开源实践联盟通信 2022年 01月25日

2022年四大网路安全问题不容忽略

CIO与IT领导者们应当关注哪些安全要点?先从以下四项起步。

说起安全性话题,近年来可谓热度不断。从勒索软件到初步入侵代理、再到自动化数据中毒与对抗性机器学习,2021年的IT安全领域可谓“百花齐放、百家争鸣”。

从好的方面来说,如今的安全工作已经不需要跟在IT身后亦步亦趋。至少大型组织机构已经意识到独立安全体系的重要意义。红帽发布的《2021年全球技术展望》报告就将安全性列为IT投入的第一要务,有45%的受访者将其视为接下来的头号投入重点。

红帽技术布道师Gordon Haff在报告中提到:“从历史角度看,引发安全威胁的主要原因在于资金匮乏与重视度不足。但从方方面面的情况来看,这种被动局面正在发生变化。”

与DevSecOps的文化与实践发展相结合,这种变化希望将威胁环境缩小到可管理的水平,同时尽可能提升安全准备的全面程度——这一点当然非常重要,毕竟攻击者可不会像上班族那样设定明确的休假时间。

Altimetrik公司信息安全负责人Aladdin Elston表示:“黑客不会任由我们组织策略、编写程序而坐视不管,勒索软件也不会等到数据库经过加密之后才施以锁定,脚本小子更不会待到补丁管理周期启动之后才尝试利用最新漏洞。”

考虑到以上现实、也值此年度之交,是时候重新评估并着力关注IT团队乃至组织整体的安全目标了。以下,是2022年信息安全工作中的四大核心注意事项。

1. 基础很重要,好习惯决定一切

如果说信息安全是一张热门专辑,那安全习惯肯定是开篇第一首曲子。年复一年,众多安全事件的爆发都源自某些看似平凡的日常习惯。从勒索软件到云账户劫持、再到数据泄露,包括错误配置(包括直接使用默认配置)、用户权限过高乃至修复补丁缺失,大部分威胁之所以能得手,倚仗的就是那些最平平无奇的小失误。

Elston解释到:“2022年已经到来,很多朋友可能觉得基础安全知识早已全方位普及。但很遗憾,相当一部分基本安全实践并没有推开,因此极可能引发大规模安全违规。”

这就引发了新的问题:安全基础究竟是什么?密码安全与系统补丁当然属于基础,但除此之外我们还得就更多问题与同事们结合组织实际达成共识。只有这样,大家才能建立起一种通行的安全保护与效果量化标准。此外,“基础”这个词本身并无意义、无法直接指向任何实质性的基本原理。

Elston表示:“在我看来,基础知识囊括补丁管理、安全配置、威胁建模、DAST与SAST扫描、内部与外部漏洞扫描、渗透测试、网络钓鱼攻击防御、第三方漏洞评估、备份与灾难恢复、定制化安全培训等等。”

目前市面上充斥着众多确有价值的安全工具和技术,其中又以能够实现安全自动化的解决方案最为亮眼。然而“工具已经部署到位”的观念往往会导致人们放松对核心安全需求的关注,甚至乐观地假设自己已经安全无忧、只待躺平。

“基础”指的也不是陈旧,SAST与DAST扫描都是DevSecOps生命周期中的重要方法,而二者也正是当前颇具热度的安全“左移”理念的重要步骤。

2. 事事优先,等于无事优先

不断考量/重新考量组织中的安全空缺,特别是最近刚刚发现但还没解决的问题,这对于回归安全基础的整体举措具有重大意义。ELston提到,大家可以使用各类外部框架,包括NIST网络安全框架、OWASP Top 10等等。此外,MITRE ATT&CK也是值得考量的因素,还有指向特定场景的监管规则(例如HIPAA与PCI)。

Elston建议:大家最好能从对全体资产的库存检查起步。我们无法测试或者保护自己压根不认识的东西——所以这份清单将成为内部与外部漏洞评估、内部及外部渗透测试乃至其他主动安全策略的实施基础。

在这方面,个人和组织很容易在纷繁复杂的威胁情境下迷失方向。我们在企业中发现的风险与漏洞清单,特别是在深入研究过那些涵盖已知威胁与CVE的外部框架或其他资源时,往往让人感到隐患是无穷的、人力却是有限的。答案很简单——把问题缩小到能够解决的规模。想要解决所有问题,那很可能什么都解决不了。面对逐年增加的潜在威胁,我们只能尽人事、并且想办法尽好人事。

Elston指出:“大家最终可能会整理出一份对组织影响最大的风险清单,之后按重要性和业务影响对内容进行排序和优先级调整。我个人建议先关注清单中的前20%条目,其他的以后再说。”

这种方法主要有两大优势。首先,既可以高效、又着眼于实效地关注高紧迫度风险。这样就能广泛听取安全意见,同时在组织中摸索出一套具体且可操作的方法。此外,这也是一条能够统筹各方协同努力的、易于管理的安全保护路径。

其次,这种方法也能产生切实有效的下游影响。因为在关注最严重漏洞的同时,我们也能从中找到可以在其他场景中复用的固定模式。

想要解决所有问题,那很可能什么都解决不了,特别是在面对潜在威胁逐年增加的情况下。

Elston认为:“通常情况下,关注最关键的漏洞能够帮助我们理解自身环境、网络与人员的实际情况。在确定缺陷在哪里、如何进行纠正的过程中,我们将能够制定出一种适用于其他低优先级问题的原则性方法。”

Elston还强调了为不同人员及团队建立内部渠道,借此就安全问题开展沟通和协作的重要意义。对于还不太熟悉DevSecOps方法的朋友来说,这也不失为一种理想的探索起点。

