RSA 2023 和安全身份危机，第二部分

安

全供应商的叙述是组织没有在网络防御上花费足够的钱。也许……但更多的支出真的能解决组织面临的问题吗？传统观点认为它会有所帮助；或者至少不会造成伤害。但正如我们和其他人多年来指出的那样，拥挤的市场和庞大的风险投资基金创造了更多的工具、更多的复杂性和更多的亿万富翁……但我们更安全吗？

在此突破性分析中，我们将跟进 上周的剧集 并继续第二部分。为了向 RSA Security LLC 首席执行官 Rohit Ghai 的主题演讲致敬，我们提出疑问：安全行业是否存在迫在眉睫的身份危机？本周我们很高兴地介绍 Silicon ANGLE 编辑团队的最新成员，资深 记者 David Strom。与 David 一起，我们将解压缩数据并为企业技术研究工作主体带来更多背景信息。我们还将查看 Palo Alto Networks Inc. 的威胁情报和响应部门 Unit 42 的一些最新数据。此外，我们还将深入剖析最近的双重供应链黑客攻击。

变化越多...

正如我们上周分享的那样，零信任在未来 12 个月内重新成为信息技术的第一要务。上面来自 ETR 的图表是双击具体关注的安全区域。身份、单点登录和多因素身份验证或 MFA 与漏洞管理和修补联系在一起。其余的举措与我们多年来一直在讨论的业务相同。

据斯特罗姆说：

五年前，甚至可能是 10 年前，除了日志记录工具之外，您可能已经运行过同一张幻灯片。我的意思是，对于安全行业来说，我们仍在谈论相同类型的流程、相同类型的工具和技术，这让安全行业感到非常尴尬。我们应该更好地处理这个问题，但我们没有。

Strom 还指出，图表中缺少防火墙。每个公司都有防火墙，正是因为防火墙很差，我们才需要零信任。

大多数安全伤害都是自己造成的

下面的下一个数据点来自 Palo Alto Network 的第 42 单元 云威胁报告。它告诉我们，通常 5% 的安全规则会触发大部分安全警报。同样的错误一遍又一遍地犯。

我们问斯特罗姆：“这对当今的安全实践有何启示？”

这表明他们很糟糕。我的意思是，我们真的没有设计太多的安全性。换句话说，甚至在编写应用程序的第一行代码之前，您都会考虑如何保护它。许多开发人员只是懒惰。他们并不真正将安全视为他们的领域。他们认为那是别人的工作。报告中提到的许多秘密扫描工具已经使用多年，但绝大多数组织（如 80%）都将加密密钥和其他秘密硬编码到他们的代码中。这简直是疯了。这真是糟糕的做法。

3CX 双供应链黑客剖析

继续以迫在眉睫的危机为主题，下图由 Mandiant 提供给您，Mandiant 是威胁情报和响应公司，现在是 Google LLC 的一部分。众所周知，威胁在不断升级，并且可能来自意想不到的来源。最近的双重供应链黑客事件清楚地提醒人们，即使对于看似无害的应用程序，也要采取稳健的安全措施的重要性。

该图表解释了据信是对双重供应链妥协的第一个基于证据的确认，其中最初的供应链渗透引发了第二波妥协。

以下总结了 Strom 如何解释违规行为：

事件始于 3CX（一家专门从事 IP 语音统一通信工具的公司）的一名员工在工作时将股票跟踪应用程序下载到桌面。这个看似无伤大雅的行为却产生了深远的影响，因为股票追踪应用程序在两年前就已经遭到入侵。受感染的应用程序不仅对员工的计算机造成严重破坏，而且还渗透到分发给其客户的 3CX 桌面应用程序中，将软件变成恶意软件。

这一不幸事件凸显了员工和公司双方的一系列错误和疏忽。员工一开始就不应该能够下载该应用程序；股票追踪公司本应采取措施保护其受损软件的安全。此外，3CX 薄弱的应用程序安全性使恶意软件可以轻松渗透到他们的产品中。虽然对手确实非常狡猾，被 Mandiant 怀疑是朝鲜人，但这是另一个自我伤害和安全信心危机的例子。

面对强烈反对，3CX 最近发布了一篇博客文章 ，概述了其改进安全措施的计划。提议的更改包括更多动态代码分析、散列密码、雇用渗透测试人员以及建立独立的网络运营和软件部门。然而，根据 Strom 的说法，这些措施只会使公司达到 2015 年的安全标准——与应对当今复杂威胁所需的尖端解决方案相去甚远。

