歡迎閱讀《CISO Insider》第二期。我是 Rob Lefferts,帶領 Microsoft 365 Defender 和 Sentinel 工程團隊。在 Microsoft 安全性,我們會不斷傾聽客戶的意見並向他們學習,幫助他們應對日益複雜的安全環境。我們設計《CISO Insider》作為一種媒介,分享我們從同業我們自己的產業研究中收集的建議。在第二期中,我們對第一期中出現的漏洞進行後續追蹤,仔細研究了網路勒索以及安全性主管用來遏制此類橫向攻擊的做法,同時將對業務和安全性團隊的干擾降至最低。
在 第 1 期中,我們討論了 CISO 最關心的三個問題:適應混合、多雲端環境中的緊急威脅趨勢; 管理供應鏈威脅; 並解決安全性人才短缺問題。在本期中,我們將仔細研究這場網路風險因素的完美風暴,並確定組織如何發展其策略以化解不斷升級的威脅。首先,我們研究勒索軟體不斷變化的風險狀況以及有助於防止這些和其他在整個網路橫向傳播的違規行為的最佳實務。接下來,我們研究兩個關鍵資源,它們不僅有助於防止違規,並且會在第一個關鍵時刻快速回應:延伸偵測及回應 (XDR) 和自動化。兩者都有助於解決我們在第 1 期中討論的漏洞:當今分散在混合工作和供應商生態系統中網路的安全和身分界限延伸,以及用於監控和回應這些威脅的人力資源稀缺。
網路犯罪經濟使普通網路犯罪分子能夠獲得更好的工具和自動化,以實現規模化並降低成本。與成功攻擊的經濟效益相結合, 勒索軟體 正處於快速發展的軌道 (Microsoft 數位防禦報告,2021 年)。攻擊者透過採用雙重勒索模式來提高賭注,在這種模式中,受害者首先會被勒索贖金,然後可能會公布其遭竊的數據。我們還發現,針對營運技術資產以破壞關鍵基礎結構的攻擊增加。CISO 在業務中斷或資料暴露會對企業造成的更大的災難性成本意見分歧,具體取決於他們所處的產業和準備程度。無論哪種方式,做好準備都是管理這兩方面風險的關鍵。除了緩解策略之外,考慮到這些攻擊的頻率和嚴重性,成功的預防措施 (例如更強的端點安全性、身分保護和加密) 也至關重要。
勒索軟體攻擊者的目標是您最有價值的資產,他們認為可以從您身上榨取最多的金錢,無論是被扣為人質時最具破壞性或最有價值的資產,還是被釋放時最敏感的資產。
產業是組織風險狀況的重要決定因素:製造業領導者將業務中斷視為最關心的問題,而零售和金融服務 CISO 則優先考慮保護敏感的個人識別資訊; 同時,醫療保健組織在這兩方面同樣脆弱。作為回應,安全性主管正在透過強化周邊、備份關鍵資料、冗餘系統和更好的加密,積極將風險狀況從資料遺失和暴露上轉移。
業務中斷現在是許多主管關注的焦點。即使中斷時間很短,業務也會產生成本。一位醫療保健 CISO 最近告訴我,從營運上來說,勒索軟體與重大停電沒有什麼不同。雖然足夠的備份系統可以幫助快速恢復電力,但您仍然會遇到中斷業務的停機時間。另一位 CISO 表示,他們正在考慮如何將中斷擴展到其主要企業網路之外的營運問題,例如管道問題或勒索軟體關閉關鍵供應商的次要影響。
管理中斷的策略包括冗餘系統和分段,以協助盡量減少停機時間,允許組織將流量轉移到網路的不同部分,同時包含和還原受影響的部分。然而,即使是最強大的備份或災害復原流程也無法完全解決業務中斷或資料曝光的威脅。風險降低的另一面是預防。
這三種最佳實務相互結合,形成了全面的安全性策略,其中整合的資料、身分和網路管理則建立在零信任方法的基礎上。對許多組織而言,實施零信任需要更廣泛的安全性轉型。雖然大多數安全性主管正在走向零信任,但有些人表示擔心,分段的環境可能會嚴重影響員工或安全性團隊的生產力,不值得過快地進行大量分段。
