MITRE组织分享了2022年最常见和最危险的25个弱点名单,该名单可以帮助企业评估企业基础设施的安全情况,MITRE表示:“如果企业的基础设施涉及相关的漏洞弱点,就可能受到未知黑客的攻击。”
“软件弱点往往都很容易被针对,并最终会导

MITRE组织分享了2022年最常见和最危险的25个弱点名单,该名单可以帮助企业评估企业基础设施的安全情况,MITRE表示:“如果企业的基础设施涉及相关的漏洞弱点,就可能受到未知黑客的攻击。”
“软件弱点往往都很容易被针对,并最终会导

KCon 2022 自议题征集启动以来,便受到网络技术爱好者们的广泛关注,会务组陆续收到了来自不同研究领域共计29个议题投递。

经过近一个月的议题大众评选和顾问专家团专业评审,KCon 2022 的演讲议题终于尘埃落定。以下18大议题将亮相 8月6日-7日的云端舞台,为大家奉上一场“云”上技术盛宴!

重磅揭晓!.png

RASP攻防下的黑魔法

徐元振(pyn3rd)、黄雨喆(Glassy),阿里云

击败SOTA反混淆方法

程瑞、黄泳龙、范铭,西安交通大学

进退维谷:runC的阿克琉斯之踵

阮博男,绿盟科技

如何从 defi 中捡钱?——智能合约安全代码审计

Rivaill、Snowming

The ATT&CK DarkHotel Playbook: Hunt and Simulate Attack

Shengbin Bao, ZFINFO

返璞归真:重新审视物理安全与近源渗透

杨文韬

自动化API漏洞Fuzz实战

周阳、吕竭,星阑科技

公有云下,企业安全审计框架和构建可审计的安全环境

Royce Lu、Zhanglin He,派拓网络

浅谈零信任环境下攻击场景

薛逸钒,腾讯

转守为攻,积极防御——基于测绘技术的APT狩猎研究

K&NaN,知道创宇

tabby: java code review like a pro

王柏柱,蚂蚁集团

名侦探的下午茶:Hunting with Provenance

张润滋,绿盟科技

智能WEB安全攻击系统

迟程,深信服

解锁工控设备固件提取的各类方法

高剑,绿盟科技

Hacking JSON

白新宇(浅蓝)

Where’s My Session Pool? 

张云海,绿盟科技

ChromePatchGap在亿级用户量IM中的漏洞利用

avboy1337

有关Web3与DID的思考: 资金追溯和地址画像技术在区块链安全场景下的应用

Plume,Bitrace(币追)

*以上排名不分先后,最终演讲顺序以KCon官方议程通知为准

在元宇宙概念盛行的当下,现实世界与虚拟世界相互映射、不断融合,世界已步入万物互联的时代。在由互联网所连接的这一空间里,纷繁复杂的新技术层出不穷,风险与威胁亦虎视眈眈。

KCon始终关注网络空间前沿技术,期待能够助力行业聚力成盾,为护航网络空间的未来发展贡献绵薄之力。

本届KCon的18大议题,涵盖了网络攻防、云安全、零信任、区块链、工控安全、APT等众多热点话题,既有来自一线网络安全厂商的实战分享,也有来自高校和独立安全研究员的独特视角,相信定能不负众望,让参会的大家收获满满!

遗憾的是,短短2天的会议议程无法承载所收到的全部议题,因此对每一个优秀议题,我们都本着公平、公正、公开的原则,邀请了公众参与评分,并由专家顾问团严格把关评选。

对于遗憾落选的投稿演讲者,在此报以诚挚的歉意!会务组将为您奉上投稿福利,并真诚邀请您参与本届云端大会~


KCon 2022互动交流群已成立,感兴趣的小伙伴可添加下方“小K”的微信二维码入群交流。后续群内会有各类福利活动等待大家。

入群请发送口令:KCon 202262eec1edac453ddd847b0214ba4b9220.jpg

62eec1edac453ddd847b0214ba4b9220.jpg


KCon 2022 自议题征集启动以来,便受到网络技术爱好者们的广泛关注,会务组陆续收到了来自不同研究领域共计29个议题投递。

经过近一个月的议题大众评选和顾问专家团专业评审,KCon 2022 的演讲议题终于尘埃落定。以下18大议题将亮相 8月6日-7日的云端舞台,为大家奉上一场“云”上技术盛宴!

