零信任:许多网络安全问题的解决方案

Solarwinds Hack和关于攻击者的永无止境的启示流’ 工具, 技术 和其他目标一直占据了Cisos和组织的思想’自12月中旬以来的网络防御者。

违约宣布是对许多人来说是一个震惊,但是,广州联邦集团总裁Greg Touhill说,他不是’t surprised – just disappointed.

零信任

“当我作为美国政府的政府服务退休时[第一的]联邦CISO,我已经‘all-in’在零信任安全战略上,极为关注我们产品和服务供应链的完整性,”他讲述了帮助净安全。

“我当然并不孤单:2019年,我的同事在信息技术部门协调委员会和我参加了通信部门和政府的信息&通信技术供应链风险管理工作队对我们的供应链确定了许多风险。我们中的许多人都预测了对手穿透供应商软件开发生命周期的风险,并故意插入后门。我们认为这是一个可行的情景,我们应该计划作为企业风险计划的一部分。”

最佳实践和最佳技术

被攻击者袭击的组织的Cisos(无论是他们’ve使用了受到受损的Solarwinds orion平台 或不)现在仔细考虑如何确保他们’逃离了袭击者’来自他们的网络的存在,风险耐受性非常小的人可能会决定“烧毁”他们的网络并重建它。

无论哪个决定结束制作,Touhill都认为,在他们的企业中实施零信任安全模型对于更好地保护他们的数据,他们的声誉以及他们对所有类型的攻击者的使命是必不可少的。

而且,虽然开始很好,但这应该是实施最佳现代安全技术,如软件定义的周长(SDP),单数据包授权(SPA),微量分段, DMARC. (用于电子邮件),身份和访问管理(IDAM)等。

例如,SDP是一种有效,高效,安全的安全技术,可用于安全远程访问,这成为由于Covid-19大流行和来自传统办公环境的大规模枢轴到工作所面临的最佳挑战组织 - 从任何地方环境。

他说,虚拟专用网络(VPN)技术是用于许多组织(特别是在公共部门)的安全远程访问的初始进入技术,从安全的角度来看,非常脆弱。更不用说,在2020年,美国证书,NSA,美国网络命令和联邦调查局发布了十几个关键漏洞警报关于VPN的警报。

另一个最近的紧急安全挑战是Byod风险爆炸,从Office到Anywhere的枢轴上枢转。

“大多数组织没有奢侈品在大规模争夺中发出完全配置的企业拥有和管理设备,以便在公共卫生指导下派遣人们远离传统的办公环境。因此,大多数人不得不利用他们的家庭系统来完成他们的工作,” he explained.

这通常意味着旧的设备(和操作系统),许多没有正确配置和更新,也被其他家庭成员使用,并且不会被企业安全人员监视和保护–所有应该使组织不相信它们的因素,默认情况下。

排序安全优先级

在他的帖子中作为Carnegie Mellon University的网络安全教授,Touhill经常从他的学生们听到他们在CISO认证课程中的声音’在为组织选择安全优先级时,请知道在哪里开始。

他的建议是选择一个框架,识别高价值资产,唐’害怕询问帮助,并遵循公司治理流程。

“框架可帮助您组织和协调您的活动。我发现,使用框架来指导您的活动并有效地沟通,向下,跨越,外出是非常有帮助的......而是必不可少的。我推荐NIST网络安全框架,” he said.

其次,Cisos应该知道他们的关键网络地形是什么,并将他们的宝贵资源集中在捍卫真正重要的资产方面。

接下来,为了减轻隧道愿景问题,他们应该考虑带来一个专业技能的独立第三方–如红色和渗透测试团队–帮助他们评估他们的优势和劣势,并帮助他们识别并专注于他们最紧迫的运营需求。

他还建议投资网络威胁情报订阅,信息共享社区,并进行网络练习,以帮助改进确定和要求的优先级。

最后,Cisos应遵循公司治理流程。

“好消息是,在许多组织中,CISO和网络防御团队的作用毕业于董事会和公司治理过程的关注。当CISO以书面规定的要求和推荐的优先考虑到公司治理流程时,许多董事会和高管拥抱他们,为他们提供资金并提供‘top cover’需要很好地执行它们,” he explained.

虽然这是CISO的成本–主要以比日常安全运营所花费的时间更多的时间–他指出,这是成功的价格。

管理赎金软件威胁

国家攻击者可能并不是大多数公司的危险,而是赎金软件,因为它对那些具有适度网络技能的人来说越来越容易来制作赎金软件攻击。

Touhill.’如果没有报告,某些罪犯群体威胁到某些犯罪分子的犯罪群体威胁到受害者,如果未支付赎金,并失望的是许多关键基础设施部门的问题仍然是一个问题。

“如果有的话,可以减少风险暴露的TTP通常没有适当地使用。例如,我们知道,零信任可以减少‘blast radius’赎金软件攻击,许多组织继续保持推迟实施。我们知道DMARC会减少欺诈性电子邮件帐户的风险曝光(赎金软件组最喜欢的策略),但许多组织在没有安装和/或正确配置的情况下继续运行,” he said.

但是,虽然许多董事会成员开始了解危险并指导执行团队评估赎金软件攻击的风险并进行业务案例分析,以评估行动课程,但有些组织不幸的是,结论是支付赎金而不是拥有的结论重新思考其体系结构和TTP是他们的更好选择。

“我发现这些类型的决策实际上是出于意外的后果,因为那些支付赎金的人并不适当地解决导致赎金软件感染的潜在原因几乎邀请后续攻击,” he pointed out.

最后,这些攻击的性质可能会改变并导致目标组织更有害的影响。

“期待着,我被未经证实的报告令人震惊的是,一些犯罪团伙正在调查超越兰扬软件中常用的标准加密锁定技术的手段。在不太遥远的未来,我预计攻击者实际篡改受害者数据的攻击,破坏了其完整性的信任,” Touhill concluded.

分享这个