Omdia復(fù)盤Black Hat USA 2022:數(shù)字化優(yōu)先 但網(wǎng)絡(luò)安全彈性不足

10月27日消息(艾斯)市場研究公司Omdia的整個網(wǎng)絡(luò)安全研究團隊都參加了于2022年8月舉辦的美國黑帽大會(Black Hat USA),這篇報告總結(jié)了多位分析師對此次活動的洞察和對未來行業(yè)發(fā)展趨勢的探析。

當(dāng)今的組織采用數(shù)字化優(yōu)先方式,但這很少擴展到網(wǎng)絡(luò)安全方面

在展會第一天的主題演講中,曾擔(dān)任美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局局長的Chris Krebs評論說,如果一個組織與一個國家的經(jīng)濟相關(guān),那么它就是該國基礎(chǔ)設(shè)施的一部分,并且這些組織應(yīng)該相應(yīng)地制定他們的網(wǎng)絡(luò)安全方法策略。然而,似乎正在發(fā)生的事情是,盡管各種組織持續(xù)打造越來越多的數(shù)字化能力,使它們和經(jīng)濟越來越依賴于數(shù)字化,但我們沒有相應(yīng)的數(shù)字優(yōu)先網(wǎng)絡(luò)安全方法策略。

這與Omdia的研究非常吻合。數(shù)字化依賴是美國黑帽大會上Omdia分析師峰會的焦點;不同規(guī)模的組織依賴于數(shù)字化,需要彈性來支持這種依賴。彈性使這些組織能夠持續(xù)運營并利用新的數(shù)字化機會,而網(wǎng)絡(luò)彈性是數(shù)字化彈性的關(guān)鍵組成部分,即使發(fā)生安全事件和漏洞,也能實現(xiàn)持續(xù)運營。然而,網(wǎng)絡(luò)彈性的水平往往是不夠的。

Chris Krebs評論說,軟件總體上仍然是脆弱的,但各種組織下意識地接受了風(fēng)險,因為在我們依賴于數(shù)字化的這個世界里,好處超過了漏洞。這些成功和機遇意味著我們將繼續(xù)使用軟件構(gòu)建越來越多的產(chǎn)品,但漏洞也越來越多。這種趨勢將會持續(xù)。

安全技術(shù)正在努力幫助應(yīng)對不斷變化的威脅環(huán)境,但當(dāng)然,技術(shù)只是人員、流程和技術(shù)控制這三個幫助減少安全風(fēng)險的主要方面中的一個組成部分(盡管非常重要)。

組織中負責(zé)網(wǎng)絡(luò)安全的人員必須跟上技術(shù)發(fā)展的步伐,以推動改進安全控制。反過來,最高管理層必須支持其CISO和安全職能部門,以確保其組織的數(shù)字優(yōu)先方法也適用于網(wǎng)絡(luò)安全。

安全工具正在成倍增加,但組織的網(wǎng)絡(luò)彈性卻沒有——IT安全服務(wù)的持久作用

盡管在黑帽大會上出現(xiàn)了更多的工具、平臺、威脅遙測數(shù)據(jù)源和“自動化”解決方案,但CISO和安全主管們?nèi)匀槐3种钁B(tài)度。

一方面,許多供應(yīng)商現(xiàn)在聲稱推出了完全集成XDR(擴展檢測和響應(yīng))功能、具備先進的工作流程、豐富的AI/ML和直觀性的儀表板——展臺上的演示令人印象深刻。那么,為什么在最近接受Omdia調(diào)查的組織中,有50%發(fā)現(xiàn),盡管有這些工具的進步,安全事件的嚴重程度卻有所增加?

事實上,46%的大中型組織、跨國公司和政府機構(gòu)都發(fā)現(xiàn)來自云資源的安全事件顯著增加。另外32%的組織發(fā)現(xiàn)終端觸發(fā)事件急劇增加,25%的組織發(fā)生過核心企業(yè)應(yīng)用程序安全事件。43%的安全負責(zé)人認為有效的事件響應(yīng)是他們今年最大的網(wǎng)絡(luò)安全挑戰(zhàn)。

從根本上說,它歸結(jié)為技術(shù)人員在復(fù)雜技術(shù)環(huán)境中設(shè)計、集成和操作這些工具集方面的持久作用——特別是在價值鏈變得越來越數(shù)字化的情況下。領(lǐng)先的第三方服務(wù)提供商是獨立仲裁和編排工具的最佳場所。

