例如,人工智能和零信任之類的熱門技術(shù),這些流行語很少被用來描述技術(shù)在企業(yè)中發(fā)揮的實(shí)際作用。其他,諸如欺騙技術(shù)和漏洞管理之類的解決方案,由于能有效地解決企業(yè)所面臨的關(guān)鍵安全問題而受到關(guān)注。
人們過分強(qiáng)調(diào)零日漏洞,是因?yàn)檫@項(xiàng)技術(shù)讓客戶把注意力集中在購買高端技術(shù)上,而不是基本的安全措施和對(duì)警報(bào)優(yōu)先級(jí)上。對(duì)于一些較小的客戶而言,管理檢測(cè)和響應(yīng)之類的尖端工具則可能成本過高,或者某些MDR產(chǎn)品只是解決了防火墻和防病毒問題而讓企業(yè)暴露在安全風(fēng)險(xiǎn)之中。
下面就讓我們來看看在很多CEO、銷售負(fù)責(zé)人、技術(shù)負(fù)責(zé)人眼中,今年那些被過度炒作的網(wǎng)絡(luò)安全趨勢(shì)。
托管檢測(cè)和響應(yīng)
Malwarebytes全球MSP和渠道運(yùn)營副總裁MikeLaPeters表示,將每個(gè)高級(jí)的要素都完全外包出去會(huì)產(chǎn)生高昂的成本,因此圍繞管理檢測(cè)和響應(yīng)(MDR)的炒作還處于早期階段。LaPeters表示,如今每個(gè)月MDR方面的投入高達(dá)五位數(shù),大多數(shù)中小型企業(yè)根本負(fù)擔(dān)不起。
此外,很多MDR廠商對(duì)他們當(dāng)前的能力設(shè)定了不切實(shí)際的期望。具體來說,這些廠商承諾以完全托管的方式滿足企業(yè)全部安全需求,而實(shí)際上,他們只能提供托管的防病毒軟件或者是防火墻。
客戶需要先了解安全環(huán)境都包括什么,然后再接觸MDR廠商,確保圍繞所有要素進(jìn)行了溝通。LaPeters特別指出,企業(yè)應(yīng)該了解關(guān)于MDR廠商在威脅搜尋技術(shù)和流程以及遵從性框架方面的信息。
防火墻
Gigamon首席執(zhí)行官PaulHooper認(rèn)為,從理論上講,零信任的世界將消除基于邊緣的基礎(chǔ)設(shè)施,意味著企業(yè)能夠在不需要防火墻等分界點(diǎn)的情況下,部署基礎(chǔ)設(shè)施和應(yīng)用。
Hooper說,防火墻與零信任策略是截然相反的,因?yàn)榉阑饓逃械臋C(jī)制就是信任外圍設(shè)備,而零信任則認(rèn)為沒有任何是值得信任的,是依靠證書和訪問來建立信任的。Hooper認(rèn)為,零信任基準(zhǔn)通過把信任關(guān)系放在首位和核心位置,改變企業(yè)組織設(shè)計(jì)和處理安全問題的方式。
Hooper說,消除防火墻將導(dǎo)致注重涵蓋特定區(qū)域內(nèi)設(shè)備的網(wǎng)絡(luò)分段或微分段,這樣就可以以不同方式將網(wǎng)絡(luò)基礎(chǔ)設(shè)施用于通信和控制設(shè)備之間的流量,并在分段層面而不是泛企業(yè)層面運(yùn)行。
零日漏洞
RSA總裁RohitGhai表示,網(wǎng)絡(luò)安全行業(yè)傾向于為最糟糕的情況做準(zhǔn)備,這導(dǎo)致零日漏洞等技術(shù)被過度炒作。Ghai表示,整個(gè)行業(yè)需要在漏洞管理和多因素身份驗(yàn)證等基礎(chǔ)之上做得更好,而不是去追求那些全新的或者被炒作的領(lǐng)域。
Ghai說,專注于最復(fù)雜的威脅,導(dǎo)致了安全行業(yè)出現(xiàn)很多錯(cuò)誤做法,許多企業(yè)奉行的戰(zhàn)略導(dǎo)致他們使用了大量的工具,以及將信息同一個(gè)工具遷移到另一個(gè)工具所造成的能源浪費(fèi)。結(jié)果,安全分析人員發(fā)現(xiàn)自己把精力浪費(fèi)在了那些瑣碎的工作上,而無法優(yōu)先考慮那些重要的事情。
如今,黑客使用腳本發(fā)動(dòng)了很多攻擊,因此Ghai認(rèn)為,業(yè)界采用這種以技術(shù)為中心的防御策略是錯(cuò)誤的。他說,企業(yè)應(yīng)該專注于保持相關(guān)性和優(yōu)先級(jí),最大程度上利用資源。
安全性與其他技術(shù)的融合
有很多技術(shù)廠商喜歡說安全性是他們操作系統(tǒng)或者虛擬機(jī)管理程序所固有的特性,但是這種做法讓行業(yè)中一個(gè)重要問題被邊緣化了,特別是當(dāng)COS和虛擬化基礎(chǔ)設(shè)施漏洞和攻擊持續(xù)不斷的時(shí)候,CrowdStrike全球業(yè)務(wù)發(fā)展、聯(lián)盟和渠道副總裁MatthewPolly這樣認(rèn)為。
