坏消息:勒索病毒威胁越来越大,安全人才更难找到。好消息:首席信息安全官的影响力会越来越大,安全基础设施也会得到改善。
2020年,新冠肺炎疫情给安全部门带来了困难。勒索软件攻击正在增加。远程工作中断,安全流程被削弱。首席信息安全官不得不调整他的短期和长期计划。2021会更好吗?
情况会有所不同,但有些情况可能会变得更糟。首席安全官一直在关注四个关键趋势,以预测这些趋势在2021年将如何发展。这些都是这次疫情造成或影响的,会对威胁形势和安全部门如何保护员工和资产产生长期影响。
勒索软件:更大、更卑鄙、更狡猾
网络罪犯是机会主义者。疫情让企业在疲于应对危机的时候变得更加脆弱。2020年是勒索软件攻击最猖獗的一年,主要表现在攻击的增多。保险提供商Coalition报告称,勒索软件攻击占2020年上半年提交的所有在线保险索赔的41%。
努力应对这场疫情的企业、学校和医疗卫生机构无法承受因勒索软件攻击而导致的系统离线,攻击者知道他们更有可能因此支付赎金。根据去年8月和9月进行的2020年Crowdstrike全球安全态度调查,在过去的12个月中,27%的勒索软件受害者支付了赎金,平均支付金额为110万美元。
最近,袭击者改变了策略,使受害者的处境变得更糟。他们改进了加密方案的实现,使其更难破解。现在,一些犯罪分子不再简单地加密关键数据,而是窃取敏感数据,并威胁如果不支付赎金,就将这些数据公之于众。例如,直到最近,FIN11 Group还专注于向金融、零售和餐饮企业勒索金钱。去年,他们将重点转向勒索软件,并建立了一个网站,公布从拒绝支付赎金的公司窃取的数据。
Cloudflare报告称,包括Fancy Bear、Cozy Bear和Lazarus在内的一些组织正在实施基于赎金的分布式拒绝服务攻击。攻击者威胁说,如果他们不支付赎金,他们将使用DDoS攻击来破坏目标受害者的网络,有时他们会同时进行可能造成轻微损害的“挑衅性”攻击。
勒索越来越严重,针对最脆弱的受害者,以及使加密数据更难恢复的策略等。,这些都将使勒索软件成为2021年网络犯罪最赚钱的“生意”,也是所有企业的最大威胁。因此,首席信息安全官必须遵循最佳实践来减轻未来一年的勒索病毒风险,这一点非常重要。
首席信息安全官承担了更多的角色。
正如网络犯罪分子在破坏中看到机会一样,首席信息安全官也有机会在管理中发挥更大的作用。疫情提高了对安全的重视。越来越多的攻击,尤其是勒索软件引发的攻击,引起了CEO、CFO和董事会的关注,他们期待着首席信息安全官的回应。疫情引发的企业数字化转型热潮会增加安全风险,首席信息安全官要参与转型。突然,需要为大量远程工作人员提供安全支持,这引发了对系统和数据漏洞的担忧。
最成功的首席信息安全官总是在业务环境中考虑安全职能。随着他们现在得到更多的关注,这一点变得更加重要。然后,他们要对执行力有信心,更重要的是,要对管理疫情带来的复杂运营变化有信心。
在最近的CSO50大会上,麦当劳公司副总裁兼全球首席信息安全官Tim Youngblood讨论了首席信息安全官如果想取得成功,现在应该做些什么。首要的是熟悉工作的技术方面,而Youngblood强调优秀运营的必要性,他认为这是首席信息安全官开展其他工作的前提。
以他的管理状态为例。他说:“这是你接触公司所有资产的方式。说到底,虽然身份认证的一个重要作用是安全防护,但我们其实是在为环境中的一切创造条件。这就是卓越运营变得如此重要的原因。如果在运营上不能被信任,那么在其他方面也不能被信任。”
Youngblood还建议安全部门领导与业务部门领导合作。“我们有说话的权利。我们经常被要求向董事会报告。既然有了话语权,就要展现自己的价值。”这意味着不仅要讨论威胁和缓解措施,还要解释安全因素如何使业务部门成为合作伙伴。他说,“如果你是合伙人,每个人都同意,那么你的成功就是他们的成功。”
成功的合作需要良好的沟通。华特·迪士尼公司负责信息安全和风险管理的高级副总裁Greg Wood在CSO50大会上谈到了进入2021年后首席信息安全官应该如何讨论安全问题。“首席信息官应该能够谈论企业不同层面的网络安全问题,他们应该知道自己的水平。”他说,首席信息安全官必须能够在与精通技术的同事交谈时展示自己的技术知识,让人们觉得自己有“街头声誉”。更重要的是,首席信息安全官在沟通时必须利用业务部门每个合作伙伴的“语言、焦点和视角”。
