疫情應對暴露出的6個安全短板

Mary K. Pratt

這場疫情不斷考驗著企業的安全實力，也暴露出了很多弱點。

一年前，2019年秋天，Mike Zachman為他的公司斑馬科技（Zebra Technologies）進行了一次安全演習。

作為首席安全官，Zachman負責網絡安全以及產品安全和物理安全，他把這次演習的重點放在業務連續性上，以確定公司的計劃能否順利實施。

他過去曾組織過類似的活動，模擬過勒索軟件攻擊，以及摧毀數據中心的自然災害等。為了進一步測試他的公司，2019年他提出了一個新設想：假設出現了疫情，上班族都要接受體溫檢查。

Zachman向大家保證，他并非有先見之明，而是非常務實：過去，跨國公司不得不應對非典和局部流行病，因此他認為測試公司應對疫情的反應是負責任的舉措。

這次演習測試了該公司的“3+2”戰略，旨在確保其災難恢復、供應鏈和員工（“3”）以及維修站和配送中心（“2”）有足夠的彈性來處理事件。

Zachman說：“經歷了這一演習后，當新冠疫情爆發時，我們發現我們已經做好了充分的準備。當然還是有挑戰。我們投入了很多人員和精力來確保我們能正確地執行。而我們不需要跑來跑去的問‘我們該怎么辦？”

該公司有一個指揮與控制計劃，有足夠的VPN來支持廣泛的遠程工作。該公司的員工隨身帶著設備，因為2019年秋季的演習促使他們認為有必要晚上把筆記本電腦帶回家，以保證突發緊急情況時的業務連續性。

然而，Zachman說，斑馬科技在其網絡安全運行中仍然遇到了一些需要解決的問題。例如，該公司發現，其筆記本電腦上的一些配置不能很好地保護通過員工家庭互聯網進行的長期遠程訪問。而且，對家庭筆記本電腦網絡數據流的可見性較低，這促使斑馬科技加快了向更成熟的零信任環境的邁進。

正如斑馬科技的經驗所表明的那樣，這場疫情暴露了即使準備充分的企業也存在安全缺陷。在持續的不確定性和長時間在家工作的情況下，首席信息安全官及其部門仍然要繼續開展工作，遇到這些大大小小的缺陷，無論其規模和性質如何，都使得首席信息官們格外的忙碌。

IT服務管理公司TEKsystems的風險和安全實踐主管Kory Patrick說：“可能是‘嘿，這是我們的差距，也可能是‘我們比自己想象的要落后得多，但每個人都在疫情中學到了一些東西。”

暴露出的安全短板

最近幾個月的大量報告發現，2020年攻擊的數量、類型和嚴重程度都呈上升趨勢。例如，NETSCOUT在其上半年的威脅情報報告中稱，上半年共有483萬次攻擊，比上一年增加了15%。這些統計數據凸顯了首席信息安全官自3月份以來一直所說的：這一疫情不斷考驗著企業的安全實力。

疫情還暴露出很多弱點。安全領導和專家列舉了一些已經暴露出來的常見短板：

準備和計劃不足。網絡安全解決方案和咨詢服務公司Waite SLTS的創始人、網絡安全女性組織（WiCyS）成員Shelly Waite Bey介紹說，在疫情的最初幾個月，很多企業意識到他們對安全計劃的關注和投資低于需求。她說：“當時有很多企業捉襟見肘，而這些企業現在正通過提高安全性來改善這種狀況。”

不被董事會重視。IS副總裁兼McBride首席信息安全官Kathryn Salazar說，很多首席信息安全官在高管層面的地位不高，除非發生了事故，否則他們仍然面對著不愿徹底解決網絡風險的董事會。她說：“在這種新環境下，首席信息安全官并沒有獲得保護企業所應得的資金。”

2020年10月，來自SafeGuard Cyber的一份報告證實了她的觀察結果，其指出“實際存在的安全和合規需求與企業規劃能力之間仍然存在明顯的脫節和緊張關系。盡管在未經批準的應用程序、勒索軟件攻擊、保護各種技術堆棧等方面存在數字風險，但只有18%的受訪者認為安全問題應該上升到董事會層面。”

一直依賴周界防御。隨著企業爭相為員工啟用遠程工作方式，很多首席信息安全官意識到他們沒有足夠的VPN來支持負載，他們的安全基礎設施也無法保證只有經過授權的個人才能在需要時訪問所需的數據。Patrick將此歸咎于一直嚴重依賴于周界防御，這種依賴性使得很難安全地擴展遠程工作方式，有時甚至是幾乎不可能。專家們說，為了應對這種情況，首席信息安全官正在加速采用先進的身份和訪問管理解決方案以及零信任原則。