Polly說,安全性不應(yīng)該是事后才想到的問題,不管設(shè)計(jì)者是誰,都不能作為操作系統(tǒng)、業(yè)務(wù)應(yīng)用或者是虛擬化工具的附加選項(xiàng)。Polly表示,與攻擊者保持一致這是一個(gè)曠日持久的軍備競(jìng)賽,對(duì)于主要任務(wù)是操作系統(tǒng)或虛擬化的廠商來說,不太可能做必要的投資以成功實(shí)現(xiàn)這個(gè)目標(biāo)。
Polly說,制造商也沒有面向客戶的保護(hù)、檢測(cè)和響應(yīng)能力,如果攻擊者能夠入侵并實(shí)施違規(guī)行為的話。公有云廠商表現(xiàn)要好一些,能夠把安全性融入到基礎(chǔ)設(shè)施中,與安全廠商合作承擔(dān)其余的工作,但是操作系統(tǒng)和虛擬化廠商卻常常聲稱他們可以自行提供所有安全性。
人工智能
PingIdentity首席客戶信息官RichardBird表示,人工智能和機(jī)器學(xué)習(xí)能做令人驚訝的事情,但企業(yè)組織卻很少能夠利用這項(xiàng)技術(shù)降低風(fēng)險(xiǎn)、提高自動(dòng)化或者改善系統(tǒng)輸出。他說,圍繞人工智能的炒作讓人們以為,人工智能今天提供的結(jié)果是超前好多年的。
Bird表示,為了優(yōu)化AI的能力,企業(yè)結(jié)構(gòu)和組織流程都需要進(jìn)行重大變革。從本質(zhì)上講,企業(yè)需要解構(gòu)流程、了解AI技術(shù)可以融入到哪里,在此基礎(chǔ)上進(jìn)行流程重建。
Bird說,人工智能最終將會(huì)成為迎接下一波技術(shù)創(chuàng)新(無論是量子計(jì)算、無服務(wù)器技術(shù)還是其他技術(shù))浪潮的基石。他認(rèn)為,一旦人們開始構(gòu)建應(yīng)用并將其直接發(fā)布到公共互聯(lián)網(wǎng)上(而不是使用云提供商),人工智能也將被用作身份和訪問控制的基礎(chǔ)。
零信任
Proofpoint網(wǎng)絡(luò)安全策略執(zhí)行副總裁RyanKalember表示,由于給零信任技術(shù)貼上了與原始概念無關(guān)的標(biāo)簽,所以零信任技術(shù)被廣泛誤解了。盡管這個(gè)術(shù)語被濫用了,但Kalember表示,需要做一些工作構(gòu)建真正的零信任架構(gòu)。
Kalember說,根據(jù)定義零信任不能用于描述網(wǎng)絡(luò)邊界或承擔(dān)網(wǎng)絡(luò)邊界作用的盒子或虛擬盒子。相反,基于身份或者基于用戶的控制方法是新的邊界,這更符合零信任的原則。
零信任意味著網(wǎng)絡(luò)上沒有任何人是可以信任的,用戶只能訪問他們工作所需的內(nèi)容,其他都不可以訪問。Kalember說,嚴(yán)格執(zhí)行零信任將無法橫向移動(dòng),這樣即使攻擊者能夠闖入,也無法訪問整個(gè)內(nèi)部網(wǎng)絡(luò)。
欺騙技術(shù)
Secureworks首席產(chǎn)品官WendyThomas表示,欺騙技術(shù)(或者蜜罐)與為客戶提供更安全結(jié)果之間的界限是很難界定的,因?yàn)閮H識(shí)別威脅因素并不會(huì)降低企業(yè)組織受到攻擊的可能性。
Thomas舉例說,蜜罐可能誘使威脅行為者采取某種并不會(huì)影響客戶的普通技術(shù),也就是說,不會(huì)給客戶造成很大的損害。他認(rèn)為,通過結(jié)合事件響應(yīng)團(tuán)隊(duì)最常見場(chǎng)景,而且事件響應(yīng)團(tuán)隊(duì)在現(xiàn)實(shí)環(huán)境中對(duì)現(xiàn)實(shí)事件進(jìn)行響應(yīng),這讓企業(yè)可以從中受益。
Thomas認(rèn)為,打補(bǔ)丁和配置云實(shí)例等基礎(chǔ)措施是企業(yè)保護(hù)自身安全所能做的最重要的事情。
漏洞管理
Unisys首席技術(shù)官VishalGupta認(rèn)為,企業(yè)組織擁有大量數(shù)字資產(chǎn)和軟件,要是出現(xiàn)呈現(xiàn)上萬個(gè)問題對(duì)CISO來說可不是什么好事。Gupta說,持續(xù)了解出了什么問題,這么做更多的是風(fēng)險(xiǎn)識(shí)別策略而不是風(fēng)險(xiǎn)緩解策略,并不會(huì)讓他們更好地解決問題。
