1. 依靠操作系統(tǒng)供應(yīng)商能完全防止自身的網(wǎng)絡(luò)安全漏洞

依靠操作系統(tǒng)供應(yīng)商來(lái)防止其自身的網(wǎng)絡(luò)安全漏洞是不可能實(shí)現(xiàn)的，就好像Microsoft Defender號(hào)稱(chēng)它可以保護(hù)所有的微軟終端一樣。

誰(shuí)是網(wǎng)絡(luò)安全世界中最大的安全供應(yīng)商?毫無(wú)疑問(wèn)，你會(huì)想到Windows，因?yàn)樗仁遣僮飨到y(tǒng)供應(yīng)商又是其安全軟件供應(yīng)商，微軟的安全系統(tǒng)也稱(chēng)為“Microsoft Defender”、“Windows Defender”和現(xiàn)在的“Windows Security”。

2021 年是 Microsoft系統(tǒng)中出現(xiàn)的漏洞達(dá)到了史上最高峰，比如攻擊者瘋狂地利用了 Exchange Server 中的 Microsoft 漏洞，例如 ProxyLogon 和 ProxyShell。緊接著是 PrintNightmare，接下里是 HiveNightmare。

Microsoft Defender 幾乎沒(méi)有阻止 Hafnium 和 Conti 組織利用此類(lèi)漏洞發(fā)起的任何勒索軟件攻擊，并且它們?cè)?Defender 中存在的時(shí)間超過(guò)了 12 年的。

最近的歷史表明，依靠操作系統(tǒng)供應(yīng)商來(lái)防止其自身的網(wǎng)絡(luò)安全漏洞是不可能實(shí)現(xiàn)的。

2. Mac 是安全的，根本不可能遭遇黑客攻擊

與微軟不同的是，蘋(píng)果并不是為了保護(hù)自己的產(chǎn)品而銷(xiāo)售安全軟件，但它仍然借著自己是一個(gè)封閉系統(tǒng)積極宣傳自己的安全性，將其作為 Mac 相對(duì)于其他硬件的獨(dú)特賣(mài)點(diǎn)之一。事實(shí)上，蘋(píng)果的產(chǎn)品和其他產(chǎn)品一樣，也需要第三方安全管理。比如最近肆虐的Log4j漏洞，包括蘋(píng)果公司、亞馬遜公司、云網(wǎng)絡(luò)安全服務(wù)公司、國(guó)際商用機(jī)器公司(IBM)、微軟旗下“我的世界”、帕洛阿爾托網(wǎng)絡(luò)公司和推特公司都向其用戶(hù)發(fā)出了安全警告。再比如2021年底的CVE-2021-30853(CVSS 評(píng)分：5.5)，攻擊者可以利用該漏洞簡(jiǎn)單而可靠地繞過(guò)無(wú)數(shù)基本的 macOS 安全機(jī)制并執(zhí)行任意代碼。

蘋(píng)果今年早些時(shí)候承認(rèn) macOS 確實(shí)存在被惡意軟件攻擊的問(wèn)題，雖然很少有公司將 Mac 用作服務(wù)器或網(wǎng)絡(luò)控制器，從而避免了勒索軟件運(yùn)營(yíng)商的注意，但它們?cè)谄髽I(yè)高管和開(kāi)發(fā)人員中都非常受歡迎。這使得企業(yè)級(jí) Mac 成為對(duì)高價(jià)值攻擊目標(biāo)，而在過(guò)去 12 個(gè)月中出現(xiàn)的新 macOS 惡意軟件主要是針對(duì)特定目標(biāo)的間諜活動(dòng)和后門(mén)。

