ACM通信
的观点
为什么网络安全不再是人的问题?
来源:盖蒂图片社
我们几乎每天都能看到有关网络安全糟糕状况的新闻。从塔吉特百货公司,美国人事管理办公室,索尼,迪士尼,雅虎!、伊equi -fax和万豪(marriott)等公司的攻势仍在继续。我们现在所处的世界,是一个组织受到网络攻击的时间问题,而不是是否受到攻击的问题。
我们大多数人认为网络安全是一个组织必须实施的一系列控制(工具和旋节),这似乎令人费解,为什么在这里提到的情况下,网络防御者没有采取必要的步骤来保护自己。我们在应对网络安全挑战方面的重点一直是发明新的控制(或增强现有的控制),并在企业中正确地实施它们。这种观点并不充分。
在这个观点中,我们展示了为什么网络安全是一个非常困难的问题。企业攻击面庞大且增长迅速。实际上有无限的排列和组合的方法,对手可以通过它们来攻击和破坏我们的网络。我们目前的工具和方法与领先网络对手所需的工具和方法之间存在很大差距。
企业攻击面
为了更好地了解企业攻击面的性质和结构,让我们快速看一下攻击面的抽象图片,如图所示图1.一个在x-axis我们有企业扩展网络的不同部分哪里会出错从网络安全的角度来看。在y-轴我们有具体的这些事情会出错的方式也被称为攻击向量或破坏的方法。
图1。企业攻击面。
的x-axis包括组织的传统基础设施(服务器、数据库、交换机、路由器等)、应用程序(标准的和定制的)、端点(托管的、非托管的、移动和固定的、物联网、工业控制器等)和云应用程序(批准的和未批准的)。
在右端x-axis,我们有组织的第三方供应商。的x-axis在组织的供应链中有效地递归重复自身,其中每个第三方供应商都是具有x-轴和攻击面就像组织一样,这就给企业网络带来了风险,因为有一定的信任关系。椭圆在x-axis表示这些资产类别是大型集合。对大多数组织来说,甚至要列举出他们的x设在与准确性。
在y-axis,我们有不同的攻击方法——从简单的事情,如弱密码和默认密码,重复使用的密码,错误存储在磁盘上的密码,或以明文传输的密码,到更复杂的事情,如网络钓鱼,社会工程,和未打补丁的软件。进一步下y-axis,我们有零日漏洞——安全漏洞是“未知的”,直到它们第一次被对手使用。实际上有上百个项目在y-轴在几十个类别。
这里的每一点x - y图表示了对手可以破坏企业资产的一种方式。注意,每个点都是一个向量,而不仅仅是一个数字。要理解这一点,请考虑强调的点图1、业务线应用程序(x-axis)和共享密码(y设在)。这是一个企业员工的个人账户密码(例如,Yahoo!或LinkedIn)都是一样的作为他们某个企业应用账户的密码。所以,如果雅虎或者LinkedIn被攻破,密码被窃取(没有在磁盘上正确地散列),那么企业就有问题了,11可能有100万个企业应用程序帐户的密码被重复使用,这是攻击者获得未经授权访问的简单方法(图2).
图2。在业务线应用程序中重用密码。
大多数网络防御者都不知道这个“密码共享风险向量”对他们的业务是什么样子的。的Verizon数据泄露调查报告9据称,超过80%的入侵都涉及到某些阶段的密码问题。
这个巨大的x - y阴谋是企业的攻击面。在典型的攻击中,对手使用攻击表面上的某个点来破坏(面向互联网的)资产。然后使用其他点在企业中横向移动,破坏一些有价值的资产,然后窃取数据或造成一些破坏。图3显示了Equifax的入侵8展开。可以想象,随着我们在业务数字化转型中采用新技术,这两个坐标轴上的项目数量都在增长。
图3。Equifax违反。
我们的违约风险是什么?
