(文/Palo Alto Networks(派拓网络)首席执行官兼董事会主席/Nikesh Arora)
从这次攻击中吸取教训,做好基础设施准备应对下一次威胁
自12月13日SolarWinds供应链攻击事件发生以来,本已捉襟见肘的安全团队又开始忙碌起来,为确保企业的安全而争分夺秒。
当全世界都在关注越来越多被入侵的企业名单时,也有很多人认为自己没事。他们相信如果没有运行SolarWinds,或者是它的某个特定版本,那么就可以恢复正常工作。我看到一位安全研究人员发布了一张威士忌酒杯加冰块和雪茄的图片,建议其他安全人员休息一下,因为他担心这可能是一个漫长的冬天。
这样的图片有误导性。实际上与网络相关的活动只会上升,不会下降。如果说之前我们都认为网络安全很重要,那么2020年则更有甚之。很多实体店关门了,员工都在家里通过网络办公——整个业务刚刚实现了数字化。
在这种背景下,SolarWinds暴露了企业基础设施的弱点。真不知道这段时间有多少人在试图弄清他们在哪里运行相关产品,以及有多少和哪些产品受到影响。而下一次不应该再花这么长时间。
我的话并不是说给那些确认被入侵的企业听的——而是给那些正在庆祝躲过这次攻击的企业。这是对网络安全现代化敲响的警钟。企业需要关注一些相关领域,并积极做好准备。
企业必须通过一套完整、准确、即时更新的基准信息来掌握自身的环境,这一点至关重要。这意味着不仅仅是检查他们是否运行SolarWinds。太多企业不了解他们所拥有的一切,而且他们拥有的也并非都是最新版本(具有讽刺意味的是,成千上万的SolarWinds客户因为没有及时下载受感染的更新而逃过一劫)。没有人愿意在关键事件响应上花费数天时间而只是为了弄清库存。企业需要立即完成对其整个系统、基础设施、软件、供应链和外部攻击面的详细分析。敏捷的企业不仅可以在未来检测并预防这些攻击,而且还可以结合这套基准信息,迅速进行取证调查。
认真修复我们的基础设施。企业IT架构需要让所有日志、网络和安全数据相互通信,软件要足够智能,以识别这些数据中的有用内容。如果产品集成度更高,这次事件本可以更早结束。企业需要转向一个能够实时检测和关联主机、网络、防火墙和云端数以百万计事件的网络安全平台,然后实施全面的检测和响应。黑客使用异常高效的工具和方法,企业也需要使用由机器学习驱动的高效网络安全平台才能与之对等。
政府鼓励部署创新。政府部门需要更加灵活地消除障碍,并更快地保护自己的机构不受复杂威胁的攻击。
2020年做的所有正确的事情都与科技相关,这再次证明了科技的重要性。当新冠疫情来临时,远程访问让企业和政府部门保持正常运转。而零售商更是将线上服务作为重要的生存手段。然而,这也意味着我们要保护一个不断扩大的边界,从而抵御越来越复杂的攻击。
我们称之为SolarStorm的群体攻击已成为网络安全的又一转折点,此前曾经还有如影响我们金融服务基础设施的大规模DDoS攻击和网络盗窃;导致企业和能源生产瘫痪的Wiper攻击;窃取政府机密,以及导致港口、制药厂和制造业关闭,并给企业造成数十亿美元损失的NotPetya攻击等等。
在100%的时间做到100%的防御是不可能的。在某些时候,客户需要信任供应商和他们提供的安全更新。但面对那些总是试图超越我们的坏人,安全必须更加积极主动且面向未来。如果无法实时阻止攻击,就需要准实时的检测和调查。零散安全补丁和漫长调查周期的时代已经过去了,我们需要优质数据和实用的人工智能技术来保持领先优势。
为自己没有受到影响而松一口气?现在还不是时候。经验丰富的黑客花了数年时间策划攻击事件——我们也必须对等投入资源防御。让我们时刻做好准备,以防御现在及未来那些不可避免的未知威胁,这样我们就不用在事后急于调查发生了什么。