與此同時(shí)，Mac用戶(hù)自己在很大程度上并不知道，惡意軟件可以并確實(shí)在許多方面擊敗蘋(píng)果使用的內(nèi)置安全技術(shù)。Mac 的內(nèi)置安全性在很大程度上依賴(lài)于代碼簽名、證書(shū)撤銷(xiāo)檢查和舊文件簽名。攻擊者繞過(guò)這些防護(hù)并沒(méi)有什么困難，并且與 Microsoft Windows 一樣，操作系統(tǒng)軟件的復(fù)雜性使得修復(fù)漏洞越來(lái)越頻繁。

最重要的是，Mac 的內(nèi)置安全控件無(wú)法讓用戶(hù)或管理員看到。作為首席信息安全官，如果沒(méi)有外部安全軟件提供防護(hù)，你如何知道有哪些 Mac感染了后門(mén)、間諜軟件或其他 macOS 惡意軟件?

3.提前預(yù)防是不可能的，只需要檢測(cè)就可以了

它已成為傳統(tǒng)網(wǎng)絡(luò)安全供應(yīng)商的一個(gè)防御失敗的借口了，他們?cè)噲D用這個(gè)借口為防御套件和 EPP 的失敗辯解，聲稱(chēng)預(yù)防是不可能的，感染后檢測(cè)和隔離是唯一現(xiàn)實(shí)的防護(hù)目標(biāo)。

但我們已經(jīng)到了 2022 年，多年來(lái)我們一直在使用機(jī)器學(xué)習(xí)和人工智能，任何企業(yè)都明白企業(yè)的安全供應(yīng)商完全有辦法完全阻止基于文件的惡意軟件預(yù)執(zhí)行。

完全依賴(lài)基于簽名的檢測(cè)的供應(yīng)商應(yīng)該用可以防止大多數(shù)類(lèi)型的惡意 PE 文件的靜態(tài) AI 引擎補(bǔ)充或替換他們的檢測(cè)引擎。更重要的是，信息崗位上的管理者應(yīng)該拒絕那些告訴他們無(wú)法預(yù)防的供應(yīng)商。

4. 零信任安全可以完全確保網(wǎng)絡(luò)安全

雖然采用零信任是減少攻擊面的正確方法，但現(xiàn)實(shí)是大多數(shù)組織無(wú)法跨多個(gè)資產(chǎn)和安全系統(tǒng)有效地實(shí)施完整的零信任架構(gòu) (ZTA)。

當(dāng)供應(yīng)商提供“零信任 SKU”時(shí)，組織應(yīng)謹(jǐn)慎行事。除了營(yíng)銷(xiāo)高談闊論之外，實(shí)現(xiàn) ZTA 安全模型還需要跨所有技術(shù)進(jìn)行集成。沒(méi)有“即插即用”的方式可以在一夜之間改變你的組織。事實(shí)上，從傳統(tǒng)的基于邊界的安全模型到 ZTA 安全模型是一個(gè)多年的過(guò)程，而對(duì)企業(yè)的攻擊每天都在發(fā)生。

傳統(tǒng)的安全防護(hù)是以邊界為核心的，基于邊界構(gòu)建的網(wǎng)絡(luò)安全解決方案相當(dāng)于為企業(yè)構(gòu)建了一條護(hù)城河，通過(guò)防護(hù)墻、VPN、UTM 及入侵防御檢測(cè)等安全產(chǎn)品的組合將安全攻擊阻擋在邊界之外。這種建設(shè)方式一定程度上默認(rèn)內(nèi)網(wǎng)是安全的。零信任的本質(zhì)是以身份為中心進(jìn)行動(dòng)態(tài)訪問(wèn)控制。零信任對(duì)訪問(wèn)主體與訪問(wèn)客體之間的數(shù)據(jù)訪問(wèn)和認(rèn)證驗(yàn)證進(jìn)行處理，其將一般的訪問(wèn)行為分解為作用于網(wǎng)絡(luò)通信控制的控制平面及作用于應(yīng)用程序通信的數(shù)據(jù)平面。