Elston指出:“值得庆幸的是,通过负责任披露计划、众包信息源以及渗透测试,我们可以及早发现大部分漏洞并迅速加以修复。但要想达成这一目标,我们就必须在IT、基础设施、安全及开发团队之间建立起清晰而积极的沟通渠道。”

3. 解决供应链问题,满足IT安全需求

容器、微服务、编排等用于描述云原生应用程序开发方法的基本概念,其实也适用于当下精密无比、环环相扣的全球供应链体系。虽然细节有所区别,但供应链管理中的很多原则、特别是供应链安全问题,也同样适用于IT部门。

来自红帽的Haff表示:“供应链的核心主题适用于一切领域,其中当然也包括软件、包括开源软件。”

那么有多普适?足以让白宫在2021年5月发布关于网络安全的专项行政令。

如同其他供应链一样,IT供应链中的大多数软件都需要依赖其他软件进行构建、打包和部署。即使是拥有庞大开发团队的组织,也不可能万事从零开始亲手构建——这压根没有可行性。

Haff指出:“组织编写的大部分软件都依赖于其他外来软件,包括从互联网上直接下载到的软件。大部分代码当然没有恶意因素,但与所有软件一样,其中仍可能包含bug、或者已经过于陈旧。”

软件供应链将成为2022年及之后IT安全中的关键领域。事实上,我们不妨将DevSecOps理解成一种从根本上建立安全供应链的范式。没错,这是一种新范式、而非传统的网络边界问题。正因为如此,受信容器注册表(例如Quay)和自动镜像扫描才会变得越来越受重视。

Haff提到,开源安全基金会(OpenSSF)等行业组织已经开始在宏观层面解决供应链问题,但IT专业人员也应将这种心态融入自己的组织当中。

软件供应链将成为2022年及之后IT安全中的关键领域。

Haff认为,“IT领导者需要提高对安全问题的认知度,并在DevSecOps工作流程当中充分利用软件扫描与签名工具来缓解现实挑战。”

Red Hat云与DevSecOps战略总监Kirsten Newcomer预计,供应链安全将成为2022年IT领导者及其团队的核心关注点。组织将意识到,单凭漏洞分析等现有方法已经不足以抵御潜在入侵。DevSecOps团队将扩展自身战略与工具链丰富度,全力保护供应链体系。

Newcomer指出,“为此,Tekton CD链及Sigstore等新兴技术将在流程中逐渐铺开,降低组织在流程中添加签名的门槛。”

事实上,Newcomer还尝试将另一个传统概念引入IT领域:软件材料清单(SBOM)。

Newcomer表示,“关于交付SBOM的提议标准已经初步成型,但出于对供应链安全的担忧,我们现在必须加快步伐、确保所有组织都能理解该如何整理并提交软件材料清单。”Newcomer同时补充称,业内即将对静态与动态BOM问题展开广泛讨论。

所谓动态,自然需要涵盖不断变化的信息,例如漏洞数据。换句话说,软件包本身并没有改变,但其运行所依赖的其他软件也可能曝出新的漏洞。

Newcomer指出,“与之相关,围绕SBOM及相关包元数据的自动化方案也将爆发式增长。”

4. 数据,数据为王

端点与网络安全等传统关注方向仍然重要,但无论是对恶意攻击者、还是对于相阻止恶意攻击的人员和组织来说,安全的核心都是数据。这些数据大多分布在众多环境当中,于是“数据就是新的货币”在攻守两大阵营中都成了真相、而不止是比喻。

云安全是个宏大议题,这倒不是因为云基础设施本身安全度不足。相反,它相对安全、所以几乎每家组织都已经成功上云,云自然也就成了数据的聚集地。

Authomize公司CTO Gal Diskin表示,组织应该优先考虑工具与策略,例如基于角色的访问控制和零信任原则,借此规避不必要的风险。Diskin建议不断优化身份与访问管理范围内的一切内容。“做最悲观的假设”将非常重要:假设您的云账户、基础设施、SaaS等等,终将、甚至已经遭到了入侵。

Diskin表示,“大家应该为企业账户遭受威胁做好准备,并据此规划安全策略。纵深防御非常有效,还应辅以能限制账户盗窃范围的其他工具,确保组织能够持续验证访问权限,将以往粗略的身份验证层转化为细粒度授权体系。”

ZL Technologies全球服务负责人Melinda Watts预计,过去一直专注于基础设施的安全团队,将会在新一年中更多重视驻留或流经基础设施的数据内容。

具体来讲,Watts认为从安全角度出发,组织将更多关注自己掌握的暗数据。用直白的话来说,暗数据就是组织产出了、存储了,但实际上并没有得到使用的各种信息。

Watts指出,“DevSecOps长久以来一直采用自上而下的安全方法,确保云端或本地存储基础设施安全无忧。然而,2022年开始这项工作将迎来自下而上的新补充。在这种新方法中,企业将重新关注系统中所存储数据的安全水平。”

有一些组织已经达成了这种平衡,而长期认为基础设施重要度高于数据的组织则需要奋力追赶。攻击者的目标肯定不单是入侵服务器,他们想要的是服务器上的容器或者登录凭证,再借此窃取与组织相关的数据信息。数据才是重点、数据才是目标。

正因为如此,勒索软件才成为一种体量庞大的业务模式,并继续在医疗保健、银行与金融服务、政府部门等备受瞩目的领域疯狂肆虐。

Elston最后总结道,“近年来,健康数据安全已经成为一波新兴趋势;随着未来几年勒索软件攻击的持续存在,这波趋势终将成为主流关切。”

《数字化转型方略》杂志 《数字化转型方略》杂志