2020年，在新冠疫情和网络攻击的双重“压力测试”之下，很多企业的网络安全运营工作暴露出了新的弱点。面对充满不确定性的2021，全球的企业网络安全人士能够从2020年汲取哪些经验呢?以下我们整理了多家美国网络安全企业的调研分析，汇总为六大经验教训：

安全运营中心(SOC)需要重新校准

新冠疫情引发的大规模远程办公给本就不堪重负的安全运营中心(SOC)带来了巨大压力。安全公司Exabeam对管理和运营SOC的约1,005名网络安全专业人员的调查中，有35%的受访美国企业安全人士认为疫情期间的团队交流是最大挑战。34%的人报告难以调查安全事件，而30%的人认为缺乏对单个网络的可见性是一个问题。接受调查的美国SOC人员中，近二分之一(47%)表示新工具(包括SaaS应用程序)存在问题。

SANS研究所新兴安全趋势主管John Pescatore表示：“流程不成熟的SOC的管理者发现，当SOC团队不在同一房间时，工作没有任何效率可言。”

展望未来，安全运营小组将需要实施更完善的体系结构，以解决大部分人员处于远程状态的混合办公环境需求。

Omdia的分析师Eric Parizo说：“安全信息和事件管理(SIEM)是SOC的重要引擎，将经历重大变革。新分配的劳动力和正在进行的数字化转型计划将加快SIEM向云端过渡。”

“作为基于云的SecOps解决方案的新核心，下一代SIEM将基于SaaS，提供内置的活动和行为分析，并提供基于固定费用的数据采集，支持多个公共云以及传统的基于云的服务，内部和网络数据源。“Parizo说。

CYOIT(自行选择IT)是个大问题

随着SaaS的日益普及，以及疫情的推波助澜，全球企业办公正在流行自行选择IT(CYOIT)模式。SANS研究所的Pescatore说：“与自带设备(BYOD，通常指移动设备)不同，CYOIT自带的范围更大，包含了员工用于工作的各种工具(例如软件、WiFi路由器、存储、云服务、智能设备等等)。”

CYOIT最大的受益者之一是Zoom，由于疫情肆虐，Zoom在企业应用领域大杀四方，迅速超过了传统的企业通讯方案Webex和GoToMeeting。

Pescatore补充说：“这个趋势对IT安全性意义重大，对于BYOD，企业安全人员主要的担心是存储在设备上的企业数据，因为BYOD设备上没有企业安全堆栈。但尽管BYOD带来了问题，IT部门仍然可以控制服务器端和应用程序(白名单)。”

相比BYOD，CYOIT的安全威胁要大得多，因为用户可以选择不同的云应用程序，例如，网盘、私人邮箱、视频会议APP等。CYOIT给企业网络安全部门带来了更大的压力，需要将控制的重点从应用程序转向数据。如果硬件或应用程序已经失控，就需要对数据进行全程管控。

SaaS的攻击面放大

随着越来越多的企业将工作负载和数据转移到云中以支持远程和虚拟劳动力，SaaS环境已成为攻击者的主要目标。AppOmni首席执行官兼联合创始人布伦丹·奥康纳(Brendan O.Connor)说，IT员工将越来越多地参与管理其组织的SaaS应用程序和云足迹。

他说，安全管理工具(例如在应用程序之间扫描API以自动进行SaaS配置，以及监视用户访问、活动和环境变化所需的工具)变得越来越重要。

奥康纳说:“不幸的是，黑客和不良行为者已经注意到云计算趋势，并调整攻击策略，利用SaaS领域缺乏安全专业知识和必要的安全监控和防御实施攻击行为。”

今年早些时候AppOmni曾对200名IT安全专业人员进行了一项调查，结果表明，许多IT团队正在努力跟上新冠疫情带来的大规模运营变化以及随之而来的云采用率的提高。由于疫情牵扯了太多精力和资源，68%的受访者表示他们管理和保护SaaS应用程序时间大幅减少了。

疫情成了“零信任”加速器

零信任安全模型(简单来说就是不管从企业网络内部还是外部，对企业数据的所有访问请求都需要经过完全的身份验证和审查)今年受到了越来越多的关注。尤其是那些寻求解决大规模远程办公新威胁的企业IT团队都不约而同地开始转向零信任。

例如，企业管理协会(EMA)在8月进行的252位IT专业人员调查中，有60%的企业表示他们的组织已经加快了零信任策略部署。40%的受访者认为，提高运营敏捷性是零信任的主要好处，而35%的人指出，零信任改善了IT治理和风险合规性。

受访者提到的其他一些零信任的优点包括：防止入侵和遏制、减少攻击面以及减少未经授权的访问，这也是后新冠时代的共性问题。EMA发现，采用正式零信任策略的公司比采用临时方法的公司成功的可能性要大得多。具有讽刺意味的是，参与调查的公司规模越大，越有可能采用临时方法。

微软在今年早些时候的博客中说:“对于已经踏上零信任概念验证旅程的公司，新冠疫情充当了加速器，加快了采用的时间表。”

勒索软件引发的管理难题

勒索软件攻击迅速增加，攻击者不但加密数据而且还开始窃取数据并威胁公开泄露，而受害者不但面临应用程序和系统停机的风险，而且还面临敏感数据(包括商业秘密和知识产权)公开泄漏的威胁。

勒索软件的攻击手法升级并不是新事物,但这确实引发了一个新的管理问题：企业的网络安全保险是否会支付勒索软件赎金?对于大多数人来说，没有简单的答案。

近来，多个遭受勒索软件攻击的大型企业提起诉讼，包括制药巨头默克公司和食品和饮料企业集团Mondalez，这些诉讼凸显了企业向网络安全保险公司索赔时面临的挑战。

除了索赔面临的挑战，企业支付赎金还将面临法律风险，上个月初，美国财政部外国资产控制办公室(OFAC)发布咨文警告企业不要向勒索软件支付赎金，并声称此举存在违反政府对网络犯罪集团或国家黑客施加经济制裁的法律风险。

Digital Shadows战略副总裁兼CISO里克·霍兰德(Rick Holland)表示，勒索软件攻击者今年如过江之鲫。在一季度，Digital Shadows仅跟踪了两个勒索软件团伙，而到第四季度，这个数字已经增长到17个。

霍兰德说，那些兜售企业网络初始访问权的“经纪人”的业务今年格外红火：“将勒索软件价值链的这一组成部分外包，大大提高了勒索软件运营的规模和速度。”

留神非网络安全事件对安全行业造成重大影响

新冠疫情就是一个最好的例子，说明并非所有对网络安全有重大影响的事件都与安全相关。疫情导致企业迅速向远程办公大规模转移，迫使网络安全部门/行业进行各种变革。

信息安全论坛(ISF)指出：IT和安全领导者必须将精力和注意力重新集中在确保远程办公的安全上，确保供应链安全，并开展量身定制的安全意识活动和培训，以应对与疫情相关的网络钓鱼诈骗的突然泛滥。

Vectra的首席技术官奥利弗·塔瓦科利(Oliver Tavakoli)表示，疫情告诉我们，为什么具有全球影响力的公司需要制定应对全球危机的计划。我们需要应对的不仅仅是区域性的灾难，更要对全球性的突发事件和影响做好预案，远程办公常态化的同时，网络安全投资的配置也要为“端点”做出相应的调整。

【本文是51CTO专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文