補丁問題。網絡威脅情報分析師、網絡安全組織VetSec和WiCyS的資深成員John E. Stoner說，2020年的事件也暴露了企業程序補丁的弱點。Stoner說，一些企業通常沒有投入足夠的時間來應用補丁，而其他企業則沒有強大的資產管理計劃來有效地管理補丁。還有一些在為企業資產打補丁方面做得很好，但沒有將補丁程序推送到用于工作的個人設備上。

黑客們也心知肚明，成功攻擊了很多仍然沒有打上補丁的已知漏洞。Stoner說：“我們已經看到，沒有打上補丁導致了入侵，包括一些大公司。”Arctic Wolf公司的《2020年安全運營報告》將補丁協議問題確定為一個關鍵問題，指出在疫情期間，關鍵漏洞打補丁時間增加了40天。

可見性和控制不足。網絡安全顧問兼首席信息安全官Gina Yacone介紹說，她建議她的企業客戶考慮他們新的遠程工作人員所帶來的漏洞。她解釋說：“我很擔心他們的個人家庭網絡，包括路由器和Wi-Fi等，這些不可能真正提供企業級的保護，除非他們是以企業方式購買的。”她還指出，家庭網絡一般沒有加密，有些甚至沒有密碼保護。如果企業不使用VPN，或者他們的員工正在處理任何類型的敏感數據，那么這種情況就特別成問題。Yacone問道：“員工們在家里真的能按要求保護數據嗎？”據Arctic Wolf的報告，自3月份以來，連接開放式Wi-Fi網絡的設備數量增加了243%，這意味著“如果沒有適當的控制措施，分散在各地的員工們面臨著越來越大的不安全網絡攻擊風險。”

風險管理和法律咨詢服務提供商Consilio的全球信息治理咨詢服務副總裁Matt Miller說，與此同時，對于那些沒有成熟的數據分類、強大的資產管理流程以及成熟的監控計劃的企業，很難在這些領域獲得所需的可見性，無法保證自己足夠安全。他舉了1個例子，一家客戶公司有550萬個社會保險號碼，包含在6000個電子表格中，既沒有密碼保護也沒有加密。Miller說，這種情況促使企業安全部門急忙去開發并實施策略和解決方案，以提高對端點、數據流和網絡流量的可見性和控制能力。

缺乏敏捷性。Miller說，在過去的幾個月里，一些安全部門疲于應對接踵而來的一個個挑戰。誠然，他們要處理一系列艱巨的危機，這就要求快速處理任務，但在這些方面遇到困難后，很多首席信息安全官卻發現，他們的安全部門沒有他們所希望的那么敏捷。專家將敏捷方面的局限性與安全領域長期存在的問題聯系在一起，即缺乏足夠的人員和缺乏自動化，員工們無法從日常的例行雜事中解放出來，也就不能從事價值更高的項目。不管是什么原因，其影響都是顯著的。Miller看到一些企業需要幾個月的時間來處理安全漏洞，他指出：“不夠敏捷、不能快速進行調整的后果是，這些企業過度暴露于風險之中，風險等級急劇上升。現在已經明白，他們需要更加靈活才能處理超出常規的情況。”

得到的教訓

盡管2020年的事件凸顯了企業安全機制中的薄弱環節，但安全專家指出，很多問題其實都是首席信息安全官計劃在其長期路線圖中解決的已知問題。

Patrick說：“很多企業一直想會有更長的時間來做出改變，但疫情加快了這些計劃，因為疫情暴露了很多企業的安全問題，并直接影響了業務的可用性。”

現在正在采取補救措施。

Patrick等人說，隨著企業網絡周界環境的最終消失，以及隨著遠程員工的增加和聯網設備的增長，端點的數量也在激增，他們看到越來越多的首席信息安全官轉而使用零信任架構，或者使用的越來越成熟，以更好地保證安全。

首席信息安全官也在加強端點管理程序，并推進數據分類和控制。

所有這些都應該促使整體上更加安全——或許，這就是烏云背后的一線光明。

Miller說：“我看到首席信息安全官并沒有對今年的特殊事件做特別的準備，但他們現在說，‘讓我們看看怎樣改進我們的災難恢復和業務連續性計劃，以后無論再出現什么情況，我們都能適應未來發展。”

Mary K. Pratt是馬薩諸塞州的一名自由撰稿人。

原文網址

https：//www.csoonline.com/article/3596517/6-security-shortcomings-that-covid-19-exposed.html