在美國黑帽大會上,在眾多的、閃亮的、時髦的軟件供應(yīng)商中看到領(lǐng)先的服務(wù)提供商是令人鼓舞的。這些公司繼續(xù)投資于專有和第三方安全能力,這些能力由在復(fù)雜環(huán)境中利用技術(shù)能力的專業(yè)和托管服務(wù)所支撐。

數(shù)字彈性是一場持久的戰(zhàn)斗;幸運的是,行業(yè)正蓄勢待發(fā)。

保護關(guān)鍵的國家基礎(chǔ)設(shè)施的安全尤為突出

就像幾個月前RSA的關(guān)鍵主題之一一樣,運營技術(shù)(OT)也是黑帽大會的一個焦點。第二天的主題演講聚焦于“pre and post-Stuxnet”網(wǎng)絡(luò)安全格局。值得注意的是,盡管在保護關(guān)鍵基礎(chǔ)設(shè)施(CNI)和防止物理上的數(shù)字攻擊方面經(jīng)歷了多年的學(xué)習(xí)和開發(fā),但仍有很大的改進空間(考慮到Colonial Pipeline就發(fā)生在去年)。因此,可以理解在連接設(shè)備的安全領(lǐng)域中,OT占據(jù)了很多關(guān)注點,特別是考慮到當(dāng)前的地緣政治格局。

也即,這并不是說物聯(lián)網(wǎng)沒有立足之地。物聯(lián)網(wǎng)適用于許多行業(yè)和垂直領(lǐng)域的未來互聯(lián)格局,從制造業(yè)和公用事業(yè)到醫(yī)療保健和互聯(lián)汽車。雖然物聯(lián)網(wǎng)設(shè)備可能不是組織“皇冠上的寶石”,但往往是唾手可得的果實,是一個必須考慮和準備的額外入口點。

令人耳目一新的是,至少在美國黑帽大會的許多展臺上都提到了物聯(lián)網(wǎng),它越來越多地被納入供應(yīng)商的產(chǎn)品和解決方案中,無論他們的主要關(guān)注領(lǐng)域是否為連接設(shè)備。這既反映了物聯(lián)網(wǎng)如何與企業(yè)內(nèi)的其他技術(shù)和資產(chǎn)融合,也反映了人們對物聯(lián)網(wǎng)的看法發(fā)生了變化,即物聯(lián)網(wǎng)不再是未來需要考慮的東西,而是現(xiàn)在就需要考慮的東西。

放眼聯(lián)網(wǎng)汽車,這一領(lǐng)域是物聯(lián)網(wǎng)網(wǎng)絡(luò)安全解決方案中創(chuàng)收較小的領(lǐng)域之一。然而,該領(lǐng)域從2020年到2021年的增長率高達28%,而前一年為19%。鑒于汽車監(jiān)管環(huán)境正在全球范圍內(nèi)獲得推動和統(tǒng)一,增長看起來將會繼續(xù)。Omdia在黑帽大會上看到了一些關(guān)于聯(lián)網(wǎng)汽車安全的演示,包括無鑰匙進入系統(tǒng)等。這是一個有趣且快速發(fā)展的領(lǐng)域,Omdia將密切關(guān)注。

身份驗證的復(fù)雜性

此次活動的一個關(guān)鍵主題是,不安全產(chǎn)品的日益擴散正在增加技術(shù)的復(fù)雜性。由于這種日益增加的復(fù)雜性,網(wǎng)絡(luò)犯罪正在獲得優(yōu)勢,作為應(yīng)對這種復(fù)雜性的潛在方法之一,有許多關(guān)于無密碼和持續(xù)認證技術(shù)的簡報。

通過無密碼身份驗證實現(xiàn)零信任轉(zhuǎn)換也是此次展會的一個主題。在過去的30年里,擺脫密碼一直是許多組織和個人的圣杯。無密碼身份驗證消除了對密碼的依賴,并提供了許多業(yè)務(wù)好處,包括更好的用戶體驗、減少IT時間和成本以及更強大的安全態(tài)勢。然而,無密碼身份驗證本身并不是目的。