伍德说:“我们现在被拖着参加商业战略会议的次数比过去参加技术战略会议的次数多。如果不是因为CIO要你走,而是CFO要你走,那就标志着企业和各个业务单元本身的成熟。”
不仅仅是新冠肺炎病毒的爆发重塑了首席信息安全官的角色。新的隐私和安全法规也在起作用。抖音首席安全官Roland Cloutier在CSO50会议上表示:“我们的工作发生了根本性的变化。我们的服务需要改变,尤其是在如何保护数据方面。你如何推进数据防御计划,该计划与企业中的其他专业交叉,涉及隐私、IT、数据管理和数据治理等。这远远超出了网络防御的范畴。我们的重点是数据级控制、保证和监控,以及如何将其集成到安全平台中。”
Cloutier表示,如果首席信息安全官想要很好地应对这些新的监管要求,关键是要与自己企业的总法律顾问和隐私管理部门保持良好的关系。我们需要清楚地了解我们的业务、我们提供的服务以及在哪里提供这些服务。一旦你了解了你的具体业务并建立了良好的关系,你就可以开始建立你想要提供的服务。
重新评估安全策略和技术体系
如果端点可能在任何地方,或者可能在不受您控制的设备上,那么您如何保护它们呢?您的企业准备好应对日益复杂和专业化的有组织网络犯罪了吗?您的安全基础架构和员工能够适应快速变化吗?
在疫情期间,由于转向家庭办公模式,安全部门突然不得不保护许多新的远程端点,这些端点很可能成为永久性的。根据Skybox新常态下的网络安全调查,70%的企业预计至少1/3的远程员工将保持远程工作18个月。我们必须重新考虑这是一项临时安全措施。
疫情也促使企业开始并加快数字化转型项目,这意味着更多的系统要迁移到云上。这也需要重新思考安全策略和基础设施。
安全领导人越来越担心民族国家及其代理人带来的直接和间接威胁。在Crowdstrike的调查中,87%的受访者表示,国家支持的攻击比大多数人想象的更普遍,73%的受访者表示,这种攻击是2021年像他们这样的企业面临的最大威胁。毫不奇怪,在疫情期间,生物技术和制药公司表示,他们面临的风险最高。这还没有考虑到其代理人的独立行动对民族国家造成的间接威胁,也没有考虑到犯罪集团可以更好地利用其战略、工具和程序这一事实。
根据IDG对重要安全问题的研究,为了应对这些永久的变化和加剧的威胁,一些企业计划在2021年测试或实施多项技术。受访者表示,他们将在2021年评估或投资以下技术:
零信任。
欺骗技巧。
认证解决方案。
门禁。
应用程序监控。
基于云的安全服务。
对安全人才的需求不断上升。
随着安全领导者逐渐适应疫情带来的长期变化,许多企业可能希望增加员工或改变其安全部门的组成。即使在最好的情况下,这也是困难的。随着各企业重新评估人员需求,2021年安全人才招聘肯定会更难。
安全部门在很大程度上躲过了疫情导致的裁员——在Crowdstrike的调查中,只有24%的受访者表示他们的员工因疫情而流失,35%的人表示他们停止招聘安全部门的新人。所以,不要指望2021年会因为裁员而有大量人才涌入市场。对人才的需求似乎也在增长。提供网络安全就业市场数据的公司CyberSeek指出,在撰写本文时,美国大约有52.5万个公开的安全工作岗位,而在疫情爆发前只有39万个。不幸的是,Emsi研究公司去年7月的报告显示,符合条件的求职者不到20万人。
一种选择是考虑远程安全人员。许多企业拒绝雇用远程安全专业人员,但这次疫情证明,并不是所有的安全专业人员都需要在现场工作。这样,企业就可以将难求人才的搜寻范围扩大到不同的地理区域。
Emsi研究公司的报告提出了一些建议来填补空中的安全职位。首先是培养非安全人员,也就是所谓的“自建,不买”的方法。根据该报告,IT、财务和业务运营人员是最有可能接受再培训的员工,向网络安全过渡的比率最高。每个人都有自己的领域知识,如网络系统、金融交易和业务流程,这些知识可以增强他们所学的任何安全技能。
另一个建议是雇主、教育机构和当地员工共同开发合作项目。通过确定具体的安全需求,他们可以在当地共同培养人才。比如广泛解释安全认证的价值,降低认证成本,让求职者更容易从事安全工作。