雖然每個組織都有自己需要解決的要求,但我想指出的是,我們可以充分利用存取和安全性。分段不需要具有破壞性。我們看到這種好處,尤其是當組織將身分管理與安全性轉型工作 (例如實施無密碼驗證) 結合時,使用者不必管理許多破壞性登入。Microsoft 的 CISO Bret Arsenault 解釋了無密碼如何促進安全性:「保護裝置很重要,但這樣還不夠。我們也應該專注於保護個人安全。我們可以透過讓您成為密碼來增強您的體驗和安全性。」 由於認證遭竊是大多數攻擊的切入點 (例如,根據 2022 年Verizon 資料外洩調查報告 (DBIR),超過 80% 的 Web 應用程式外洩是由於認證遭竊所致),無密碼也有助於彌補此關鍵的安全性缺口。
我採訪過的許多 CISO 都採用多種方法來預防和偵測攻擊,利用涵蓋漏洞測試、周邊測試、自動監控、端點安全、身分保護等多層供應商解決方案。對於某些人而言,這是故意的備援,希望分層方法能涵蓋任何缺口,就像一堆瑞士起司一樣,希望這些孔洞不會排成一行。
我們的經驗表明,這種多樣性可能會使補救工作變得複雜,並可能造成更多的風險。正如一位 CISO 所說,組裝多個解決方案的缺點是由於碎片化而缺乏可見度:「我確實有一種最佳的方法,它本身就構成一定的挑戰,因為缺乏對整體風險的見解,因你有這些獨立的主控台來管理威脅,卻缺乏在所發生之處對威脅的總體視圖。」 (醫療保健,1,100 名員工) 由於攻擊者編織了一個跨多個不同解決方案的複雜網絡,因此很難全面了解攻擊鏈、確定危害程度並完全根除任何惡意軟體承載。阻止正在進行的攻擊需要能跨多個向量即時偵測、阻止和遏制/補救攻擊。
使用 XDR 協助防禦勒索軟體和其他複雜攻擊
許多安全領導者正在轉向延伸偵測及回應 (XDR),以實現此跨平台優勢。XDR 有助於協調整個生態系統 (而不僅僅是端點) 的訊號,以促進更快地偵測和回應複雜的威脅。
XDR 的工作原理類似於端點偵測和回應 (EDR),但涵蓋範圍更廣,將安全性威脅偵測和事件回應擴展到整個數位環境,包括身分、基礎結構、應用程式、資料、網路和雲端等。考慮到現代攻擊的複雜性,這種廣泛的範圍至關重要,這些攻擊利用當今複雜的分散式環境跨網域橫向移動。攻擊逐漸以非線性方式進行,在不同的雲端、電子郵件、SaaS 應用程式等之間橫向移動。
XDR 可協助您將所有不同系統的資料整合在一起,使您可以從頭到尾查看整個事件。單點解決方案可能會使這種全面的可見度變得困難,因為它們只會顯示部分攻擊,並且依賴時常不知所措的安全團隊來手動關聯來自不同入口網站的多個威脅訊號。最終可能會使完全修復威脅變得非常耗時,在某些情況下甚至是不可能補救
多數人仍未實現 XDR 的承諾。我們採訪過的許多 CISO 都在 EDR 中實現了強大的起點。EDR 是一項經實證的資產:我們已經看到目前的端點偵測和回應使用者擁有更快偵測和阻止勒索軟體的記錄。
然而,由於 XDR 是 EDR 的演變,一些 CISO 仍然對 XDR 的實用性持懷疑態度。XDR 只是 EDR 加上一些單點解決方案嗎? 我真的需要使用完全獨立的解決方案嗎? 或者我的 EDR 最終會提供相同的功能嗎? 隨著供應商競相將 XDR 產品添加到產品組合中,目前的 XDR 解決方案市場變得更加混亂。一些供應商正在擴展其 EDR 工具以納入額外的威脅資料,而其他供應商則更專注於建立專用的 XDR 平台。後者是從頭開始構建的,旨在提供以安全性分析師的需求為中心的開箱即用型整合與功能,進而金您的團隊需要手動填補的空白降至最少。