对于首席信息官(CISO)或首席信息官(CIO)来说,最可能想到的问题是,企业在攻击面上的哪个点处于风险之中。风险-热度图是什么样的,也就是说,是什么风险=可能性X影响在企业攻击面的每个点?
我们必须考虑攻击面的各个点漏洞例如,未打补丁的软件。我们还必须考虑到这一点曝光如果用户的默认浏览器是Chrome,那么安装了未打补丁的ie浏览器的设备并不一定是一个严重的风险。我们应该优先考虑真正的威胁-考虑到对手目前流行(或可能)什么,而不是浪费时间担心理论问题,因为我们有许多公开的安全问题,带来明显和当前的危险。
此外,我们必须采取减轻控制企业在安全控制方面的投资,如防火墙、反网络钓鱼系统、EDR等等。我们希望企业在控制有效的情况下,成功地降低了风险,从而获得攻击面点的信用。
最后,不是每一点都上x-axis同样重要。我们必须区分关键或重要的资产和那些不那么重要的资产,并估计受损资产的业务影响。
网络安全检查清单会让你产生一种安全的错觉。
计算结果和风险热图的因素漏洞、暴露、威胁、缓解控制而且业务临界的样子图4.b这种风险计算并不简单。为了准确地了解企业的安全态势和漏洞风险,我们需要(重复地)解决数万(或数十万)资产和100+个攻击向量上的超维数学问题。攻击需要被建模为一个概率事件链,从暴露在Internet上的一些资产的破坏开始,然后攻击传播以破坏其他有价值的资产。
图4。风险计算和热图。
为了改善网络安全态势,降低入侵风险,我们必须思考什么行动能最大限度地降低企业的入侵风险。这也需要计算网络弹性——企业限制网络攻击影响的能力。2分析和改进企业的网络安全态势不再是一个人类尺度的问题。代入一些数字图4在美国,对于一个拥有1,000名员工的组织来说,必须对超过1,000万个时变信号进行分析,才能准确预测泄露风险。对于一个拥有10万名员工的组织,我们必须在风险计算中加入几千亿个时变信号。
今天网络安全实践
的漏洞评估(例如,使用Qualys、Rapid7或Tenable)和渗透测试等传统方法只能分析攻击表面的一小部分图1.这些遗留方法产生的输出是大量的、没有优先级的,而且通常是不相关的(例如,要求在一台默认浏览器是Chrome的笔记本电脑上给IE CVE打补丁)。大多数组织无法保持他们的系统补丁和已知的漏洞。
由于缺乏可行的主动策略,大量的精力和金钱投入到检测和应对网络安全事件上。这是用于建立和运行安全信息和事件管理系统(SIEMs)和安全操作中心(soc)的投资。收集来自企业系统的日志和警报并分析其危害指标。假阳性是一个巨大的挑战,攻击者通常会通过。最近的研究表明,未被发现的攻击者在企业中的平均停留时间约为200天。5
一些安全团队根据NIST 1.1等框架运行网络安全检查清单,6CIS 100或SOC 2。这是朝着正确方向迈出的重要一步,但还不够。合规检查清单在网络安全领域不起作用,因为潜在的数学规模、我们不断变化的软件和动态的对手。1,3.在过去几年中与《财富》1000强的首席信息官和首席信息官进行的数百次交谈中,笔者清楚地认识到,绝大多数组织都没有一个准确的(更不用说实时的)资产清单——他们无法一一列举x设在的图1.此外,资产的许多重要安全属性(y设在中图1),比如重复使用的密码,它们被排除在网络安全检查清单之外,因为它们被认为太难衡量。4更一般地说,个别安全从业者例行地决定接受检查清单上的关键风险因素,因为IT还没有弄清楚如何减轻这些因素并保持环境的可操作性。所有这些都导致了CIO或CISO没有意识到的系统性风险积累。网络安全检查清单会让你产生一种安全的错觉。