重磅揭晓!.png

RASP攻防下的黑魔法

徐元振(pyn3rd)、黄雨喆(Glassy),阿里云

击败SOTA反混淆方法

程瑞、黄泳龙、范铭,西安交通大学

进退维谷:runC的阿克琉斯之踵

阮博男,绿盟科技

如何从 defi 中捡钱?——智能合约安全代码审计

Rivaill、Snowming

The ATT&CK DarkHotel Playbook: Hunt and Simulate Attack

Shengbin Bao, ZFINFO

返璞归真:重新审视物理安全与近源渗透

杨文韬

自动化API漏洞Fuzz实战

周阳、吕竭,星阑科技

公有云下,企业安全审计框架和构建可审计的安全环境

Royce Lu、Zhanglin He,派拓网络

浅谈零信任环境下攻击场景

薛逸钒,腾讯

转守为攻,积极防御——基于测绘技术的APT狩猎研究

K&NaN,知道创宇

tabby: java code review like a pro

王柏柱,蚂蚁集团

名侦探的下午茶:Hunting with Provenance

张润滋,绿盟科技

智能WEB安全攻击系统

迟程,深信服

解锁工控设备固件提取的各类方法

高剑,绿盟科技

Hacking JSON

白新宇(浅蓝)

Where’s My Session Pool? 

张云海,绿盟科技

ChromePatchGap在亿级用户量IM中的漏洞利用

avboy1337

有关Web3与DID的思考: 资金追溯和地址画像技术在区块链安全场景下的应用

Plume,Bitrace(币追)

*以上排名不分先后,最终演讲顺序以KCon官方议程通知为准

在元宇宙概念盛行的当下,现实世界与虚拟世界相互映射、不断融合,世界已步入万物互联的时代。在由互联网所连接的这一空间里,纷繁复杂的新技术层出不穷,风险与威胁亦虎视眈眈。

KCon始终关注网络空间前沿技术,期待能够助力行业聚力成盾,为护航网络空间的未来发展贡献绵薄之力。

本届KCon的18大议题,涵盖了网络攻防、云安全、零信任、区块链、工控安全、APT等众多热点话题,既有来自一线网络安全厂商的实战分享,也有来自高校和独立安全研究员的独特视角,相信定能不负众望,让参会的大家收获满满!

遗憾的是,短短2天的会议议程无法承载所收到的全部议题,因此对每一个优秀议题,我们都本着公平、公正、公开的原则,邀请了公众参与评分,并由专家顾问团严格把关评选。

对于遗憾落选的投稿演讲者,在此报以诚挚的歉意!会务组将为您奉上投稿福利,并真诚邀请您参与本届云端大会~


KCon 2022互动交流群已成立,感兴趣的小伙伴可添加下方“小K”的微信二维码入群交流。后续群内会有各类福利活动等待大家。

入群请发送口令:KCon 202262eec1edac453ddd847b0214ba4b9220.jpg

62eec1edac453ddd847b0214ba4b9220.jpg


在疫情后的“随时随地办公”的世界中,你的员工是你网络防御的第一道防线……也是你失败的第一道防线。公司不得不从所有坐在安全保护区内的员工调整到今天高度分散、移动、由员工、供应商、承包商等组成的随时待命的员工队伍。攻击者也做出了调整。你的员工比以往任何时候都更可能成为网络骗子的终极目标。2021 Verizon DRBIR数据的发现进一步支持了这一观点:

85% 的数据泄露违规行为涉及人为因素

61% 的数据泄露违规行为涉及泄露凭据

社会工程学攻击增长了15倍

显然,你的员工就是新的边界。他们的身份是攻击者的目标。大多数社会工程学攻击活动主要涉及锁定和破坏可信用户的帐户。从历史上看,我们一直把人类视为网络安全中“最薄弱的环节”。我们尝试过通过网络钓鱼模拟来训练和引诱员工以便提高员工安全意识。但这些最佳实践未能认识到两个重要的现实:

训练的影响有限,甚至在减少现实世界攻击的可能性或影响方面可能适得其反。(来源:Cyentia 研究报告)

每个终端用户都是不同的:有些人的决策比其他人更好;有些人有特权进入,而有些人没有;有些人比其他人更容易受到攻击。

我们需要开始像对待其他我们试图保护的资产一样对待我们组织中的员工。你的员工是一个独特的风险,可以应用标准的零信任模型。我们可以自适应地、动态地对每一种用户类型(雇员、承包商或供应商)应用一套适当的保护措施。把这看作是对你的员工的零信任。在移动设备、家庭办公室和云应用的“随处办公”的世界中,这是唯一的答案。你的组织要实现员工办公零信任需要完成五个阶段。让我们来研究一下这种员工安全办公的新方法。

挑战

挑战决定了攻击者-不堪重负的劳动力

网络攻击正呈上升趋势。员工在公司防火墙之外远程工作。安全团队要处理的警报比以往任何时候都多。我们已经到了需要重新考虑员工办公安全的旧模式的时候了。

攻击者知道人类是最薄弱的环节。这就是为什么他们是危害企业的首要目标。这是攻击者渗透公司防御的最容易的途径。这个等式的另一面是企业员工。你已经训练你的员工很多年了,却只能看到微小的进步(正如 Cyentia 的研究报告所揭示的那样)。所以你添加了更多的工具来保护员工,但简单地添加新的技术层也有其自身的影响。最近的一项研究发现,自全球疫情以来,由于转向远程工作,故意规避安全控制的员工增加了 450%。

