ISACA Blog | 2024网络安全策略升级指南:应对新兴威胁与合规挑战
尽管网络安全形势不断演变,但2024年有一件事仍然很明晰:要防范网络威胁,制定符合公司目标和监管合规性的全面网络安全战略计划至关重要。值得注意的是,保持网络安全防护的与时俱进需要兼顾细节和全局。虽然监管合规性和地缘政治因素可以为网络安全规划提供宝贵的指导,但最终应应以公司的目标作为驱动力。在这篇博文中,我们将探讨一些增强2024年网络安全策略的建议。
勒索软件2.0的兴起:双重勒索和数据盗窃
勒索软件2.0超越了数据加密的范围,引入了新的复杂性。与仅加密数据的传统勒索软件不同,勒索软件2.0更进一步,在加密之前窃取受害者的数据。即使受害者决定不支付赎金,这种恶意技术也为攻击者提供了筹码。在这种情况下,攻击者可以选择将被盗数据泄露给竞争对手或公开披露敏感的个人信息。
这种双重勒索方法放大了勒索软件攻击造成的损害,因为受害者不仅面临数据丢失的风险,还面临数据泄露造成的潜在声誉损害。勒索软件2.0的一个著名案例是 2021年5月对Colonial Pipeline的攻击。攻击背后的网络犯罪分子不仅加密了该公司的数据,还在发起赎金要求之前窃取了大量数据。该事件导致燃料供应中断,凸显了双重勒索手段的严重性。
此外,工业技术、运输和安全等关键系统可能越来越多地成为勒索软件攻击的目标。
不断扩大的攻击面:智能化设备、放大的漏洞
随着智能手机、智能家居设备和物联网 (IoT) 设备等互联设备的指数级增长,攻击面显著扩大。这些设备如果不安全,很容易成为网络攻击的目标,使攻击者能够破坏其他网络组件。组织必须主动强化其复杂且互连的IT环境。这包括及时修补漏洞、实施强大的身份验证措施以及隔离网络以遏制恶意软件的传播。
2016年发生的Mirai僵尸网络攻击是易受攻击的物联网设备如何被利用的一个典型例子。该攻击破坏了数千个物联网设备,例如摄像头和路由器,并利用它们发起大规模分布式拒绝服务(DDoS)攻击。此案例强调了保护所有连接设备以防止它们成为网络攻击入口点的重要性。
零信任安全:打破信任壁垒
零信任安全是一种主动安全模型,其运行前提是没有实体(包括网络内的实体)本质上是值得信赖的。在这种模式下,每个用户和设备在获得资源访问权限之前都必须经过身份验证和授权过程。随着组织过渡到云并采用混合工作模式,零信任变得越来越重要。这是由于防火墙等传统安全模型在这种动态环境中的有效性不断下降。
谷歌实施的零信任安全架构就是一个众所周知的例子。谷歌采用了一种模型,每个用户和设备,无论是在网络内部还是外部,都必须在访问资源之前进行身份验证和授权。此方法可确保不会自动授予信任,并通过验证身份和实施访问控制来增强安全性。
拥抱无密码的未来:降低安全风险
认识到密码固有的漏洞正在推动无密码身份验证的广泛采用。到2024年,我预计在增强安全性的迫切需要的推动下,传统密码将持续消失。这一转变需要采用更强大的身份验证方法,包括利用独特的生物特征和一次性密码来提高安全性的生物识别身份验证。生物识别身份验证是一种使用个人独特的生物特征(例如指纹、面部识别、虹膜扫描和语音识别)来验证其身份的身份验证。生物识别身份验证被认为比传统密码更安全,因为它更难以伪造和复制。此外,生物识别身份验证提供了更大的便利,因为用户不需要记住密码或随身携带物理令牌。
一次性密码 (OTP) 是由设备或系统生成的临时代码,通常发送到用户的手机或电子邮件,必须输入该代码才能完成登录过程。与传统密码不同,OTP只能使用一次,并且是随机生成的,这使得它们更难以预测或窃取。OTP是一种流行的双因素身份验证 (2FA) 形式,通常与传统密码一起使用以提高安全性。