最终,对大规模攻击表面的不理解会导致浪费、挫败和焦虑。董事会和高管之间关于网络安全态势和风险的大多数讨论都是基于直觉和不完整的数据。组织无法回答诸如“网络攻击对我们的知识产权有什么风险?”这样的简单问题。我们在安全工具上花了很多钱,但不知道在减少入侵风险方面我们得到了什么回报。新产品的发布通常都没有过多考虑网络安全。尽管每年在安全方面花费了数百万美元,但大多数企业只要一次错误的点击,一次重复使用的密码,或者一个未打补丁的系统,就会导致重大的入侵。
网络安全教育
值得注意的是,对于能够理解和应对几乎无限攻击面的挑战的网络安全专业人员(图4),以及在大学计算机科学课程中提供的教育和培训。最近的一项研究7前10名的计算机科学本科专业都没有要求毕业时学习网络安全课程。目前,排名前40的计算机系提供了数量不多(但在不断增加)的专业硕士学位网络安全项目,这些项目往往专注于计算机安全的少数基本元素,特别是加密——以及如何保护攻击表面上的少数点图1使用现有的工具。有些课程教授事件反应和取证。
新产品的发布通常都没有过多考虑网络安全。
我们的网络安全培训项目没有将网络不安全视为一个全网络(概率)风险优化问题。我们没有教未来的技术人员如何设计和创建网络弹性分布式系统,也没有教机器学习、自动化和数据可视化如何作为理解和减轻网络风险的强大工具。
行动呼吁
作为一门学科,CS必须开始将网络安全视为概率风险优化问题。本文作者所在的组织本着这一观点的精神,在发现和量化网络安全态势方面做了一些工作。我们已经开发了一个从多个有利位置(包括网络、端点、配置和日志)持续观察扩展企业的系统。这些数据通过机器学习模型的集成进行分析,以显示库存、业务影响、违约可能性和网络风险。该系统还提供了一组可能的缓解行动的优先级,以降低风险,以及模拟工具,以估计预期缓解行动的前期ROI。许多《财富》1000强企业使用该系统的早期经验告诉我们一个苦乐参半的故事:绝望(红色热图)和希望(我们现在可以衡量,所以我们会改进)。
在理解网络弹性分布式系统设计的原理和在遗留系统上增加网络弹性控制的可行性方面,需要做大量的研究。在开发像BeyondCorp这样的零信任框架方面所做的工作10是一个好的开始。
计算机科学教育者应该重新评估课程,以便让学生更好地为本观点中强调的网络安全现实做好准备。
参考文献
1.为什么合规不等于安全;http://bit.ly/2H3LymD
2.博客:什么是网络弹性?(2017);http://bit.ly/2Sr0XCD
3.针对高管和董事会成员的网络安全101;http://bit.ly/39hA0YS
4.Das, A.等人。密码重用的复杂网络。nds研讨会2014;http://bit.ly/3bivr2o
5.IBM。Ponemon的数据泄露成本研究(2018);https://ibm.co/374AK1Z
6.NIST的。《改善关键基础设施网络安全框架(2018年)》;http://bit.ly/3biv9Zm
7.Syed, S. CloudPassage博客:美国大学在网络安全教育方面获得“F”(2016);http://bit.ly/2OBIkLr
8.美国政府问责局。向国会请求者提交的报告:Equifax和联邦机构对2017年泄密事件采取的行动;http://bit.ly/2Sv2DLH
9.Verizon。资料泄露调查报告(2017);https://vz.to/2Stn2R4
10.Ward, R.和Beyer, B. BeyondCorp:企业安全的新方法。39;登录:6(2014年6月):http://bit.ly/2Oxo3GE
11.维基百科。2012年LinkedIn黑客(2012),http://bit.ly/2SqnLmf
数字图书馆是由计算机协会出版的。版权所有©2020 ACM, Inc.
评论
Milind Joshi
这是一篇很酷的文章,阐明了我一直以来的感受,但无法像Gaurav Banga那样表达!
显示1评论