在这次双重供应链黑客攻击中，第一个供应链漏洞涉及受损的库存跟踪应用程序。攻击者感染了该应用程序并将其留在公司网站上，因此当毫无戒心的用户下载该应用程序时，他们的计算机也会被感染。这使得黑客能够控制用户的计算机并修改他们桌面上的软件代码。

有趣的是，攻击受害者并不是黑客有目的的目标；这更像是一种机会主义的利用。他们很幸运，股票跟踪公司未能更新或保护该应用程序。在用他们自己的恶意软件修改应用程序后，攻击者只需等待用户下载它，就可以为他们提供一个潜在的受害者池来控制和利用。

此案例强调了组织不断更新和改进其网络安全实践的迫切需要。在一个即使是简单的股票跟踪应用程序也可能导致灾难性后果的世界中，企业必须更加警惕以保护他们的客户和声誉。

正如 Strom 指出的那样，在 3CX 黑客攻击中，攻击者利用了应用程序编程接口基础设施的缺陷。API 促进了不同应用程序之间的通信，允许它们共享信息并相互交互。如果恶意行为者可以将自己插入此通信流中，他们可能会对所涉及的系统造成重大损害。

API 安全是软件供应链的重要组成部分。当开发人员为特定任务下载代码片段或例程时，例如以更大的字体显示内容或将 Web 服务器连接到数据库，他们正在调用 API。确保这些 API 调用是安全的，并且所使用的代码不受感染，对于防止 3CX 黑客攻击或几年前的 SolarWinds 攻击等事件至关重要。API 安全性不足会导致受感染软件的扩散，从而对用户和组织造成严重后果。

说到 API 安全性——Akamai 收购 Neosec

上周 ETR 的 Erik Bradley 指出，他认为其中一家 API 安全公司会被收购。我们列出了一些潜在的收购方。他没有预料到 Akamai 会拿下 Neosec，但 Erik 强调 Salt Security 是一个可能的目标。

上图从 ETR 针对 Akamai 的主要 TSIS（技术支出意向调查）中获取数据（该调查有 190 个账户），并将其与专注于 API 安全的私有新兴技术公司进行比较。我们用蓝色列出了 Akamai 与显示的三个公司（Neosec、Noname Security 和 Salt Security）之间的客户重叠百分比。用红色显示根据 Crunchbase 筹集的资金数额。

上周在 QlikWorld 2023 上，我们有机会与 Qlik 的战略负责人 Drew Clarke 坐下来，Qlik 是一家在过去六年的大部分时间里一直在大力收购的公司。他列举了成功收购所必需的四个关键标准：1）愿景；2）技术契合度；3）文化；然后，然后才 4) 财务。

在 ETR 数据中，这三家公司在客户重叠方面没有太大差异。但很明显，假设 Crunchbase 数据是正确的，Noname 和 Salt Security 将比 Neosec 贵得多。Strom 多年来一直关注 Akamai 的收购，因此我们询问了他对此次收购的看法。

好吧，我认为 Akamai 通常会进行非常合理且适时的收购，因为他们必须保持对其基础设施质量的绝对信任。我的意思是，世界上最大的网站都在 Akamai 上运行。因此，他们必须拥有最严密的安全性和最无差错的 [经验]。谷歌使用它们，微软使用它们。所以这对 Akamai 来说是个好主意。他们收购的很多公司——超过 30 家——都是你从未听说过的公司。最近的一个是 Linode，这是一个用于各种编码实践的开源社区。他们 [Akamai] 可能尝试了他们的 API 安全性，并认为 Neosec 是一个可靠的产品。

网络安全领域不乏新兴科技并购候选人

与那些私营新兴科技公司保持联系，我们希望分享对 ETR 数据库内容的高层次看法。下图显示了 ETR 新兴技术调查中按安全子行业分组的私营公司。您可以看到在顶部组中有 17 家云公司和 15 家身份安全公司。他们是最拥挤的。第 2 组是 AppSec 和入侵检测与预防。然后是评估、容器和物联网安全等。

我们已经强调了身份以强调我们的身份危机主题，我们稍后会详细讨论这一点。但我们与 Strom 讨论了云和身份过于拥挤的可能性，以及是否真的需要这么多非上市公司？以下为对话摘要：

空间复杂多样。但是，尽管有许多公司，但仍需要专门的解决方案来应对各种安全挑战，因为通常行业并未以全面的方式解决这些问题。没有一家公司只有一个安全供应商。买家通常会雇用多个安全供应商和工具来确保充分的保护，创建可以解决不同漏洞的混合解决方案。