人工智能在网络安全中的双重作用:增强防御和进攻
人工智能 (AI) 的使用正在彻底改变网络安全格局,它具有开发先进防御机制的潜力,包括能够分析大量数据集以识别潜在攻击的威胁检测系统。然而,人工智能也被用来开发更复杂的网络攻击。网络犯罪分子正在利用人工智能来自动执行各种任务,包括检测软件漏洞、发起网络钓鱼攻击和规避传统安全措施。
尽管人们承认生成式人工智能具有增强和自动化社会工程战术的潜力,但现实情况是,人工智能驱动的社会工程实例目前很少或不存在。值得注意的是,2023 年Verizon数据泄露和调查报告 (DBIR) 没有报告任何人工智能参与社会工程攻击的案例。由于传统社会工程技术的有效性能够产生成功的结果,因此预计这种情况将在2024年持续存在,从而满足了投资更复杂方法的需要。
为了更大的“网络”利益:加强产学研合作
这种协作方法不仅将提高网络安全成熟度的基线,还将带来新的视角和创新的解决方案。此外,它将有助于解决与熟练网络专业人员短缺相关的担忧。地方政府可以承担为其他级别的政府代理和管理集中式网络服务/解决方案的角色。这种方法将减轻那些“网络服务不足”的人的负担,并实现原本无法实现的规模效应。随着协作的增加和切实利益的实现,所涉及的各个实体之间的信任将继续增强。
这里的另一个细微差别是,利用人工智能进行全球劳动力发展可以为可持续的网络安全计划提供一条途径,使其成为未来的一项宝贵投资。安全编排、自动化和响应 (SOAR) 等传统自动化工具可以在一定程度上提供帮助,但人工智能工具提供了额外的力量倍增功能,可以主动管理SOAR。随着这些工具在特定环境中学习和改进,它们可以承担更多的日常任务,从而将有限的人力资源释放到需要独立思考的事情上。这对于漏洞管理、事件响应和网络防御等蓝队任务尤其重要。通过提高人工智能工具的功能,不仅网络安全专业人员可以受益,IT运营专业人员还可以承担更多网络职能,特别是在无力承担专职网络安全人员费用的组织中。
地缘政治冲突:网络安全影响的催化剂
正如地缘政治力量塑造全球经济一样,它们也可以对网络安全产生影响。例如,以色列和哈马斯之间持续的冲突可能会扰乱网络安全供应链。与此同时,乌克兰与俄罗斯的冲突对全球网络安全的影响也很大。其后续演变一旦尘埃落定,可能促使源自该地区的国家级威胁行为体重新活跃。由于资源丰富,这些攻击者会采用更复杂的攻击技术。虽然无法预测这些冲突的结果,但它们的展开和解决将对全球网络安全产生深远的影响,不仅限于2024年。
合规格局
正如基加利银行的Sandra Uwadede(安全专家、CISM、CISA)所观察到的那样:“在网络安全领域,对于组织来说,维护公认的标准至关重要,这些标准不仅可以增强信息安全,还可以确保业务运营的连续性。ISO 27001是全球公认的标准,深入研究信息安全管理,重点关注风险。通过ISO 27001认证的组织发现自己采用了持续的风险评估思维方式,这是当今动态威胁环境中的一个重要方面。通过细致入微的方法,整合ISO 31000风险管理原则,使实践与更广泛的组织风险战略保持一致。
除了业务连续性之外,ISO 22301:2019还提供了一个用于建立、实施和持续改进业务连续性管理体系的强大框架。它值得注意的是它适用于任何规模、行业或部门的组织。此外,它与ISO 9001和 ISO/IEC 27001等其他管理体系标准无缝对接,可以轻松集成到现有管理系统中。
