战略阶段的网络成熟度目标奠定基础。
扩展导向型交付
对以支持企业的核心目的、业务增长甚至向新市场和新行业的扩张为目的的企业级安全设计和部署工作,其相应工作成果须以一种既能扩展工作本身,又能实现跨职能和业务横向扩展的方式予以交付。 为实现这一目标,战略安全部署计划须可扩展至各开发团队的多个工作流,以确保可以更高的敏捷性持续交付(工作成果),进而使更高级别的网络安全成熟度成为现实。
企业需在战略阶段实施以下举措。首先是微分割,即在不考虑敏感资源物理位置的情形下予以粒度化分割。这可发生在网络、管理程序或大型机层面。
其次是“零信任”网络访问(ZTNA)。ZTNA要求创建一个由软件定义的边界,帮助保护敏感型应用程序,并有选择地仅向已获授权及身份已得以验证者公开该等应用程序。在此阶段,还可开发风险导向、情境感知型身份验证和细粒度授权。
公司还可实现即时供应,以便仅在需要时且在需要期间始终授予访问权限,从而确保特权身份无法获取永久访问权限。
最后,公司可能会考虑部署安全分析技术来扩展其安全事件和事件管理能力,为此,其需使用先进工具来分析用户及其他相关实体的行为,如与设备、应用程序、服务、数据存储库以及具有IP地址的任何其他事物等相关的行为等。
安全文化
为降低企业风险,大多数企业都在不断投资新的工具和技术,但今天,大多数这样的决定仍然是为了应对C-suite中的同行压力或解决一个具体问题而做出的。
然而,对具备领先优势的风险导向、情境感知型安全产品,我们日益倾向于将其用作一种服务,而非一种发行时间或版本号固定不变的通用型软件解决方案。前瞻性公司采取“永不信任,始终验证”的方法来处理其数据和流程访问事宜,他们承认威胁在不断演变,并利用人工智能、自动化、云计算和敏捷开发等先进技术可提供的能力予以应对。通过利用这些服务,企业可获取一种更具弹性和适应性的网络安全模式,得以成功应对新挑战,并利用新兴数字生态系统中的机遇。
1. PhishLabs, “COVID-19 Phishing Update: Voicemail Attacks Surface Targeting Office 365 Users,” by Jessica Ellis, April 17, 2020, accessed at https://info.phishlabs.com/blog/covid-19-phishing-update-voicemail-attacks-surface-targeting-office-365-users
2. CSO Online, “Attacks against internet-exposed RDP servers surging during COVID-19 pandemic,” by Lucian Constantin, May 8, 2020, accessed at https://www.csoonline.com/article/3542895/attacks-against-internet-exposed-rdp-servers-surging-during-covid-19-pandemic.html
3. TechnologyAdvice, “Cybersecurity Trends in 2020: BYOD and Mobile,” by Tamara Scott, January 7, 2020, accessed at https://technologyadvice.com/blog/information-technology/cybersecurity-trends-2020-byod-mobile/
4. CPO Magazine, “Serious iPhone Vulnerability Triggered by Simply Opening Mail App May Have Been Present for Nearly Eight Years,” by Scott Ikeda, May 4, 2020, accessed at https://www.cpomagazine.com/cyber-security/serious-iphone-vulnerability-triggered-by-simply-opening-mail-app-may-have-been-present-for-nearly-eight-years/
5. IEEE Computer Society, “Water Supplies, Smart Grids, Personal Privacy, and Elections As Targets: An IoT Governance Ecosystem Can Improve Security,” by Lori Cameron, accessed at https://www.computer.org/publications/tech-news/research/google-amazon-fitbit-security-iot-governance-of-ecosystem
6. CPO Magazine, “Marriott Hit With Second Major Data Breach in Two Years; Over Five Million Guests Compromised,” by Scott Ikeda, April 13, 2020, accessed at https://www.cpomagazine.com/cyber-security/marriott-hit-with-second-major-data-breach-in-two-years-over-five-million-guests-compromised/
7. SC Media, “Ragnar Locker’s well-conceived ransomware attack on Energias de Portugal,” by Doug Olenick, April 16, 2020, accessed at https://www.scmagazine.com/home/security-news/ransomware/ragnar-lockers-well-conceived-ransomware-attack-on-energias-de-portugal/
8. TCS’ own swift transition to remote working in the face of pandemic-related lockdowns was facilitated by its Secure Borderless WorkspacesTM operating model. This transformative model enables remote access for employees, sets up a suitable cybersecurity framework and supports all project management practices and systems needed to ensure that work allocation, monitoring and reporting continue as normal.
联系我们
联系我们