果断且无情的攻击者知道他们在做什么:攻击企业员工,直到其中一个员工最终不可避免地落入圈套。这是一个久经考验的策略,因为它一定会奏效。研究发现,虽然单个人可能或多或少容易受到钓鱼攻击或恶意软件下载,但在组织层面上,有人点击链接是不可避免的。

我们不应该认为解决人为错误是不可能的。许多企业忽略了攻击者和企业员工之间动态的更大图景。到目前为止,你只是在个人层面上缺乏对这些动态风险的可见性。这限制了你主动减轻和保护你的组织免受这些威胁的能力。

对人为风险的信任和深入的可见性为你的整个员工队伍打开了动态和定制防御的大门。我们称这种新方法为人类攻击面管理。

人类攻击面管理——了解你的员工做了什么,而不是他们知道什么

你的最终用户所做的每一个决定(无论是好是坏)都会影响你企业的安全状况。是时候开始了解人类攻击面了,它被定义为影响组织风险的人为的行动、访问和安全控制的总和。

大多数企业对其员工所面临的风险缺乏真正的理解。人类攻击面管理为企业提供了对人为风险的深度可见性,并自动化定制安全控制、个性化反馈和策略,以减少事故。它让你更深入地了解每一个员工、承包商或供应商——尤其是风险最大的那些。你将获得个人、团队、部门或区域级别的可见性。

“人类攻击面管理”可以帮助你自信地管理有助于减轻和缩小潜在攻击面的控件。一些最终用户的行为很安全,而另一些则比较粗心。你可以减少组织中的摩擦,但要采取有针对性的、量身定制的行动,而不是一刀切的控制。它解决特定的威胁,如帐户泄露,数据丢失和勒索软件与特定的补救措施。

人类攻击面管理充分利用了现有的安全工具和系统。它整合并解锁包含在整个安全堆栈中的信息。

如何开始

零信任网络使用隔离来理解跨边界、物联网的接入点,以及工作负载如何划分。希望采用和实现员工安全办公零信任的组织首先需要对最终用户进行细分,并更好地了解他们的个人行动、访问以及他们受到攻击的频率。当你面临常见的攻击载体,如帐户泄露、勒索软件和数据丢失时,下文的内容可使你对你的员工有更深入的了解。

典型的员工安全办公零信任实现过程有五个进化阶段:

阶段0

依靠培训和网络钓鱼演练

一刀切的控制

被动响应

不了解员工办公风险

大多数组织从安全意识培训和网络钓鱼模拟演练开始他们的员工零信任之旅。不幸的是,在努力改善员工安全办公的安全状况十多年后,这些措施并没有达到承诺的效果。

最近由Cyentia Institute和Elevate Security进行的一项研究证实,培训和模拟并不能对防止现实世界的安全事故产生持久的影响。员工仍在点击钓鱼链接、下载恶意软件、错误处理敏感数据和重复使用密码。接下来,我们通过诸如身份和访问管理、多因素认证和活动日志等控制来锁定员工。

风险最大的终端用户如果愿意,仍然能够找到绕过这些控件的方法。

阶段1

跨身份、电子邮件、web和端点的工具集成,以了解员工办公风险

在内部集团和同行公司进行基准测试


了解员工在访问、行动和他们受到攻击的频率方面的风险

“员工安全办公零信任”的第一步是增加对人类攻击面的深度和广度的可见性。组织通常有足够的上下文数据来开始他们的旅程。答案锁定在你已经使用的安全工具的用户事件数据中。你只需要一种聚合和分析它的方法。通过使用以下系统来发现员工的操作、访问和攻击行为:

电子邮件安全网关——员工被钓鱼邮件攻击的频率有多高?他们经常点击链接或打开不应该打开的附件的频率是多少?

Web安全网关——检测谁是浏览高危网站的人?点击链接或更频繁地下载恶意软件?

身份和访问管理——如果用户的密码被泄露,什么MFA方法可以被使用?基于他们所访问的应用程序,他们被损害后的影响是什么?

终端和设备管理——用户能够下载任何他们想要的软件?需要批准吗?有没有用户因为下载恶意软件而做出错误的决定?