然而，讨论也强调了一个令人担忧的趋势：不断添加新的安全工具，却从未摆脱旧的工具。这种做法会产生更多问题，因为 IT 经理通常害怕终止安全产品，因为害怕将他们的系统暴露给潜在的漏洞利用。具有讽刺意味的是，这可能导致未打补丁和过时的工具成为攻击者利用的切入点。

放大镜下的身份和访问管理

继续以身份为主题——让我们来看看该领域的一些主要参与者。

下面来自 ETR 的图表格式是我们在突破分析中经常使用的格式。纵轴代表净得分，衡量消费势头，或在特定平台上花费更多的客户净数量。横轴是 Pervasion，即提及次数除以总段数 N。一会儿，我们将重点关注我们之前讨论过的两家公司，Auth0 和 Okta。虽然我们不喜欢收购价格（70 亿美元），但我们赞赏 Okta 收购背后的理念。

波浪线显示了 Auth0 和 Okta 在过去几个季度的进展。Okta 在大流行期间拥有超乎寻常的支出势头，其股票表现良好。然而，它有一个良性的黑客攻击和拙劣的通信工作伤害了它并且它一直在努力集成 Auth0。在图表的最右侧，我们看到了思科，它的影响力很大，因为它包括思科的所有产品组合，包括 Duo。在图中我们还看到了 CyberArk、SailPoint、BeyondTrust、Ping Identity 和 OneLogin 的位置。

我们询问了 Strom 他对 Okta 收购 Auth0 的看法。他是这样说的：

我认为这是一个有趣的举动。我不知道这是好事还是坏事。价格是荒谬的，但它们确实作为两个独立的公司进行维护。你知道，Okta 更适用于外部、IAM 和集成数以千计的应用程序，例如 7,000 个 SaaS 应用程序和第三方应用程序，他们可以使用它们进行单点登录。Auth0 更适用于应用程序开发人员和内部开发的应用程序，您将从头开始构建代码，并且有一座桥梁可以连接组织的两侧。但它们确实是两种不同的公司。他们几乎互相竞争。我的意思是，两者都有多因素身份验证，都有 SSO，都有无密码的东西，所以奇怪的是他们让这两个实体保持一定距离。这很讽刺，因为 Auth0 可能有一个非常好的应用程序开发故事，而 Okta 有一个非常好的集成故事。

收购发生在大约两年前，所以我不知道那里发生了什么。我认为大多数需要 Okta 的人已经购买了它，你知道，它可能在财富 500 强中排名第 495 位。另一个问题是这些工具并不是很多人使用的工具。即使在一家大公司，您也可能只有一两个 SSO 人员来完成所有工作，这就是它成为如此强大工具的原因。他们可以处理整个公司的登录名和密码收集工作，不需要更多的人来做这件事。所以这是一项非常非常专业的 IT 技能。

身份包的其余部分

与上表中的其他参与者相关，在过去五年中，身份访问和安全市场出现了显着扩张。许多公司采用云技术的速度很慢，但现在这些公司都提供基于云的产品，并为各种应用程序提供身份连接器。此外，他们还开发了不同的工具来满足客户的需求。结果，这些解决方案的早期采用者继续使用它们，并且市场份额扩大了。例如，根据 Strom 的说法，Ping Identity 在沃尔玛广泛使用，为数千台计算机提供支持。一旦客户购买了特定数量计算机的许可证，他们往往会坚持使用同一提供商，除非发生重大事件。综上所述，在市场扩大的同时，客户忠诚度高，

可能的身份和访问管理收购

让我们仔细看看下面的数据，这些数据是从 ETR 的 TSIS 开发的。

上周，我们确定了潜在的收购方，并在这里再次这样做了。本周我们将 Cisco、CrowdStrike、IBM、Palo Alto Networks 和 Zscaler 列为可能的买家。我们从 ETS（新兴技术）调查中抽取了 IAM 领域的 15 家新兴技术公司，以对付它们。上面的结果图表显示了这些公司的重叠，在前面提到的六家潜在买家公司中有 770 N。Y 轴表示参与意向的净情绪，X 轴表示提及次数。虽然市场上还有其他身份参与者（未在图表中显示），但这提供了对市场和潜在收购目标的宝贵见解。

