10月27日消息(艾斯)市场研究公司Omdia的整个网络安全研究团队都参加了于2022年8月举办的美国黑帽大会(Black Hat USA),这篇报告总结了多位分析师对此次活动的洞察和对未来行业发展趋势的探析。
当今的组织采用数字化优先方式,但这很少扩展到网络安全方面
在展会第一天的主题演讲中,曾担任美国网络安全和基础设施安全局局长的Chris Krebs评论说,如果一个组织与一个国家的经济相关,那么它就是该国基础设施的一部分,并且这些组织应该相应地制定他们的网络安全方法策略。然而,似乎正在发生的事情是,尽管各种组织持续打造越来越多的数字化能力,使它们和经济越来越依赖于数字化,但我们没有相应的数字优先网络安全方法策略。
这与Omdia的研究非常吻合。数字化依赖是美国黑帽大会上Omdia分析师峰会的焦点;不同规模的组织依赖于数字化,需要弹性来支持这种依赖。弹性使这些组织能够持续运营并利用新的数字化机会,而网络弹性是数字化弹性的关键组成部分,即使发生安全事件和漏洞,也能实现持续运营。然而,网络弹性的水平往往是不够的。
Chris Krebs评论说,软件总体上仍然是脆弱的,但各种组织下意识地接受了风险,因为在我们依赖于数字化的这个世界里,好处超过了漏洞。这些成功和机遇意味着我们将继续使用软件构建越来越多的产品,但漏洞也越来越多。这种趋势将会持续。
安全技术正在努力帮助应对不断变化的威胁环境,但当然,技术只是人员、流程和技术控制这三个帮助减少安全风险的主要方面中的一个组成部分(尽管非常重要)。
组织中负责网络安全的人员必须跟上技术发展的步伐,以推动改进安全控制。反过来,最高管理层必须支持其CISO和安全职能部门,以确保其组织的数字优先方法也适用于网络安全。
安全工具正在成倍增加,但组织的网络弹性却没有——IT安全服务的持久作用
尽管在黑帽大会上出现了更多的工具、平台、威胁遥测数据源和“自动化”解决方案,但CISO和安全主管们仍然保持着警惕态度。
一方面,许多供应商现在声称推出了完全集成XDR(扩展检测和响应)功能、具备先进的工作流程、丰富的AI/ML和直观性的仪表板——展台上的演示令人印象深刻。那么,为什么在最近接受Omdia调查的组织中,有50%发现,尽管有这些工具的进步,安全事件的严重程度却有所增加?
事实上,46%的大中型组织、跨国公司和政府机构都发现来自云资源的安全事件显著增加。另外32%的组织发现终端触发事件急剧增加,25%的组织发生过核心企业应用程序安全事件。43%的安全负责人认为有效的事件响应是他们今年最大的网络安全挑战。
从根本上说,它归结为技术人员在复杂技术环境中设计、集成和操作这些工具集方面的持久作用——特别是在价值链变得越来越数字化的情况下。领先的第三方服务提供商是独立仲裁和编排工具的最佳场所。
在美国黑帽大会上,在众多的、闪亮的、时髦的软件供应商中看到领先的服务提供商是令人鼓舞的。这些公司继续投资于专有和第三方安全能力,这些能力由在复杂环境中利用技术能力的专业和托管服务所支撑。
数字弹性是一场持久的战斗;幸运的是,行业正蓄势待发。
保护关键的国家基础设施的安全尤为突出
就像几个月前RSA的关键主题之一一样,运营技术(OT)也是黑帽大会的一个焦点。第二天的主题演讲聚焦于“pre and post-Stuxnet”网络安全格局。值得注意的是,尽管在保护关键基础设施(CNI)和防止物理上的数字攻击方面经历了多年的学习和开发,但仍有很大的改进空间(考虑到Colonial Pipeline就发生在去年)。因此,可以理解在连接设备的安全领域中,OT占据了很多关注点,特别是考虑到当前的地缘政治格局。
也即,这并不是说物联网没有立足之地。物联网适用于许多行业和垂直领域的未来互联格局,从制造业和公用事业到医疗保健和互联汽车。虽然物联网设备可能不是组织“皇冠上的宝石”,但往往是唾手可得的果实,是一个必须考虑和准备的额外入口点。
令人耳目一新的是,至少在美国黑帽大会的许多展台上都提到了物联网,它越来越多地被纳入供应商的产品和解决方案中,无论他们的主要关注领域是否为连接设备。这既反映了物联网如何与企业内的其他技术和资产融合,也反映了人们对物联网的看法发生了变化,即物联网不再是未来需要考虑的东西,而是现在就需要考虑的东西。
放眼联网汽车,这一领域是物联网网络安全解决方案中创收较小的领域之一。然而,该领域从2020年到2021年的增长率高达28%,而前一年为19%。鉴于汽车监管环境正在全球范围内获得推动和统一,增长看起来将会继续。Omdia在黑帽大会上看到了一些关于联网汽车安全的演示,包括无钥匙进入系统等。这是一个有趣且快速发展的领域,Omdia将密切关注。
身份验证的复杂性