一個健全的認證系統(tǒng)應(yīng)該建立在促進安全、隱私、可持續(xù)性、用戶體驗、可擴展性和包容性的長期愿景之上。另一方面,盡管從長遠來看,無密碼身份驗證可以節(jié)省費用,但部署成本目前是許多潛在用戶的阻礙因素。還需要培訓(xùn)和專門知識,因為無密碼身份驗證需要IT團隊和最終用戶的適應(yīng)。

一位演講者認為,身份驗證在五年后仍將是一個問題。這表明了身份驗證正試圖解決的問題的復(fù)雜性,以及網(wǎng)絡(luò)安全犯罪分子正試圖利用不斷演變的攻擊媒介。

云、API、供應(yīng)鏈安全主題在基礎(chǔ)設(shè)施安全考慮中顯得尤為突出

就在幾個月前,業(yè)界聚集在一起召開了RSA會議,當(dāng)時討論的大部分內(nèi)容也在黑帽大會上獲得熱議:推動更好的環(huán)境,更好地整合風(fēng)險,更好的供應(yīng)鏈,并將安全功能作為服務(wù)提供。

不過,在黑帽大會上,有趣的是看到像Wiz和Orca這樣的云安全供應(yīng)商發(fā)揮更大的作用,他們與行業(yè)巨頭Palo Alto Networks和其他知名公司(如趨勢科技、Qualys等),在保護客戶云資產(chǎn)這一日益關(guān)鍵的市場上展開競爭。Omdia在這個領(lǐng)域追蹤了數(shù)十家供應(yīng)商。

值得注意的是,API安全性是一個值得關(guān)注的關(guān)鍵領(lǐng)域:現(xiàn)代云中威脅環(huán)境的殘酷現(xiàn)實是,攻擊者將錯誤配置或過度許可的API作為顛覆合法機制的手段,通常是更廣泛的攻擊活動的一部分,可能跨越系統(tǒng)、應(yīng)用程序,甚至供應(yīng)商。

這也與供應(yīng)鏈安全密切相關(guān),該領(lǐng)域已經(jīng)取得了顯著的發(fā)展,包括供應(yīng)鏈安全供應(yīng)商Phylum成為首屆Black Hat Innovation Spotlight的獲勝者。初創(chuàng)公司的許多創(chuàng)新聚焦于云安全方面,他們試圖解決互操作問題,并幫助全面了解云環(huán)境。

出現(xiàn)的常見話題之一是推動采用云服務(wù)的數(shù)字化轉(zhuǎn)型項目,而安全性仍然是各個組織在其云服務(wù)之旅中的關(guān)鍵問題。讓客戶了解責(zé)任共擔(dān)模型,并就云環(huán)境中需要保護的內(nèi)容發(fā)送正確的信息,這仍然是重中之重;公有云服務(wù)提供商在安全方面已經(jīng)取得了長足的進步,但在客戶理解方面仍存在一些挑戰(zhàn)。

考慮到基礎(chǔ)設(shè)施安全的其他方面,值得注意的是,關(guān)于端點安全的討論現(xiàn)在顯著地轉(zhuǎn)向了對擴展檢測和響應(yīng)(XDR)的更廣泛追求,而網(wǎng)絡(luò)和內(nèi)容安全供應(yīng)商則急于將他們的安全訪問服務(wù)邊緣(SASE)產(chǎn)品置于最前端和中心位置,希望利用客戶的需求來簡化安全功能的交付。

XDR:統(tǒng)一TDIR的時機已經(jīng)到來

擴展檢測和響應(yīng)(XDR)即將取得突破。根據(jù)Omdia在2022年美國黑帽大會上觀察到的勢頭,可能甚至不止一個。

自2018年Omdia高級首席分析師Rik Turner首次將XDR作為一個廣泛使用的行業(yè)術(shù)語提出以來,XDR作為一種安全運營中心(SOC)替代解決方案穩(wěn)步發(fā)展,它統(tǒng)一了復(fù)雜、耗時且昂貴的企業(yè)威脅檢測、調(diào)查和響應(yīng)(TDIR)過程。

在過去的12個月里,各種各樣的供應(yīng)商和提供商向市場推出了XDR產(chǎn)品。盡管它們在底層技術(shù)和有效功能方面差異很大,但毫無疑問,隨著這些解決方案的成熟,它們將為長期難以獲得和管理傳統(tǒng)SIEM/ SOC技術(shù)棧的組織提供一種引人注目的新方法。