與企業(yè)安全方面的許多方法一樣，ZTA 只是提供了一種解決方案，但它不是萬(wàn)能藥。

5. 移動(dòng)設(shè)備的安全不是必須的

令人難以置信的是，目前還有些供應(yīng)商和安全從業(yè)者仍然沒(méi)有意識(shí)到企業(yè)中移動(dòng)設(shè)備安全保護(hù)的必要性。多年來(lái)，我們一直在通過(guò)移動(dòng)設(shè)備查看商務(wù)郵件和訪問(wèn)工作數(shù)據(jù)。

移動(dòng)領(lǐng)域由兩大操作系統(tǒng)供應(yīng)商 Google 和 Apple 主導(dǎo)，盡管他們采取了截然不同的方法來(lái)保護(hù)安全，但都明白移動(dòng)安全的必要性。最近，谷歌專(zhuān)門(mén)對(duì) iOS 零日、零點(diǎn)擊漏洞如何危害蘋(píng)果用戶(hù)做了剖析。以色列一家名為NSO的軟件公司推出名為飛馬的間諜軟件可以幾乎監(jiān)視全球任何一部iPhone，只需要被監(jiān)視的人誤點(diǎn)擊一條鏈接就能靜默監(jiān)控，甚至不需要有任何操作就能監(jiān)控，令人望而生畏。

盡管如此復(fù)雜，但該漏洞并非由民族國(guó)家行為者開(kāi)發(fā)，而是由私營(yíng)企業(yè) NSO 集團(tuán)開(kāi)發(fā)。在這種環(huán)境下，以利潤(rùn)為導(dǎo)向的攻擊者可以將這種水平的專(zhuān)業(yè)知識(shí)應(yīng)用到危害我們的移動(dòng)設(shè)備上。移動(dòng)攻擊是真實(shí)存在的，企業(yè)管理者應(yīng)該應(yīng)用移動(dòng)威脅防御措施來(lái)跟蹤用戶(hù)和設(shè)備的行為和操作。

6. 只要將數(shù)據(jù)備份就可以保護(hù)你免受勒索軟件的攻擊

信息安全世界瞬息萬(wàn)變，沒(méi)有一成不變的防護(hù)措施?；叵?2017 年的 NotPetya 和 WannaCry，當(dāng)時(shí)大多數(shù)企業(yè)因?yàn)闆](méi)有備份數(shù)據(jù)而遭受了無(wú)法估量的損失，后來(lái)，人們對(duì)勒索軟件的防護(hù)措施里就多了一條，即備份數(shù)據(jù)。

然而現(xiàn)在這個(gè)經(jīng)驗(yàn)并沒(méi)有什么參考意義，因?yàn)榈?2019 年，我們看到第一個(gè)人為操作的勒索軟件組織——Maze和 DoppelPaymer開(kāi)始使用雙重勒索方法：通過(guò)公開(kāi)竊取的數(shù)據(jù)來(lái)威脅用戶(hù)，從而支付贖金?，F(xiàn)在，如果公司重視數(shù)據(jù)的隱私，備份并沒(méi)有讓他們擺脫被勒索的困境。

雙重勒索已經(jīng)成為大多數(shù)勒索軟件組織的標(biāo)準(zhǔn)操作方式，有的甚至威脅泄露客戶(hù)數(shù)據(jù)或勒索受害組織的客戶(hù)。

即便如此，一些組織還是準(zhǔn)備死扛到底，冒著數(shù)據(jù)泄露的風(fēng)險(xiǎn)，從備份中恢復(fù)數(shù)據(jù)。不幸的是，這只會(huì)讓攻擊者把賭注提高到三重勒索方式上，除了威脅泄露數(shù)據(jù)和加密文件外，他們開(kāi)始用DDoS攻擊淹沒(méi)受害公司，迫使他們回到談判桌前。這意味著，再多的備份都無(wú)濟(jì)于事。