此次活动的一个关键主题是,不安全产品的日益扩散正在增加技术的复杂性。由于这种日益增加的复杂性,网络犯罪正在获得优势,作为应对这种复杂性的潜在方法之一,有许多关于无密码和持续认证技术的简报。
通过无密码身份验证实现零信任转换也是此次展会的一个主题。在过去的30年里,摆脱密码一直是许多组织和个人的圣杯。无密码身份验证消除了对密码的依赖,并提供了许多业务好处,包括更好的用户体验、减少IT时间和成本以及更强大的安全态势。然而,无密码身份验证本身并不是目的。
一个健全的认证系统应该建立在促进安全、隐私、可持续性、用户体验、可扩展性和包容性的长期愿景之上。另一方面,尽管从长远来看,无密码身份验证可以节省费用,但部署成本目前是许多潜在用户的阻碍因素。还需要培训和专门知识,因为无密码身份验证需要IT团队和最终用户的适应。
一位演讲者认为,身份验证在五年后仍将是一个问题。这表明了身份验证正试图解决的问题的复杂性,以及网络安全犯罪分子正试图利用不断演变的攻击媒介。
云、API、供应链安全主题在基础设施安全考虑中显得尤为突出
就在几个月前,业界聚集在一起召开了RSA会议,当时讨论的大部分内容也在黑帽大会上获得热议:推动更好的环境,更好地整合风险,更好的供应链,并将安全功能作为服务提供。
不过,在黑帽大会上,有趣的是看到像Wiz和Orca这样的云安全供应商发挥更大的作用,他们与行业巨头Palo Alto Networks和其他知名公司(如趋势科技、Qualys等),在保护客户云资产这一日益关键的市场上展开竞争。Omdia在这个领域追踪了数十家供应商。
值得注意的是,API安全性是一个值得关注的关键领域:现代云中威胁环境的残酷现实是,攻击者将错误配置或过度许可的API作为颠覆合法机制的手段,通常是更广泛的攻击活动的一部分,可能跨越系统、应用程序,甚至供应商。
这也与供应链安全密切相关,该领域已经取得了显著的发展,包括供应链安全供应商Phylum成为首届Black Hat Innovation Spotlight的获胜者。初创公司的许多创新聚焦于云安全方面,他们试图解决互操作问题,并帮助全面了解云环境。
出现的常见话题之一是推动采用云服务的数字化转型项目,而安全性仍然是各个组织在其云服务之旅中的关键问题。让客户了解责任共担模型,并就云环境中需要保护的内容发送正确的信息,这仍然是重中之重;公有云服务提供商在安全方面已经取得了长足的进步,但在客户理解方面仍存在一些挑战。
考虑到基础设施安全的其他方面,值得注意的是,关于端点安全的讨论现在显著地转向了对扩展检测和响应(XDR)的更广泛追求,而网络和内容安全供应商则急于将他们的安全访问服务边缘(SASE)产品置于最前端和中心位置,希望利用客户的需求来简化安全功能的交付。
XDR:统一TDIR的时机已经到来
扩展检测和响应(XDR)即将取得突破。根据Omdia在2022年美国黑帽大会上观察到的势头,可能甚至不止一个。
自2018年Omdia高级首席分析师Rik Turner首次将XDR作为一个广泛使用的行业术语提出以来,XDR作为一种安全运营中心(SOC)替代解决方案稳步发展,它统一了复杂、耗时且昂贵的企业威胁检测、调查和响应(TDIR)过程。
在过去的12个月里,各种各样的供应商和提供商向市场推出了XDR产品。尽管它们在底层技术和有效功能方面差异很大,但毫无疑问,随着这些解决方案的成熟,它们将为长期难以获得和管理传统SIEM/ SOC技术栈的组织提供一种引人注目的新方法。
在拉斯维加斯的大会上,Omdia观察到两个重要进展,表明XDR市场期待已久的突破可能即将到来。
首先,一直不愿接受XDR发展细节的TDIR供应商已经改变了他们的立场。一家领先的EDR供应商概述了一项重要的战略转变,称其不断发展的XDR产品将不再优先使用自己的数据,并且将会集成第三方供应商的数据。此外,一家长期以来一直停留在XDR边缘的NDR参与者表示,它打算拥抱开放的XDR,因为它明白,即使XDR不断发展,最佳技术仍将继续是TDIR架构的关键元素。
其次,企业开始理解XDR是什么以及它如何改变TDIR中的游戏规则。Omdia与几位与会者进行了交谈,他们表示对XDR感到兴奋,不仅因为它提供了跨多个 IT 资产区域直接收集、检测、调查和响应威胁的能力,而且还因为它是在单一的、集成的环境中完成的,这是SecOps团队渴望的一个关键但长期难以实现的可用性优势。
Omdia预计,从2022年到2023年能力将会进一步成熟,特别是在解决方案和服务集成方面;更多组织将致力于构建特定于目的的开放XDR环境。然而,随着时间的推移,Omdia仍然看好综合XDR,即多合一的单一供应商XDR平台,因为它具有预先集成的数据工程和自动化事件整合和优先级排序等关键优势。然而,综合XDR供应商仍有许多工作要做,以证明在单一XDR平台上全力以赴的好处大于风险和成本。