在拉斯維加斯的大會上,Omdia觀察到兩個重要進展,表明XDR市場期待已久的突破可能即將到來。

首先,一直不愿接受XDR發(fā)展細節(jié)的TDIR供應(yīng)商已經(jīng)改變了他們的立場。一家領(lǐng)先的EDR供應(yīng)商概述了一項重要的戰(zhàn)略轉(zhuǎn)變,稱其不斷發(fā)展的XDR產(chǎn)品將不再優(yōu)先使用自己的數(shù)據(jù),并且將會集成第三方供應(yīng)商的數(shù)據(jù)。此外,一家長期以來一直停留在XDR邊緣的NDR參與者表示,它打算擁抱開放的XDR,因為它明白,即使XDR不斷發(fā)展,最佳技術(shù)仍將繼續(xù)是TDIR架構(gòu)的關(guān)鍵元素。

其次,企業(yè)開始理解XDR是什么以及它如何改變TDIR中的游戲規(guī)則。Omdia與幾位與會者進行了交談,他們表示對XDR感到興奮,不僅因為它提供了跨多個 IT 資產(chǎn)區(qū)域直接收集、檢測、調(diào)查和響應(yīng)威脅的能力,而且還因為它是在單一的、集成的環(huán)境中完成的,這是SecOps團隊渴望的一個關(guān)鍵但長期難以實現(xiàn)的可用性優(yōu)勢。

Omdia預(yù)計,從2022年到2023年能力將會進一步成熟,特別是在解決方案和服務(wù)集成方面;更多組織將致力于構(gòu)建特定于目的的開放XDR環(huán)境。然而,隨著時間的推移,Omdia仍然看好綜合XDR,即多合一的單一供應(yīng)商XDR平臺,因為它具有預(yù)先集成的數(shù)據(jù)工程和自動化事件整合和優(yōu)先級排序等關(guān)鍵優(yōu)勢。然而,綜合XDR供應(yīng)商仍有許多工作要做,以證明在單一XDR平臺上全力以赴的好處大于風(fēng)險和成本。

評估風(fēng)險并打分

毫不奇怪,很多供應(yīng)商都想在黑帽大會上討論風(fēng)險優(yōu)先級。目前,基于風(fēng)險的漏洞管理是一個特別熱門的話題,但供應(yīng)商究竟是如何計算風(fēng)險的,并不總是顯而易見的。人工智能引擎的使用可能會很好地產(chǎn)生關(guān)于風(fēng)險的預(yù)測結(jié)果,但客戶通常只會得到一個分數(shù),對于計算該分數(shù)的方式卻不怎么透明。

致力于提高風(fēng)險評分透明度的供應(yīng)商通常遵循以下兩種通用框架之一:通用安全漏洞評分系統(tǒng)(Common Vulnerability Scoring System,CVSS)或特定于利益相關(guān)者的漏洞分類(Stakeholder-Specific Vulnerability Categorization,SSVC)。CVSS是兩者中知名度更高的,但通常被認為不適合這項工作,主要是因為過往只使用了基礎(chǔ)CVSS分數(shù)。然而,該系統(tǒng)允許對基本分數(shù)進行時間(即基于時間的)和環(huán)境(即特定于特定用戶的)調(diào)整。

Vicarius提供了一個很好的供應(yīng)商示例,該供應(yīng)商允許基于CVSS v3.x對風(fēng)險評分進行細粒度定制。SSVC是由美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)在過去幾年推廣的一種更新的、基于決策樹的方法,用于根據(jù)風(fēng)險確定漏洞優(yōu)先級。SSVC允許任何組織將任何CVE置于與修補相關(guān)的四種行動類別之一:延遲、計劃、帶外或立即。支持SSVC的供應(yīng)商包括Tenable和Nucleus Security等。

網(wǎng)絡(luò)安全意識仍然不足

根據(jù)Omdia最新發(fā)布的網(wǎng)絡(luò)安全意識培訓(xùn)市場追蹤報告(2022年5月發(fā)布),2021年,整個網(wǎng)絡(luò)安全意識培訓(xùn)市場總收入達到16.9億美元。這相較于上一年增長了21.8%,顯示出公司培訓(xùn)員工的重要性。這與其他報告所看到的市場走勢以及網(wǎng)絡(luò)釣魚攻擊變得越來越頻繁的情況相一致。