值得注意的是，BeyondTrust 和 1Password 脱颖而出。我们问斯特罗姆这是否令人惊讶，如果是，为什么？

是的，特别是 1Password，这是一个消费者密码管理器。如果您的公司有适合您的 SSO 工具，您就不会购买 1Password 类型的产品。例如，您可能从小型开发组的密码管理器开始，这样您就不必记住所有密码，但最终您将迁移到 SSO 工具，因为您不想知道你的密码是什么。你会想要一些软件来处理这个问题。因此，当您早上开始工作时打开屏幕时，系统会自动让您登录。您所有的应用程序都在您的桌面上。你不必坐在那里说，'哦，现在那个密码是什么？所以对我来说，这表明 SSO 工具在这些组织中不起作用，或者他们没有能力推出这些工具的人；或者他们一直在自己的家用计算机上个人使用它，因为他们现在正在远程工作，并且他们需要可以使用的东西，但不属于公司 SSO 工具的一部分。

在 RSA 2023 上要注意什么

基于 上周的 “RSA 看点”，让我们总结一下与 Strom 的结束对话。

公司认真对待备份和恢复至关重要，尤其是在网络安全方面。事实上，它是网络安全的重要组成部分。勒索软件攻击变得越来越普遍，这些攻击做的第一件事就是禁用 Windows 上的卷影副本并泄露备份数据。如果没有适当的备份，公司就会让自己容易受到此类攻击。

令人担忧的是，即使在与勒索软件打交道多年之后，公司仍未实施适当的备份和恢复措施。根据最近的统计，一家公司分析的勒索软件攻击 100% 导致了备份语料库的加密。这清楚地表明，公司必须采取更主动的备份和恢复方法，实施确保数据不变性和物理气隙保护的系统。

正如著名的行业数据保护大师 Fred Moore 所说，“备份是一回事，恢复才是一切。” 你可以做世界上所有的备份，但如果你不能从中恢复，它们就没用了。然而，许多公司甚至懒得测试他们备份的恢复，使他们容易受到各种灾难的影响，从恶劣天气到不良行为再到人为错误。

简而言之，如果公司不认真对待备份和恢复，他们就会将自己置于严重的风险之中。这不是可以掉以轻心或忽略的事情。当我们进入 RSA 和其他行业活动时，公司必须意识到备份和恢复在其整体网络安全战略中的重要性。

无密码世界的想法最近受到了极大的关注。Netflix 因宣布计划限制某些区域的密码共享而备受关注。此举引起了用户的关注，因为这可能会使他们难以访问内容。然而，跟踪共享密码的用户并不难，因为它只涉及跟踪 IP 地址。

尽管人们对无密码身份验证越来越感兴趣，但根据 Strom 的说法，它不太可能很快实现。尽管 由苹果、微软和谷歌等科技巨头组成的快速身份联盟已经就实施无密码解决方案的总体战略达成一致，但问题在于细节。每个公司都有自己的方法，尚未为企业用户准备好。Strom 表示，无密码的未来可能还需要一年或更长时间才能成为现实。

我们认为，政府在网络安全领域的公共政策方面的努力显然乏善可陈。尽管有行政命令和授权，但最近发布的国家网络战略在协调政府和私营部门网络安全方面的努力方面存在不足。鉴于越来越多的民族国家行为者使用网络攻击造成伤害，这一点尤其令人担忧。缺乏国家隐私政策只会增加试图应对不同州不同隐私法的公司所面临的复杂性和挑战。在我们看来，对打击网络威胁至关重要的公私合作伙伴关系目前在美国正在失败。

当我们观察行业活动的出席趋势时，很明显，自 RSA 2020 以来，情况发生了重大变化，RSA 2020 是 COVID-19 大流行之前的最后一次大型会议。尽管物理事件又回来了，但它们的规模通常较小，尤其是供应商主办的事件。我们已经看到像 Palo Alto Networks 和 Couchbase 这样的公司选择路演而不是大型活动，而 IBM Think 则大幅缩减了规模。然而，RSA、MWC（以前称为世界移动通信大会）和全国广播协会举办的 NAB 等独立活动的出席人数显着增加。

推动这一转变的一个关键因素是提供现场和虚拟出席选项的混合活动越来越受欢迎。能够成功驾驭这一新格局的公司将有机会在传统体育赛事之外扩大他们的观众群。RSA 正在朝着这个方向采取措施，为今年的活动安排了一些流媒体会议，近年来一直是虚拟的，直到去年。

随着该行业继续适应大流行后世界的挑战，看看公司如何发展他们的活动策略以最大限度地提高参与度并有效地接触目标受众将会很有趣。向混合活动的转变可能会继续，能够在现场和虚拟环境中提供引人入胜的高质量体验的公司将在这个活动出席的新时代取得成功。

编译自：https://siliconangle.com/

原文始发于微信公众号（河南等级保护测评）：RSA 2023 和安全身份危机，第二部分