阶段2

对内部员工的实时反馈

与经理和部门负责人就员工办公风险进度进行沟通

具有时间点和历史风险的仪表盘

一旦你了解了员工办公风险——以及风险最高的最终用户——你的组织就应该主动地与员工和高管沟通这些具体的风险是什么,他们可以采取哪些步骤来降低风险,以及安全团队是如何降低风险的。这个阶段帮助安全团队更好地保护最终用户。

这是超越“一刀切”培训的一步,这种努力的焦点应该主要集中在风险最大的用户身上。应该让他们了解与组织中的其他人相比,他们被攻击的频率有多高。如果他们做出了糟糕的安全决策,请尽可能直接地提供实时反馈,让他们有机会纠正错误。为了获得管理层的支持,可以为经理和部门主管建立关于风险的记分卡,以及他们可以做些什么来帮助风险最高的直接下属保持警惕。

阶段3

员工风险状况已纳入外部工具

利用证据对事件和案件进行快速分类

对执行的政策和控制进行手动决策和模拟

在任何组织中,都有安全分析师或 IT 团队在没有适当数据的情况下手动做出安全决策。在阶段一和阶段二中收集的见解可以帮助团队更快地做出明智的决定。

对于帐户被盗来说,例如:

IT 需要评估是否应该批准软件下载请求

安全分析师需要确定是否应该授予关键资产访问权限

事故响应团队正在对他们从SIEM收到的警报进行分类

在这些场景中,每个人目前都在手工做出关键的决定,没有支持工具来做出有根据的和可靠的选择。不知情的决策可能导致攻击者成功获得立足点,或者审计人员可能会问,为什么在没有适当的业务理由的情况下授予某些异常。在这个阶段,你开始建立超越身份验证解决方案的员工办公零信任,以在你的日常操作中嵌入对员工和个人风险的理解。

阶段4

围绕关键员工办公风险的自动化和编排

事件和分数驱动的决策可以降低风险

适当的适应性控制和策略

衡量和改进决策的有效性和影响

这是员工办公零信任之旅的“顶峰”。在这里,你开始建立在你对每个员工的了解,以主动地自动化的方式降低风险。再多的反馈也不能让员工变得完美——这是事实。因此,下一步是在你的组织中协调适合每个人的风险概况的安全控制。

回到我们的帐户被盗的例子,在安全栈中涉及到主动保护最危险用户的技术有:

电子邮件安全网关

Web安全网关

身份访问管理

端点和设备管理

控制编排是自动化工作流的过程,为你试图保护的每个人创建安全风险适当的配置文件。你可以对那些最容易受到帐户被盗的用户部署更多限制性控制。例如,身份访问管理系统中的额外安全验证以防止潜在的凭据被盗用,或者Web安全网关中的更严格的浏览控制。控制编排使你的组织远离了一刀切的方法,在这种方法中,对所有人进行不必要的锁定会给业务增加不必要的摩擦。你开始针对个别用户的风险定制个别安全配置文件。

结论

你们的员工是新的安全防线。在当今“随处工作”的时代,是时候重新考虑行业的员工安全办公的旧模式了。到目前为止,你的安全团队只是在个人和个人用户级别上缺乏对这些不断演变的风险的可见性。这限制了你主动保护企业和减轻这些威胁的能力。

一种称为“人类攻击面管理”的新方法可以保护你的企业不受当今高水平的员工办公风险的影响。它保护你的组织免受网络攻击,如帐户泄露,勒索软件和数据泄露。它能自适应地、动态地保护你的整个员工队伍,同时减少业务上的摩擦。

任何组织都可以自己创建一个办公零信任模型,但这需要大量的工作。市面上有很多不错的解决方案提供了对人类攻击面的深度可见性,而且是现成的。这些平台可以自动化的定制安全控制、个性化反馈和策略,以防止下一次事件。

checklist2-e1654175484865.jpeg

云安全是以下系统的保护伞:IaaS(基础设施即服务)、PaaS(平台即服务)和SaaS(软件即服务)。Gartner创建了SaaS安全配置管理(SSPM)清单,用于持续评估安全风险以及为管理SaaS应用程序安全态势提供解决方案。随着相关的企业拥有数以千计的员工,依赖数十至数百个不等的应用程序,他们对SaaS安全设置的深度可见性和补救的需求越来越重要。

SaaS安全存在的主要痛点

缺乏对不断增长的SaaS应用程序资产的控制

SaaS应用程序的生命周期缺乏治理:不论是从购买到部署还是运营和维护

SaaS应用程序资产中的所有配置都缺乏可见性

不断发展、加速、复杂的云安全方面存在的技能差距

艰苦而压倒性的工作量,以保持数百到数千(到数万)的设置和权限。

缺乏对第三方应用程序及其权限的可见性

对于整个SaaS的治理既细微,又复杂。虽然SaaS应用程序的原生安全控制通常很强大,但组织有责任确保从全局设置到每个用户角色和特权的所有配置都正确设置。只需一个不知情的SaaS管理员即可更改设置或共享错误的报告,机密公司数据就会暴露。安全团队有责任了解每个应用程序、用户和配置,并确保它们都符合行业和公司政策。