考虑到地区差异,德国制定的BSI IT-Grundschutz虽然主要用于德语地区,但提供了适用于全球范围的原则。其定期更新可确保与不断变化的网络威胁保持一致,使其成为一种多功能选择。当与行业特定标准相结合时,IT-Grundschutz 成为创建定制安全框架的基石,可有效解决独特的组织风险。”
美国证券交易委员会 (SEC) 网络安全规则将于2024年第四季度生效,已开始显着重塑网络安全格局,特别是对于上市公司和投资公司而言。该规则要求加强网络安全披露,旨在让投资者更好地了解公司如何管理网络风险。最显着的影响之一是网络安全实践透明度的提高。现在,公司需要在特定时间范围(四天)内报告网络安全事件,以便更直接地了解网络威胁的频率、严重程度和影响。这种转变导致人们更加重视主动的网络风险管理,因为公司努力避免因公开披露安全漏洞而造成声誉受损。
Iskandar Islamov(网络安全总监) 表示:“该规则对2024年网络安全格局产生重大影响,因为它将推动组织大幅增加对网络安全基础设施和专业知识的投资。” “公司认识到监管期望和投资者审查的增加,一直在激励加强其网络防御。这包括采用先进的安全技术,例如人工智能驱动的威胁检测系统,以及更加注重员工培训和意识计划。此外,随着公司寻求减轻与潜在违规行为相关的财务风险,该规则将刺激网络安全保险市场的增长。总体而言,SEC网络安全规则不仅提高了企业网络安全实践的标准,而且还为整个网络安全行业的成熟和成熟做出了重大贡献。”
PCI DSS 4.0引入了64项强制组织合规性的新要求,这标志着其从单纯的技术规范转向更全面的安全视角。这一新标准的制定采用了零信任方法,使组织能够增强其身份验证系统,以满足严格的数据保护要求。虽然之前的版本3.2.1将持续有效至2024年3月31日,但组织必须开始准备采用最新版本。这种主动的方法对于有效降低潜在的安全风险至关重要。确保遵守PCI DSS 4.0不仅是一项监管义务,也是加强数据泄露防御和维护信用卡信息安全的战略要务。
网络安全战略优先级
在2024年不断发展的网络安全格局中,企业必须优先考虑符合公司目标和监管合规性的全面网络安全战略计划。这篇博文重点介绍了主要趋势和挑战,包括双重勒索和数据盗窃的勒索软件2.0的兴起、连接设备导致的攻击面不断扩大、采用零信任安全措施的重要性、向无密码身份验证的转变、人工智能增强防御和进攻的能力,公共、私人和教育实体之间加强合作的必要性,以及地缘政治冲突对网络安全的影响。通过了解和解决这些问题,企业可以更好地防范网络威胁并保护其宝贵的资产。
编者按:本文于2024年2月12日首次发表于ISACA官网ISACA Now Blog。文章内容仅代表作者本人观点。
作者:Ramona Ratiu, MS, CISM, CISA, 苏黎世保险公司网络安全高级经理,ISACA芝加哥分会前任主席
翻译:杨皓然(AdySec),CISSP,CISM,CISA,CDPSE,CRISC,CGEIT,PMP,CCSK,CZTP,CDSP,CCSSP,RHCA,CCNP,ISO27001 Auditor,ISACA微信公众号特邀通讯员,CSA高级会员,ISC2北京分会会员,致力于云安全、零信任、数据安全、安全运营等方向
校对:蔡俊磊(Joe Cai),CDPSE、CISA、CISM、CGEIT、CRISC、CCAK、Cybersecurity Audit、CISSP、CCSP、CIPP/E、FIP、CIPM、CIPT、CIPP/A、EXIN DPO、ISO 27001 LA,ISACA中国技术委员会主席,ISACA微信公众号特邀通讯员,ISACA上海社区Leader,现任某国际酒店集团信息安全副总裁。