JupiterOne 的首席信息安全官 Sounil Yu 讨论了 SaaS 应用程序之间不断增长的集成网,这支持自动化的业务工作流 - 以及攻击者猖獗的横向移动,远远超出 IT 的权限。
如果 2021 年是供应链痛苦年,那么 2022 年将是供应链慢性痛苦年(或比痛苦更严重的事情)。在过去的一年中,痛苦体现在两个重要方面:通过 COVID-19 造成的供应链中断,以及通过我们在主要 IT 供应商中看到的许多安全漏洞。
许多组织对 COVID-19 供应链紧缩的普遍而持久的影响感到措手不及,这加剧了下游的其他供应链瓶颈,给消费者带来了麻烦,并导致大公司未能实现收入目标。预计这些中断将持续到 2022 年及以后。
以类似的方式,我们应该看到我们在过去 12 个月中遭受的许多供应链安全漏洞的普遍而持久的影响。
我们看到了针对 SolarWinds 和Accellion的攻击 (均在 2020 年底被发现)、 此后不久Microsoft Exchange的入侵以及Codecov的入侵 只是随后针对依赖这些提供商的人发动攻击的跳板。
在整个 2021 年,我们在这方面不断听到坏消息, ENISA 预测,到 2021 年结束时,我们最终看到的攻击数量可能是 2020 年的四倍。比如 COVID-19 供应链中断,这些攻击不是孤立事件。在一段时间内,我们不会真正了解这些攻击的全部后果,但我们应该预见到几次与安全相关的严重破坏,因为 2021 年供应链妥协的复合效应在 2022 年会出现丑陋的头脑。
需要改进 SaaS 应用程序的治理****
大多数组织已经有软件作为一种服务(SaaS)应用程序一个巨大的依赖-这是一个趋势,著名加速由移位到远程工作人员在COVID-19大流行。即使一些员工可能会在新年回到办公室,但由于通过使用 SaaS 应用程序获得的业务敏捷性,向 SaaS 应用程序的转变很可能会在 2022 年继续有增无减,甚至加速。但是,由于我们的企业数据将遵循这些应用程序,因此这种变化对有效管理 SaaS 应用程序使用带来的风险变得越来越重要。
SaaS 应用程序极大地增加了攻击面;由于在许多组织中被大规模采用,它们的利用时机已经成熟。这使攻击者能够将精力集中在少数 SaaS 提供商身上,以同时影响其大量客户。例如,在 7 月,勒索软件攻击 使 1,500 家组织瘫痪,它破坏了 Kaseya 用于远程 IT 管理的基于 SaaS 的软件。专家们一致认为,Kaseya 黑客攻击引发了犯罪分子之间寻找类似漏洞的竞赛。
显然,我们应该期待黑客继续攻击被广泛采用的主要 SaaS 平台。如果坏人确实在这些知名 SaaS 提供商中发现了漏洞,那么由此导致的大量用户数据暴露可能会造成极大的破坏。很明显,来自未受保护的 SaaS 应用程序的这种风险将继续成为 2022 年及以后的安全问题。
注意业务应用网格的最薄弱环节****
随着 SaaS 应用的兴起,我们见证了“业务应用程序网格”的并行发展,它使组织能够跨多个不同的 SaaS 应用程序构建自定义业务逻辑。此网格还可以创建传递信任关系,使数据能够在这些 SaaS 应用程序之间移动,而无需中央机构来查看或管理此数据的移动。
过去,我们的 IT 架构使企业能够了解用户如何与多个不同的应用程序交互,同时仍处于交互的中心。但是随着业务应用程序网格的到位,SaaS 应用程序可以直接相互连接,而无需以企业为中心。例如,GitHub 现在可以代表我的组织自动与 Slack 交互。Jira 直接与 Salesforce 连接。Hubspot 将数据发送到无数其他 SaaS 应用程序。
不断增长的集成网络支持自动化业务工作流和数据交换。然而,这个网格也允许攻击者横向移动,并且它在很大程度上超出了企业的范围。到 2022 年,我们应该预见到由于缺乏对 SaaS 应用程序之间的这些互连数据路径的监控控制而导致的一些重大漏洞。
我们无法确定网格中的任何一个小部件是否比其他任何小部件都更容易受到攻击。但是我们确实知道添加到网格中的每个组件都会引入新的漏洞。当所有这些复杂性加在一起时,每个附加组件都会对攻击面产生乘数效应。扩展网格的聚合成为攻击面的总和——一个不断扩大的漏洞来源。
添加职业轨道以拓宽安全职业道路****
在网络安全行业,普遍的心态是安全从业者是专业人士。因此,这种心态的直接后果是许多网络安全工作都需要大学学位。最近的 ISC 2 报告表明,目前 86% 的网络安全劳动力拥有学士学位或更高学历。此外,在 Indeed.com 上快速搜索会显示大约46,000 个网络安全工作,其中 33,000 个(超过 70%)需要学位。
然而,我认识的许多网络安全从业者会理所当然地认为,大多数网络安全工作不需要大学学位,而严格遵守这一要求会使许多应得的候选人失去资格。但是取消对大学学位的要求引出了一个问题:这些实际上是专业工作,还是应该将它们改写为职业工作?
我认为这些工作可能需要被视为职业而不是职业。尽管许多网络安全工作者为自己的专业地位感到自豪,但他们的许多工作(以及数千个空缺的网络安全工作)本质上都是职业性的,可以由受过适当职业培训的人来填补。在职业学校,学生几乎完全专注于学习他们的行业技能。通过让自己沉浸在特定领域,学生可以练习他们需要并可以应用于工作场所的有形技能。此外,这段培训可以加快速度,在一到两年内(如果不是在更短的时间范围内)培养出合格的候选人。
在 COVID-19 大流行期间,安全行业在多个方面面临挑战。严重的供应链中断、大规模的勒索软件攻击、反复的供应商违规以及可用人才的短缺,所有这些都使安全团队的工作变得更加困难。在未来一年及以后,安全领导者需要保持警惕和战略性,以应对这些复杂的威胁。