信息安全員要注意的是，勒索軟件運(yùn)營(yíng)商從以前的受害者那里獲得了大量現(xiàn)金。他們有能力購(gòu)買(mǎi)大規(guī)模的僵尸網(wǎng)絡(luò)，用DDoS攻擊你的網(wǎng)絡(luò)，直到你付錢(qián)為止。如果條件允許，他們還可以負(fù)擔(dān)得起從其他罪犯那里購(gòu)買(mǎi)初始權(quán)限的費(fèi)用，他們也可以負(fù)擔(dān)得起雇傭人工操作人員(也就是“附屬機(jī)構(gòu)”)來(lái)實(shí)施攻擊。備份在今天的雙重和三重勒索勒索軟件威脅中毫無(wú)意義。

7. 勒索軟件威脅可以由政府解決

我們已經(jīng)看到了多次有價(jià)值和勇敢的嘗試，以對(duì)抗因美國(guó)政府對(duì)網(wǎng)絡(luò)犯罪的新關(guān)注而導(dǎo)致的勒索軟件激增。

今年5月7日攻擊美國(guó)最大燃油系統(tǒng)Colonial Pipeline受到黑客攻擊，Colonial Pipeline向媒體證實(shí)該公司支付了440萬(wàn)美元的贖金以換得解密工具，但因該工具的速度太慢，促使Colonial Pipeline繼續(xù)利用自己的備份來(lái)恢復(fù)系統(tǒng)，一直至5月15日才恢復(fù)正常運(yùn)行。5月30日，全球最大肉品企業(yè)JB,遭到網(wǎng)絡(luò)攻擊，造成澳洲與北美地區(qū)的部分肉品處理產(chǎn)線中斷，美國(guó)白宮在6月1日召開(kāi)記者會(huì)時(shí)也提及了此事，表示JBS應(yīng)是遭到來(lái)自勒索軟件攻擊。

雖然JBS的總部位于巴西，但此次勒索軟件攻擊的受害者則是JBS的美國(guó)子公司JBS USA，因此，當(dāng)JBS USA遭到攻擊時(shí)，也同時(shí)驚動(dòng)了美國(guó)政府，白宮與美國(guó)農(nóng)業(yè)部皆已派員協(xié)助JBS USA。

對(duì)抗勒索軟件已成為美國(guó)政府的重要政策，美國(guó)總統(tǒng)拜登(Joe Biden)也已啟動(dòng)快速戰(zhàn)略審查，以解決日益增加的勒索軟件意外，包括與私人企業(yè)合作以了解勒索軟件架構(gòu)的分布及參與者，創(chuàng)建一個(gè)全球聯(lián)盟以向窩藏罪犯的國(guó)家究責(zé)，擴(kuò)大對(duì)加密貨幣的分析以發(fā)現(xiàn)及追查犯罪交易，以及重新審查美國(guó)政府的勒索軟件政策。

盡管政府采取行動(dòng)的努力值得稱(chēng)道，但網(wǎng)絡(luò)犯罪分子并未受到執(zhí)法部門(mén)的威懾。

8.實(shí)現(xiàn)網(wǎng)路防御自動(dòng)化后，你就不需要人工干預(yù)了

防護(hù)人員的網(wǎng)絡(luò)安全技能的短缺是真實(shí)存在的，但盡管自動(dòng)化可以為防護(hù)力和效率做出寶貴的貢獻(xiàn)，但自動(dòng)化永遠(yuǎn)不會(huì)取代網(wǎng)絡(luò)安全中的人的因素。

風(fēng)險(xiǎn)不是靜態(tài)的，隨著組織的成熟和業(yè)務(wù)的擴(kuò)展，風(fēng)險(xiǎn)面也在不斷增長(zhǎng)和變化。更多的服務(wù)、更多的生產(chǎn)服務(wù)器、更多的流和更多的客戶(hù)數(shù)據(jù)使得降低風(fēng)險(xiǎn)的挑戰(zhàn)不斷提高。由于沒(méi)有什么靈丹妙藥可以讓你了解企業(yè)的風(fēng)險(xiǎn)，也沒(méi)有量化保護(hù)企業(yè)安全的手段，因此始終需要能夠創(chuàng)新、評(píng)估和縮小這些差距的網(wǎng)絡(luò)安全人才。