Gupta表示,有時(shí)候在漏洞管理的情況下,緩解措施僅僅是在ServiceNow上創(chuàng)建票證,然后將問題傳遞給其他人。在大型組織中,CISO可能在任何給定時(shí)間中有100,000個(gè)漏洞要處理,然后召開會(huì)議確定誰可以解決哪些問題。
比起傳統(tǒng)的漏洞管理來說,有一種更為務(wù)實(shí)的風(fēng)險(xiǎn)處理方法,是把自動(dòng)化和補(bǔ)救放在首位,利用生物識(shí)別技術(shù)和微分段,而不是拿著長長的漏洞列表。
安全訪問服務(wù)邊緣
Qualys董事長、首席執(zhí)行官PhilippeCourtot表示,安全訪問服務(wù)邊緣(SecureAccessServiceEdge,SASE)相當(dāng)于VPN的現(xiàn)代版本,可以在沒有網(wǎng)絡(luò)以及被互聯(lián)網(wǎng)取代的情況下將邊緣設(shè)備連接到互聯(lián)網(wǎng)。Courtot說,由于企業(yè)組織將工作負(fù)載轉(zhuǎn)移到云端,并且企業(yè)網(wǎng)絡(luò)環(huán)境正在縮小,因此企業(yè)對(duì)SASE的需求不會(huì)持續(xù)很長時(shí)間。
隨著企業(yè)把越來越多的應(yīng)用遷移到云端,網(wǎng)絡(luò)最終會(huì)變成連接到互聯(lián)網(wǎng)的一些無線設(shè)備。Courtot說,客戶要擁抱數(shù)字化轉(zhuǎn)型,否則他們的業(yè)務(wù)不會(huì)長久。
許多年前,安全行業(yè)對(duì)云是非常抵制的,但是今天人們不得不承認(rèn),云無處不在。
端點(diǎn)檢測(cè)和響應(yīng)
Bitdefender全球云和MSP副總裁JasonEberhardt說,很多企業(yè)認(rèn)為端點(diǎn)檢測(cè)和響應(yīng)(EDR)足以保護(hù)企業(yè)安全,不再需要防病毒軟件。然而,EDR是一種研究工具,可以查看端點(diǎn)上發(fā)生了什么,而不是把阻止端點(diǎn)被感染放在第一位的工具。
Eberhardt說,有太多的企業(yè)沾沾自喜,認(rèn)為有攻擊者已經(jīng)在他們的環(huán)境中,只要在事情惡化之前就將其阻止,就不會(huì)帶來任何糟糕的結(jié)果。但是,企業(yè)系統(tǒng)內(nèi)部存在威脅因素,這本身就是一個(gè)威脅,企業(yè)需要對(duì)使用技術(shù)提前阻止威脅更加警惕。
Eberhardt說,解決方案提供商應(yīng)該向客戶呈現(xiàn)完整的端點(diǎn)安全態(tài)勢(shì),首先就包括阻止入侵者的技術(shù)。
云端安全
FireEye美洲地區(qū)渠道副總裁ChrisCarter表示,即使大家說的不是同一件事情,但大家使用的卻是相同的云安全技術(shù),隨著生態(tài)系統(tǒng)的不斷發(fā)展,整個(gè)行業(yè)仍然在致力于全面定義云安全是什么。一些自稱云安全的產(chǎn)品實(shí)際上只是解決了一部分問題。
Carter認(rèn)為,云安全應(yīng)該集中在保護(hù)云中工作負(fù)載上,因?yàn)楹芏嗥髽I(yè)組織最重要的資產(chǎn)——數(shù)據(jù)和知識(shí)產(chǎn)權(quán)——就在云端。客戶關(guān)心如何確保他們的數(shù)據(jù)和IP受到保護(hù),而且隨著他們寶貴的資產(chǎn)轉(zhuǎn)移到AWS、微軟Azure或者谷歌云上,客戶需要安全工具來保護(hù)這些工作負(fù)載。
監(jiān)控
德勤全球網(wǎng)絡(luò)負(fù)責(zé)人EmilyMossburg表示,ArcSight自2000年成立以來,就有了將企業(yè)大量信息匯總在一起的想法,但那時(shí),這被稱為關(guān)聯(lián)。
過去二十年中,關(guān)聯(lián)變成了融合,融合又變成了監(jiān)控,但是從根本上說,技術(shù)和方法是相同的。Mossburg表示,通過這個(gè)領(lǐng)域的企業(yè)更深入地探索,廠商試圖讓他們最新的技術(shù)突破變得有趣且引人注目。
監(jiān)視的用例已經(jīng)存在很長時(shí)間了,盡管一直在發(fā)展和變革,但考慮到這些技術(shù)理念的周期特性,其實(shí)它們的基本概念是非常相似的。