评估风险并打分
毫不奇怪,很多供应商都想在黑帽大会上讨论风险优先级。目前,基于风险的漏洞管理是一个特别热门的话题,但供应商究竟是如何计算风险的,并不总是显而易见的。人工智能引擎的使用可能会很好地产生关于风险的预测结果,但客户通常只会得到一个分数,对于计算该分数的方式却不怎么透明。
致力于提高风险评分透明度的供应商通常遵循以下两种通用框架之一:通用安全漏洞评分系统(Common Vulnerability Scoring System,CVSS)或特定于利益相关者的漏洞分类(Stakeholder-Specific Vulnerability Categorization,SSVC)。CVSS是两者中知名度更高的,但通常被认为不适合这项工作,主要是因为过往只使用了基础CVSS分数。然而,该系统允许对基本分数进行时间(即基于时间的)和环境(即特定于特定用户的)调整。
Vicarius提供了一个很好的供应商示例,该供应商允许基于CVSS v3.x对风险评分进行细粒度定制。SSVC是由美国网络安全和基础设施安全局(CISA)在过去几年推广的一种更新的、基于决策树的方法,用于根据风险确定漏洞优先级。SSVC允许任何组织将任何CVE置于与修补相关的四种行动类别之一:延迟、计划、带外或立即。支持SSVC的供应商包括Tenable和Nucleus Security等。
网络安全意识仍然不足
根据Omdia最新发布的网络安全意识培训市场追踪报告(2022年5月发布),2021年,整个网络安全意识培训市场总收入达到16.9亿美元。这相较于上一年增长了21.8%,显示出公司培训员工的重要性。这与其他报告所看到的市场走势以及网络钓鱼攻击变得越来越频繁的情况相一致。
一般来说,人们不会成为网络钓鱼攻击的受害者,但是人们需要持续的高质量实践来培养强大的网络安全技能。根据Verizon的《2022 Data Breach Investigations Report》,大约82%的网络安全事件与人为因素有关。
关于网络安全的人为因素的报道很多,网络钓鱼的“成功”经常被强调,美国黑帽大会也不例外。网络钓鱼可能是勒索软件攻击成功的原始来源,根据美国财政部金融犯罪执法网络的数据,2021年前六个月在勒索软件相关的可疑活动报告(SAR)中报告的可疑活动总价值为5.9亿美元,超过了2020年全年报告的价值(4.16亿美元)。
对员工进行网络安全基本意识培训的必要性不言而喻。然而,在不断发展的转变中,公司开始认识到,现在进入企业劳动力市场的个人与之前的员工有着不同的经历和(在许多情况下)素养。
网络安全意识培训公司正在通过增加培训内容和改变授课方式来根据这种认识采取行动。
这些内容的变化表明,电子邮件不再是年轻员工在工作之外通过电脑进行沟通的主要方式。从基于手机的即时通讯,到转发视频的社交媒体,眼下进入职场的人们对非文本交流和对移动设备的依赖,明显不同于他们的前辈。
提供不断发展的培训内容意味着公司更加依赖于视频内容(包括动画)、音乐视频进行培训,以及在一次性接触中进行教学、强化、测试和奖励的动手类游戏类比赛。
由于员工队伍涵盖从20多岁到60多岁不等的年龄群,企业及其培训合作伙伴必须在课程讲授方式上保持灵活性,并在培训课程中增加内容。美国黑帽大会表明,这两种演变都在进行中。剩下的一个大问题是,由此带来的风险态势的变化究竟会有多大,会有多迅速。
参加2022年美国黑帽大会的Omdia网络安全研究团队成员也即本报告作者包括:Omdia基础设施安全高级分析师Ketaki Borade、Omdia首席分析师Andrew Braunberg、Omdia数字企业服务首席分析师Adam Etherington、Omdia网络安全分析师Elvia Finalle、Omdia企业安全管理安全运营高级分析师Curtis Franklin、Omdia物联网网络安全高级研究总监Maxine Holt、Omdia网络安全高级首席分析师Fernando Montenegro、Omdia执行首席分析师Eric Parizo、Omdia身份、身份验证和访问领域高级分析师和Omdia新兴技术首席分析师Rik Turner。
【注:Omdia由Informa Tech的研究部门(Ovum、Heavy Reading和Tractica)与收购的IHS Markit技术研究部门合并而成,是一家全球领先的技术研究机构。】
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。