2024年安全事件的教训

关键要点

在2024年，SentinelOne的首席信息安全官亚历克斯·斯塔默斯（AlexStamos）指出了三起改变工作方式的事件，并强调了从这些事件中可以吸取的重要教训。这些事件包括中国对微软的入侵，Snowflake的客户数据泄露，以及Crowdstrike的更新故障。斯塔默斯强调，实现安全目标并不困难，但需要认真对待每个关键环节。

首先，斯塔默斯提到了2023年中国对微软的入侵事件，一个政府用户首次发现这一安全漏洞。在事件中，不明用户在打开邮箱时，微软无法识别其身份。斯塔默斯提醒各企业管理层仔细阅读相关报告，以避免相似问题。

其次，Snowflake因设计失误使客户面临风险，导致客户数据被盗。因此，他强调企业需要更加关注用户安全，设计时必须确保安全性。

最后，通过Crowdstrike的灾难性更新，斯塔默斯警示了单一安全方案的风险，认为在安全产品选择上需要加大难度，以增强防御力量。

吸取的教训

在2024年发生的几起事件中，不同的公司都在安全领域经历了洗礼。

微软的安全漏洞

斯塔默斯提到的第一个事件是中国对微软的入侵，这一事件的特殊之处在于，是由政府用户发现的。该事件涉及到一名不明身份的用户打开了邮箱，而微软未能及时识别。

“这是一个重要的报告，我建议在座的每位首席信息安全官（CISO）阅读这份报告。”他强调道。

信息报告中指出了网络对手如何绘制网络图，找到薄弱环节并通过签署令牌登录Microsoft Exchange邮箱。这为业界提供了宝贵的经验教训。

Snowflake的数据泄露事件

斯塔默斯接着提到Snowflake的事件，该公司在产品设计上存在问题，使得客户遭受数据被盗的风险。他指出，尽管他们自身未被攻击，但由于内部登陆设计不佳，导致企业难以强制要求员工使用多因素认证（MFA）。这使得攻击者利用被泄露的密码进行了身份验证尝试。

“企业必须为安全性而设计，我们必须站在用户的角度去思考。”

Crowdstrike的更新故障

斯塔默斯提到的第三个事件是Crowdstrike的更新导致重大故障。他指出，目前许多公司倾向于采用单一安全解决方案，尽管这样做初衷是为提高效率，但结果却极为危险。更新故障使得公司的主站点和备份站点同时出现“蓝屏”，反映出安全产品选择的单一风险。

“我们不能在备份站使用相同的解决方案。”斯塔默斯建议道。

提高安全性

斯塔默斯呼吁应在产品选择中引入更多障碍，以构建异构的基础设施和安全解决方案。他认为，这样能有效增加攻击者的难度。

“如果你在设计中引入足够的摩擦，比如将身份域断开，使IT管理员在不同时间认证不同域，你可以显著提升安全性。”

通过这一系列事件，斯塔默斯强调了安全领域的风险与挑战，并为企业提供了可行的改进建议。