有效的SSPM解决方案可以解决这些痛苦,并充分了解公司的SaaS安全态势,检查是否符合行业标准和公司政策。一些解决方案甚至提供了直接从解决方案内部进行补救的能力。因此,SSPM工具可以通过自动化在整个日益复杂的SaaS资产中修复配置错误来显著提高安全团队的效率并保护公司数据。

正如人们所料,并非所有SSPM解决方案都是平等的。监控、警报和补救应该是SSPM解决方案的核心。它们确保任何漏洞在被网络攻击利用之前迅速关闭。像Adaptive Shield开发的解决方案一样,创造了进入SaaS环境的窗口。

比较SSPM选项时需要注意的主要功能

可见性和洞察力 : 运行全面的安全检查,以清楚地了解您的SaaS环境、所有集成和所有风险领域。

集成的广度:对于SSPM解决方案来说,最重要的是SSPM与您的所有SaaS应用程序集成的能力。每个SaaS都有自己的框架和配置。如果可以访问用户和公司的系统,组织应该对其进行监控,因为任何应用程序都可能构成风险,即使是非业务关键型的应用程序。需要注意的是,较小的应用程序通常也会被作为攻击的网关。寻找一个至少具有30个集成的SSPM系统,这些集成系统具有适应性,能够对每种数据类型进行检查,以防止配置错误。更重要的是,解决方案应该能够以无缝的“开箱即用”的方式支持SaaS IT堆栈中尽可能多的应用程序。

全面和深度安全检查:有效的SSPM的另一个重要组成部分是安全检查的广度和深度。每个域都有自己的内容供安全团队跟踪和监控,例如访问管理、数据泄露、恶意软件防御,甚至合规性策略。这些和其他问题包含在AdpativeShield的完整指南中。

持续监控和补救:通过持续监督和快速补救来应对威胁。修复业务环境中的配置错误问题是一项复杂而微妙的任务。SSPM解决方案应该提供有关每种配置的深度上下文,并使您能够轻松监控和设置警报。这样,漏洞在被网络攻击利用之前很快就会被关闭。

系统功能:集成强大而流畅的SSPM系统,没有额外的噪音。您的SSPM解决方案应该易于部署,并允许您的安全团队轻松添加和监控新的SaaS应用程序。顶级安全解决方案应该很容易与您现有的应用程序和基础设施集成。它应该是非侵入性的,提供便利的的分层使用功能,并提供自助向导和强大的API,以创建对网络威胁的全面防御。

第三方应用程序访问发现和控制:可见已连接的第三方应用程序,以及它们获得了哪些权限和访问权限。然后能够关闭他们的访问权限。

设备态势管理:能够将SaaS应用程序用户、角色和权限与其相关设备的合规性和完整性水平相关联。

正确的SSPM解决方案可以防止您的下一次攻击

SSPM类似于刷牙:这是创造预防性保护状态所需的基本要求。正确的SSPM,如Adaptive Shield,为组织提供对所有SaaS应用程序的持续、自动监控,以及内置的知识库,以确保最高的SaaS安全卫生。

自适应盾牌等SSPM解决方案为您提供全天候的持续监控、警报、票务、补救和随时间推移的服务。这些工具允许您的安全团队关闭漏洞并快速有效地保护您的系统。

使用Adaptive Shield,安全团队将部署SaaS安全的最佳做法,同时与所有类型的SaaS应用程序集成,包括视频会议平台、客户支持工具、人力资源管理系统、仪表板、工作区、内容和文件共享应用程序、消息应用程序、营销平台等。

自适应盾牌的框架易于使用,可以直观地掌握,部署仅需要五分钟。

checklist2-e1654175484865.jpeg

云安全是以下系统的保护伞:IaaS(基础设施即服务)、PaaS(平台即服务)和SaaS(软件即服务)。Gartner创建了SaaS安全配置管理(SSPM)清单,用于持续评估安全风险以及为管理SaaS应用程序安全态势提供解决方案。随着相关的企业拥有数以千计的员工,依赖数十至数百个不等的应用程序,他们对SaaS安全设置的深度可见性和补救的需求越来越重要。

SaaS安全存在的主要痛点

缺乏对不断增长的SaaS应用程序资产的控制

SaaS应用程序的生命周期缺乏治理:不论是从购买到部署还是运营和维护

SaaS应用程序资产中的所有配置都缺乏可见性

不断发展、加速、复杂的云安全方面存在的技能差距

艰苦而压倒性的工作量,以保持数百到数千(到数万)的设置和权限。

缺乏对第三方应用程序及其权限的可见性

对于整个SaaS的治理既细微,又复杂。虽然SaaS应用程序的原生安全控制通常很强大,但组织有责任确保从全局设置到每个用户角色和特权的所有配置都正确设置。只需一个不知情的SaaS管理员即可更改设置或共享错误的报告,机密公司数据就会暴露。安全团队有责任了解每个应用程序、用户和配置,并确保它们都符合行业和公司政策。