面對安全人才短缺以及需要快速回應以遏制威脅的情況,我們鼓勵主管採用自動化來協助其員工專注於防禦最嚴重的威脅,而不是處理重設密碼等普通任務。有趣的是,我採訪過的許多安全性主管都提到,他們尚未充分利用自動化功能。在某些情況下,安全性主管並未完全意識到這個機會; 其他人則不願接受自動化,因為擔心失去控制、導致不準確或犧牲對威脅的可見度。後者是一項非常合理的擔憂。然而,我們看到有效的自動化採用者透過與安全團隊一起部署自動化來指導和集中團隊的工作,卻達成反效果:更多控制、更少誤判為真、更少的噪音和更多可採取動作的深入解析。
自動化涵蓋了一系列功能,從基本的自動化管理任務到支援智慧機器學習的風險評估。多數 CISO 報告採用了前者、事件觸發或基於規則的自動化,但很少有人利用內建人工智慧和機器學習功能來實現基於風險的即時存取決策。當然,自動化日常任務有助於讓安全團隊騰出時間來專注於人類最擅長的更具策略性的思考。但正是在這個策略領域 (舉個例子,在分類事件回應中),自動化最有潛力使安全性團隊成為資料處理、模式比對的智慧合作夥伴。例如,人工智慧和自動化擅長關聯安全訊號,以支援對外洩的全面偵測和回應。我們最近調查約半數的安全性從業者表示,他們必須手動相互關聯訊號1 。這非常耗時,幾乎不可能快速回應以遏制攻擊。透過正確應用自動化 (例如安全訊號的關聯),通常可以近乎即時偵測到攻擊。
我們發現許多安全性團隊並未充分利用他們已使用現有解決方案所內建的自動化功能。在許多情況下,應用程式自動化與設定可用功能一樣簡單(而且影響很大!),例如以基於風險的條件存取策略取代固定規則存取原則、建立回應手冊等。
選擇放棄自動化機會的 CISO 時常會出於不信任而這樣做,理由是擔心系統在沒有人工監督的情況下運作時會出現無法復原的錯誤。部分潛在的情況包括系統不當地刪除使用者資料,為需要存取系統的管理人員帶來不便,或者最糟糕的是,導致失去對已利用漏洞的控制或可見度。
但安全性往往是日常小小不便與災難性攻擊持續威脅之間的平衡。自動化有潛力做為此類攻擊的早期預警系統,並且可以減輕或消除其所帶來的不便。此外,最好的自動化並非獨自執行,而是與人類操作員一起運作,其人工智慧既可為人類智慧提供資訊,也可由人類智慧進行檢查。
為協助確保順利部署,我們一直在解決方案中加入僅報告模式,以便在推出前提供試運行。這使得安全性團隊能以自己的步調實施自動化、微調自動化規則並監控自動化工具的效能。
使用自動化最有效的安全性主管會與團隊一起部署自動化,以填補缺口並作為第一道防線。正如一位 CISO 最近所說,讓一組安全性團隊始終專注於每一處幾乎不可能,而且成本也高得令人望而卻步,即使是這樣,安全性團隊也容易頻繁流動。自動化提供了一層始終存在的連續性和一致性,以支援需要這種一致性領域的安全性團隊,例如流量監控和預警系統。部署在這種支援能力中,自動化可協助團隊從手動審查日誌和系統中解放出來,並讓他們更加積極主動。自動化並不能取代人類:這些工具有助您的員工確定警示的優先級,並將他們的精力集中在最重要的地方。
所有引用的 Microsoft 研究均使用獨立研究公司來連絡安全性專業人員進行量化和質化研究,以確保隱私保護和分析的嚴謹性。除非另有說明,本文件中收錄的引用和研究結果均來自 Microsoft 研究的結果。
2021 年 Microsoft 對 CISO 與安全性從業人員的研究