一般來說,人們不會成為網(wǎng)絡(luò)釣魚攻擊的受害者,但是人們需要持續(xù)的高質(zhì)量實踐來培養(yǎng)強大的網(wǎng)絡(luò)安全技能。根據(jù)Verizon的《2022 Data Breach Investigations Report》,大約82%的網(wǎng)絡(luò)安全事件與人為因素有關(guān)。

關(guān)于網(wǎng)絡(luò)安全的人為因素的報道很多,網(wǎng)絡(luò)釣魚的“成功”經(jīng)常被強調(diào),美國黑帽大會也不例外。網(wǎng)絡(luò)釣魚可能是勒索軟件攻擊成功的原始來源,根據(jù)美國財政部金融犯罪執(zhí)法網(wǎng)絡(luò)的數(shù)據(jù),2021年前六個月在勒索軟件相關(guān)的可疑活動報告(SAR)中報告的可疑活動總價值為5.9億美元,超過了2020年全年報告的價值(4.16億美元)。

對員工進行網(wǎng)絡(luò)安全基本意識培訓(xùn)的必要性不言而喻。然而,在不斷發(fā)展的轉(zhuǎn)變中,公司開始認識到,現(xiàn)在進入企業(yè)勞動力市場的個人與之前的員工有著不同的經(jīng)歷和(在許多情況下)素養(yǎng)。

網(wǎng)絡(luò)安全意識培訓(xùn)公司正在通過增加培訓(xùn)內(nèi)容和改變授課方式來根據(jù)這種認識采取行動。

這些內(nèi)容的變化表明,電子郵件不再是年輕員工在工作之外通過電腦進行溝通的主要方式。從基于手機的即時通訊,到轉(zhuǎn)發(fā)視頻的社交媒體,眼下進入職場的人們對非文本交流和對移動設(shè)備的依賴,明顯不同于他們的前輩。

提供不斷發(fā)展的培訓(xùn)內(nèi)容意味著公司更加依賴于視頻內(nèi)容(包括動畫)、音樂視頻進行培訓(xùn),以及在一次性接觸中進行教學(xué)、強化、測試和獎勵的動手類游戲類比賽。

由于員工隊伍涵蓋從20多歲到60多歲不等的年齡群,企業(yè)及其培訓(xùn)合作伙伴必須在課程講授方式上保持靈活性,并在培訓(xùn)課程中增加內(nèi)容。美國黑帽大會表明,這兩種演變都在進行中。剩下的一個大問題是,由此帶來的風(fēng)險態(tài)勢的變化究竟會有多大,會有多迅速。

參加2022年美國黑帽大會的Omdia網(wǎng)絡(luò)安全研究團隊成員也即本報告作者包括:Omdia基礎(chǔ)設(shè)施安全高級分析師Ketaki Borade、Omdia首席分析師Andrew Braunberg、Omdia數(shù)字企業(yè)服務(wù)首席分析師Adam Etherington、Omdia網(wǎng)絡(luò)安全分析師Elvia Finalle、Omdia企業(yè)安全管理安全運營高級分析師Curtis Franklin、Omdia物聯(lián)網(wǎng)網(wǎng)絡(luò)安全高級研究總監(jiān)Maxine Holt、Omdia網(wǎng)絡(luò)安全高級首席分析師Fernando Montenegro、Omdia執(zhí)行首席分析師Eric Parizo、Omdia身份、身份驗證和訪問領(lǐng)域高級分析師和Omdia新興技術(shù)首席分析師Rik Turner。

【注:Omdia由Informa Tech的研究部門(Ovum、Heavy Reading和Tractica)與收購的IHS Markit技術(shù)研究部門合并而成,是一家全球領(lǐng)先的技術(shù)研究機構(gòu)?!?

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2022-10-27
Omdia復(fù)盤Black Hat USA 2022:數(shù)字化優(yōu)先 但網(wǎng)絡(luò)安全彈性不足
Omdia復(fù)盤Black Hat USA 2022:數(shù)字化優(yōu)先 但網(wǎng)絡(luò)安全彈性不足,C114訊 10月27日消息(艾斯)市場研究公司Omdia的整個網(wǎng)絡(luò)安全研究團隊都參加了于2022年

長按掃碼 閱讀全文