有效的SSPM解决方案可以解决这些痛苦,并充分了解公司的SaaS安全态势,检查是否符合行业标准和公司政策。一些解决方案甚至提供了直接从解决方案内部进行补救的能力。因此,SSPM工具可以通过自动化在整个日益复杂的SaaS资产中修复配置错误来显著提高安全团队的效率并保护公司数据。

正如人们所料,并非所有SSPM解决方案都是平等的。监控、警报和补救应该是SSPM解决方案的核心。它们确保任何漏洞在被网络攻击利用之前迅速关闭。像Adaptive Shield开发的解决方案一样,创造了进入SaaS环境的窗口。

比较SSPM选项时需要注意的主要功能

可见性和洞察力 : 运行全面的安全检查,以清楚地了解您的SaaS环境、所有集成和所有风险领域。

集成的广度:对于SSPM解决方案来说,最重要的是SSPM与您的所有SaaS应用程序集成的能力。每个SaaS都有自己的框架和配置。如果可以访问用户和公司的系统,组织应该对其进行监控,因为任何应用程序都可能构成风险,即使是非业务关键型的应用程序。需要注意的是,较小的应用程序通常也会被作为攻击的网关。寻找一个至少具有30个集成的SSPM系统,这些集成系统具有适应性,能够对每种数据类型进行检查,以防止配置错误。更重要的是,解决方案应该能够以无缝的“开箱即用”的方式支持SaaS IT堆栈中尽可能多的应用程序。

全面和深度安全检查:有效的SSPM的另一个重要组成部分是安全检查的广度和深度。每个域都有自己的内容供安全团队跟踪和监控,例如访问管理、数据泄露、恶意软件防御,甚至合规性策略。这些和其他问题包含在AdpativeShield的完整指南中。

持续监控和补救:通过持续监督和快速补救来应对威胁。修复业务环境中的配置错误问题是一项复杂而微妙的任务。SSPM解决方案应该提供有关每种配置的深度上下文,并使您能够轻松监控和设置警报。这样,漏洞在被网络攻击利用之前很快就会被关闭。

系统功能:集成强大而流畅的SSPM系统,没有额外的噪音。您的SSPM解决方案应该易于部署,并允许您的安全团队轻松添加和监控新的SaaS应用程序。顶级安全解决方案应该很容易与您现有的应用程序和基础设施集成。它应该是非侵入性的,提供便利的的分层使用功能,并提供自助向导和强大的API,以创建对网络威胁的全面防御。

第三方应用程序访问发现和控制:可见已连接的第三方应用程序,以及它们获得了哪些权限和访问权限。然后能够关闭他们的访问权限。

设备态势管理:能够将SaaS应用程序用户、角色和权限与其相关设备的合规性和完整性水平相关联。

正确的SSPM解决方案可以防止您的下一次攻击

SSPM类似于刷牙:这是创造预防性保护状态所需的基本要求。正确的SSPM,如Adaptive Shield,为组织提供对所有SaaS应用程序的持续、自动监控,以及内置的知识库,以确保最高的SaaS安全卫生。

自适应盾牌等SSPM解决方案为您提供全天候的持续监控、警报、票务、补救和随时间推移的服务。这些工具允许您的安全团队关闭漏洞并快速有效地保护您的系统。

使用Adaptive Shield,安全团队将部署SaaS安全的最佳做法,同时与所有类型的SaaS应用程序集成,包括视频会议平台、客户支持工具、人力资源管理系统、仪表板、工作区、内容和文件共享应用程序、消息应用程序、营销平台等。

自适应盾牌的框架易于使用,可以直观地掌握,部署仅需要五分钟。

在疫情后的“随时随地办公”的世界中,你的员工是你网络防御的第一道防线……也是你失败的第一道防线。公司不得不从所有坐在安全保护区内的员工调整到今天高度分散、移动、由员工、供应商、承包商等组成的随时待命的员工队伍。攻击者也做出了调整。你的员工比以往任何时候都更可能成为网络骗子的终极目标。2021 Verizon DRBIR数据的发现进一步支持了这一观点:

85% 的数据泄露违规行为涉及人为因素

61% 的数据泄露违规行为涉及泄露凭据

社会工程学攻击增长了15倍

显然,你的员工就是新的边界。他们的身份是攻击者的目标。大多数社会工程学攻击活动主要涉及锁定和破坏可信用户的帐户。从历史上看,我们一直把人类视为网络安全中“最薄弱的环节”。我们尝试过通过网络钓鱼模拟来训练和引诱员工以便提高员工安全意识。但这些最佳实践未能认识到两个重要的现实:

训练的影响有限,甚至在减少现实世界攻击的可能性或影响方面可能适得其反。(来源:Cyentia 研究报告)

每个终端用户都是不同的:有些人的决策比其他人更好;有些人有特权进入,而有些人没有;有些人比其他人更容易受到攻击。

我们需要开始像对待其他我们试图保护的资产一样对待我们组织中的员工。你的员工是一个独特的风险,可以应用标准的零信任模型。我们可以自适应地、动态地对每一种用户类型(雇员、承包商或供应商)应用一套适当的保护措施。把这看作是对你的员工的零信任。在移动设备、家庭办公室和云应用的“随处办公”的世界中,这是唯一的答案。你的组织要实现员工办公零信任需要完成五个阶段。让我们来研究一下这种员工安全办公的新方法。

挑战

挑战决定了攻击者-不堪重负的劳动力

网络攻击正呈上升趋势。员工在公司防火墙之外远程工作。安全团队要处理的警报比以往任何时候都多。我们已经到了需要重新考虑员工办公安全的旧模式的时候了。

攻击者知道人类是最薄弱的环节。这就是为什么他们是危害企业的首要目标。这是攻击者渗透公司防御的最容易的途径。这个等式的另一面是企业员工。你已经训练你的员工很多年了,却只能看到微小的进步(正如 Cyentia 的研究报告所揭示的那样)。所以你添加了更多的工具来保护员工,但简单地添加新的技术层也有其自身的影响。最近的一项研究发现,自全球疫情以来,由于转向远程工作,故意规避安全控制的员工增加了 450%。

果断且无情的攻击者知道他们在做什么:攻击企业员工,直到其中一个员工最终不可避免地落入圈套。这是一个久经考验的策略,因为它一定会奏效。研究发现,虽然单个人可能或多或少容易受到钓鱼攻击或恶意软件下载,但在组织层面上,有人点击链接是不可避免的。

我们不应该认为解决人为错误是不可能的。许多企业忽略了攻击者和企业员工之间动态的更大图景。到目前为止,你只是在个人层面上缺乏对这些动态风险的可见性。这限制了你主动减轻和保护你的组织免受这些威胁的能力。

对人为风险的信任和深入的可见性为你的整个员工队伍打开了动态和定制防御的大门。我们称这种新方法为人类攻击面管理。

人类攻击面管理——了解你的员工做了什么,而不是他们知道什么

你的最终用户所做的每一个决定(无论是好是坏)都会影响你企业的安全状况。是时候开始了解人类攻击面了,它被定义为影响组织风险的人为的行动、访问和安全控制的总和。

大多数企业对其员工所面临的风险缺乏真正的理解。人类攻击面管理为企业提供了对人为风险的深度可见性,并自动化定制安全控制、个性化反馈和策略,以减少事故。它让你更深入地了解每一个员工、承包商或供应商——尤其是风险最大的那些。你将获得个人、团队、部门或区域级别的可见性。

“人类攻击面管理”可以帮助你自信地管理有助于减轻和缩小潜在攻击面的控件。一些最终用户的行为很安全,而另一些则比较粗心。你可以减少组织中的摩擦,但要采取有针对性的、量身定制的行动,而不是一刀切的控制。它解决特定的威胁,如帐户泄露,数据丢失和勒索软件与特定的补救措施。

人类攻击面管理充分利用了现有的安全工具和系统。它整合并解锁包含在整个安全堆栈中的信息。

如何开始

零信任网络使用隔离来理解跨边界、物联网的接入点,以及工作负载如何划分。希望采用和实现员工安全办公零信任的组织首先需要对最终用户进行细分,并更好地了解他们的个人行动、访问以及他们受到攻击的频率。当你面临常见的攻击载体,如帐户泄露、勒索软件和数据丢失时,下文的内容可使你对你的员工有更深入的了解。

典型的员工安全办公零信任实现过程有五个进化阶段:

阶段0

依靠培训和网络钓鱼演练

一刀切的控制

被动响应

不了解员工办公风险

大多数组织从安全意识培训和网络钓鱼模拟演练开始他们的员工零信任之旅。不幸的是,在努力改善员工安全办公的安全状况十多年后,这些措施并没有达到承诺的效果。

最近由Cyentia Institute和Elevate Security进行的一项研究证实,培训和模拟并不能对防止现实世界的安全事故产生持久的影响。员工仍在点击钓鱼链接、下载恶意软件、错误处理敏感数据和重复使用密码。接下来,我们通过诸如身份和访问管理、多因素认证和活动日志等控制来锁定员工。

风险最大的终端用户如果愿意,仍然能够找到绕过这些控件的方法。

阶段1

跨身份、电子邮件、web和端点的工具集成,以了解员工办公风险

在内部集团和同行公司进行基准测试


了解员工在访问、行动和他们受到攻击的频率方面的风险

“员工安全办公零信任”的第一步是增加对人类攻击面的深度和广度的可见性。组织通常有足够的上下文数据来开始他们的旅程。答案锁定在你已经使用的安全工具的用户事件数据中。你只需要一种聚合和分析它的方法。通过使用以下系统来发现员工的操作、访问和攻击行为:

电子邮件安全网关——员工被钓鱼邮件攻击的频率有多高?他们经常点击链接或打开不应该打开的附件的频率是多少?