攻擊載體也在不斷進(jìn)化，三年前，組織依靠對(duì)PE和其他可執(zhí)行文件的靜態(tài)分析來(lái)檢測(cè)和防止惡意軟件。不久之后，我們開(kāi)始看到無(wú)文件的、基于腳本的攻擊，以及成功滲透企業(yè)網(wǎng)絡(luò)的橫向移動(dòng)嘗試。像SolarWinds、Kaseya等大規(guī)模供應(yīng)鏈攻擊風(fēng)暴為風(fēng)險(xiǎn)管理增加了另一個(gè)維度。與此同時(shí)，勒索軟件經(jīng)濟(jì)創(chuàng)造了一個(gè)龐大的附屬網(wǎng)絡(luò)，這些附屬網(wǎng)絡(luò)使用新的垃圾郵件技術(shù)來(lái)繞過(guò)傳統(tǒng)解決方案。

人類(lèi)需要技術(shù)來(lái)幫助擴(kuò)展、最大化生產(chǎn)力、消除日常的任務(wù)并專(zhuān)注于需要關(guān)注的關(guān)鍵事項(xiàng)，但最好的情況是網(wǎng)絡(luò)安全自動(dòng)化將減少不斷增長(zhǎng)的領(lǐng)域和攻擊面。

9. 有了MDR安全服務(wù)則萬(wàn)事大吉

雖然自動(dòng)化永遠(yuǎn)不會(huì)取代對(duì)人類(lèi)分析師的需求，但也有相反的情況：人類(lèi)永遠(yuǎn)無(wú)法像計(jì)算機(jī)一樣快速地檢測(cè)、響應(yīng)和修復(fù)可識(shí)別的攻擊。我們需要以最適合任務(wù)的方式使用我們的人力和計(jì)算機(jī)資源。

在軟件和服務(wù)供應(yīng)商中，托管檢測(cè)和響應(yīng)是越來(lái)越受歡迎的產(chǎn)品。隨著部署率增加，這類(lèi)產(chǎn)品的種類(lèi)也隨之增加。除MDR外，現(xiàn)在還有MEDR、MNDR和MXDR等。托管終端檢測(cè)和響應(yīng)(MEDR)。此服務(wù)的重點(diǎn)主要在終端。那些具有終端檢測(cè)保護(hù)代理的供應(yīng)商通常會(huì)擴(kuò)展其產(chǎn)品，為其軟件提供托管檢測(cè)和響應(yīng)。在安全性方面，幾乎沒(méi)有萬(wàn)能的解決方案。但是，在決定哪種服務(wù)最適合你的企業(yè)和需求時(shí)，你需要回答幾個(gè)問(wèn)題，包括以下：

是否涵蓋你的終端?遠(yuǎn)程工作和零信任架構(gòu)突顯終端對(duì)企業(yè)整體安全狀況的重要性。如果你沒(méi)有強(qiáng)大的終端保護(hù)程序，MEDR是不錯(cuò)的選擇。

總結(jié)

網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的業(yè)務(wù)，這是一個(gè)無(wú)法回避的事實(shí)，但做好基礎(chǔ)工作是第一步。減少對(duì)操作系統(tǒng)供應(yīng)商的依賴(lài)，部署設(shè)備上的終端保護(hù)，提供對(duì)整個(gè)產(chǎn)業(yè)的可見(jiàn)性，并培養(yǎng)網(wǎng)絡(luò)安全人才，才會(huì)避免上述網(wǎng)路安全誤區(qū)。

本文翻譯自:https://www.sentinelone.com/blog/the-9-biggest-cybersecurity-lies-told-to-cisos/如若轉(zhuǎn)載，請(qǐng)注明原文地址。