网络成为主流的十年

是的,从技术上讲,几十年始于以1结尾的年份,但说2010年代比说2011年代更容易。在2010年之前,网络安全是一个孤立的领域。没有人真正关心,直到他们使用的某些东西不起作用。由于恶意软件或广告软件,设备爆炸,当一台机器消失并由IT重新加载时,用户感到恼火,但在事件结束后,这种担忧消失了。进入21世纪10年代,大多数公司都是这样做的,但到2018年和2019年,网络安全专家和安全和风险专家成为董事会和新闻编辑室的固定成员。关于“网络”的战斗很激烈,抵抗失败了,所以这就是它一直被称为…就当这是我们的投降吧我们坦然接受失败。让我们来看看过去10年值得注意的安全趋势和事件。

十年流行语:“我们重视您的隐私和安全”

每个人都听过或读过这句话,就在公司开始解释如何发生了侵犯隐私和安全的事情之前。大多数安全和风险专家都认识到,上面这句话缺少一个关键词:“现在”——“我们现在非常重视隐私和安全”。这句话变得如此流行,以至于Forrester的分析师为它创造了一个新的衡量标准:CEO道歉前的平均时间(MTBCA).”

十年来的借口:“老练的攻击者绕过了安全控制……等等。”

尘埃落定后,我们几乎总是发现袭击者并不那么老练。或者,即使他们是,他们也不需要动用太多的脑力来进入环境。容易实现的目标和靠土地生活的结合,为攻击者提供了攻破该公司所需的一切。

十年来最大的并购泡沫:英特尔和迈克菲

英特尔和McAfee的宣布将开启长达10年的并购活动和资本涌入网络安全市场的趋势。大部分活动都是积极的,但这一次肯定不是:

  • McAfee在英特尔的7年里未能创新。这件事发生在至少看起来是这样,但事实并非如此:这是在2010年中期宣布的。在写下这篇文章之前,我会告诉你这是过去十年发生的事,但事实并非如此。它开启了我们的10年周期,这是一个多么重要的信号。英特尔希望利用McAfee将安全性嵌入硬件,从而创造出独立硬件和安全供应商永远无法匹敌的独特竞争优势。不幸的是,这一愿景从未实现,英特尔最终不得不分拆McAfee。福里斯特把这个叫做我们的博客,上面写着“无马马车小贩买马鞭”,七年后,事实证明我们是对的。
  • 二等奖:火眼和曼迪昂特

分水岭时刻:杀伤链和APT1报告

在所有这些入侵事件之外,没有任何一个时刻比Mandiant在2013年发布的APT1报告更能定义十年来的网络安全。

  • 这将网络安全变成了间谍小说,并改变了行业营销。对于安全和风险专家来说,这份报告总结了我们大多数人都知道的事情:那就是中国正在快速窃取美国公司的知识产权.但对于局外人来说,它带着他们踏上了一段个人化的旅程,民族国家卷入了与个性的网络冲突。直到20世纪90年代末,一家又一家的公司将威胁情报报告作为内容营销,以产生线索并证明他们的诚意。
  • 洛克希德·马丁公司的杀伤链使网络安全更容易获得。每个行业都喜欢用行话,我们的行业也不例外。这研究创建了一种分类法,其他人可以用它来解释发生了什么,为什么发生,如何分类,以及,重要的是,未来可以对攻击的阶段做些什么。它并没有解决技术观众和非技术观众之间的沟通鸿沟,但它确实解决了网络安全内部的沟通鸿沟,当涉及到框架攻击时。

“最佳”(或最差)恶意软件

我们并不缺乏选择,但这两款游戏确实是定义了这十年攻击工具的典型例子:

  • Stuxnet拥有一切:复杂性、地缘政治和工业控制系统。超级工厂病毒有关于它的书籍,一部纪录片,美国陆军的一位将军因为披露震网病毒实际上是一个代号为奥林匹克运动会的美国计划而受到纪律处分。传播震网病毒需要技术能力和人力情报的结合,并为外交渠道解决问题提供了必要的时间。
  • WannaCry和NotPetya荣获勒索软件冠军称号。这十年的后半段应该以勒索软件而闻名,因为它瘫痪了电信、物流、公用事业、市政等。也许没有其他恶意软件像这两款软件一样引起了对网络安全的关注,尤其是来自非网络安全从业者的关注。尽管造成了破坏,但它们也有助于说明网络安全对整个联网企业的重要性。
  • 二等奖:毒藤,魔车,圣歌,社区卫生系统,还有所有的银行木马

最重要的漏洞

提及每一个重大或大型漏洞是不可能的,这些也不能被称为“最好的”。考虑到这一点,让我们来看看在这十年中导致重大变化的漏洞:

  • 塔吉特成为了每个使用FUD进行销售的供应商的营销素材。后果塔吉特的数据泄露事件当然涉及广泛,但最让业内各方感到困扰的是,它成为了每个供应商营销策略的默认设置:在幻灯片3到7之间的某个时间点,你肯定会听到有关塔吉特的消息。
  • 人事管理局摧毁了美国的情报能力。2014年3月20日,美国人事管理局获悉黑客窃取了数据来自敏感的标准表格86副本,用于安全审查的背景调查。
  • 索尼影业将塞斯·罗根(Seth Rogen)、亚伦·索尔金(Aaron Sorkin)和朝鲜结合在一起。而这次袭击最初的注意力集中在朝鲜的网络安全报复对于《采访》来说,随后发生的事情让索尼影业感到不寒而栗,因为各种名人的来往邮件和关于他们的邮件散布在互联网上的各个网站上。这引发了关于知识产权所有权以及谁能从泄露的数据中获利的激烈辩论。我们了解到,明星作家和制片人有时会写剧本来支付私立学校的学费,索尼影业(Sony Pictures)曾考虑聘请律师强迫明星出演一部备受喜爱的系列电影,但最终以失败告终。
  • 二等奖:RSA, Equifax,雅虎,万豪和SWIFT

最具破坏性的漏洞

在我们深入研究这些漏洞之前,我们必须涵盖由它们产生的一个类别,即“十年来我们最讨厌的趋势”:每个漏洞都有一个标志和网站.不需要写文章,因为这是不言自明的,但从2010年到2019年,我们有一个漏洞扰乱了互联网的基础设施,另一个漏洞会导致勒索软件的爆炸:

  • “心脏出血”是OpenSSL的一个问题…而OpenSSL过去是,现在也是。有一些著名的cve,但没有多少人知道什么是CVE-2014-0160。但是当你说Heartbleed,他们马上就知道了。它的名气超过了MS08-067,这是理所当然的。这个漏洞攻击一切:网站、设备(包括安全设备)、应用程序……一切。它能让攻击者得到什么?一切:私钥、用户名、密码、电子邮件、数据……受影响的OpenSSL版本加密的所有内容都可能被泄露。如果你想找到一个可以破坏几乎所有技术的漏洞,这就是一个。
  • 永恒之蓝证实了国安局真的很擅长开发漏洞。这也证明了网络武器落入坏人之手是非常危险的EternalBlue尽管自2017年以来补丁广泛可用,但仍在困扰公司。WannaCry、NotPetya和Bad Rabbit也利用永恒之蓝进行初始妥协或利用微软SMB协议中的一个缺陷进行横向移动。
  • 二等奖:Meltdown和Spectre以及VPN设备漏洞

顶级网络安全框架

对框架感到兴奋并不容易,但安全和风险专家迫切需要一些共性来帮助构建程序,并为安全程序提供一个目标。NIST和MITRE提供了这样的服务:

  • NIST网络安全框架已经成为安全程序的语言。NIST CSF于2014年2月发布,作为一个全面的框架,它将识别、保护、检测、响应和恢复的概念纳入了我们的共享词汇库,这是当之无愧的。在我们最近的研究中,“如何与董事会讨论网络安全问题,我们发现NIST CSF已经成为讨论网络安全计划时使用的董事会级语言,并通过网络效应传播。许多董事会成员在多个董事会任职,在从一位CISO那里听说NIST CSF后,他们也开始询问其他人,这导致了它在网络程序讨论中的突出地位。
  • MITRE ATT&CK已成为网络安全威胁的语言。ATT&CK现在是一个公认的行业标准网站:“ATT&CK是一个网络对手行为的知识库,是整个生命周期中对抗行动的分类。”就像Kill Chain在攻击阶段所做的那样,ATT&CK在更深层次上对攻击者的行为和行动所做的事情。鉴于终端用户和投资者向专注于检测的公司投入了大量资金,ATT&CK开发了一种方法来了解供应商安全工具在各种分类类别中的表现。我的同事Josh Zelonis在他的“Forrester MITRE ATT&CK评估指南,并将他的评估代码提供给GitHub帮助企业创建与其网络安全计划相一致的检测计划。

让我们保持向上的轨迹

这十年有一些亮点,也有很多亮点。但对于在2010年之前开始职业生涯的安全和风险专业人士来说,情况确实有所好转,因为有更多的高管参与,人们越来越意识到网络安全的重要性,并关注技术的社会影响。安全、风险和隐私挑战不会消失,但我们从十年的挫折中吸取了大量教训,并在处理这些问题的方式上获得了信誉,从而为未来做出了有意义的贡献。这需要经历一些痛苦和绝望,但大多数有价值的事情都是如此。