Web安全网关——检测谁是浏览高危网站的人?点击链接或更频繁地下载恶意软件?

身份和访问管理——如果用户的密码被泄露,什么MFA方法可以被使用?基于他们所访问的应用程序,他们被损害后的影响是什么?

终端和设备管理——用户能够下载任何他们想要的软件?需要批准吗?有没有用户因为下载恶意软件而做出错误的决定?

阶段2

对内部员工的实时反馈

与经理和部门负责人就员工办公风险进度进行沟通

具有时间点和历史风险的仪表盘

一旦你了解了员工办公风险——以及风险最高的最终用户——你的组织就应该主动地与员工和高管沟通这些具体的风险是什么,他们可以采取哪些步骤来降低风险,以及安全团队是如何降低风险的。这个阶段帮助安全团队更好地保护最终用户。

这是超越“一刀切”培训的一步,这种努力的焦点应该主要集中在风险最大的用户身上。应该让他们了解与组织中的其他人相比,他们被攻击的频率有多高。如果他们做出了糟糕的安全决策,请尽可能直接地提供实时反馈,让他们有机会纠正错误。为了获得管理层的支持,可以为经理和部门主管建立关于风险的记分卡,以及他们可以做些什么来帮助风险最高的直接下属保持警惕。

阶段3

员工风险状况已纳入外部工具

利用证据对事件和案件进行快速分类

对执行的政策和控制进行手动决策和模拟

在任何组织中,都有安全分析师或 IT 团队在没有适当数据的情况下手动做出安全决策。在阶段一和阶段二中收集的见解可以帮助团队更快地做出明智的决定。

对于帐户被盗来说,例如:

IT 需要评估是否应该批准软件下载请求

安全分析师需要确定是否应该授予关键资产访问权限

事故响应团队正在对他们从SIEM收到的警报进行分类

在这些场景中,每个人目前都在手工做出关键的决定,没有支持工具来做出有根据的和可靠的选择。不知情的决策可能导致攻击者成功获得立足点,或者审计人员可能会问,为什么在没有适当的业务理由的情况下授予某些异常。在这个阶段,你开始建立超越身份验证解决方案的员工办公零信任,以在你的日常操作中嵌入对员工和个人风险的理解。

阶段4

围绕关键员工办公风险的自动化和编排

事件和分数驱动的决策可以降低风险

适当的适应性控制和策略

衡量和改进决策的有效性和影响

这是员工办公零信任之旅的“顶峰”。在这里,你开始建立在你对每个员工的了解,以主动地自动化的方式降低风险。再多的反馈也不能让员工变得完美——这是事实。因此,下一步是在你的组织中协调适合每个人的风险概况的安全控制。

回到我们的帐户被盗的例子,在安全栈中涉及到主动保护最危险用户的技术有:

电子邮件安全网关

Web安全网关

身份访问管理

端点和设备管理

控制编排是自动化工作流的过程,为你试图保护的每个人创建安全风险适当的配置文件。你可以对那些最容易受到帐户被盗的用户部署更多限制性控制。例如,身份访问管理系统中的额外安全验证以防止潜在的凭据被盗用,或者Web安全网关中的更严格的浏览控制。控制编排使你的组织远离了一刀切的方法,在这种方法中,对所有人进行不必要的锁定会给业务增加不必要的摩擦。你开始针对个别用户的风险定制个别安全配置文件。

结论

你们的员工是新的安全防线。在当今“随处工作”的时代,是时候重新考虑行业的员工安全办公的旧模式了。到目前为止,你的安全团队只是在个人和个人用户级别上缺乏对这些不断演变的风险的可见性。这限制了你主动保护企业和减轻这些威胁的能力。

一种称为“人类攻击面管理”的新方法可以保护你的企业不受当今高水平的员工办公风险的影响。它保护你的组织免受网络攻击,如帐户泄露,勒索软件和数据泄露。它能自适应地、动态地保护你的整个员工队伍,同时减少业务上的摩擦。

任何组织都可以自己创建一个办公零信任模型,但这需要大量的工作。市面上有很多不错的解决方案提供了对人类攻击面的深度可见性,而且是现成的。这些平台可以自动化的定制安全控制、个性化反馈和策略,以防止下一次事件。