信息化觀察網(wǎng)

面向中端市場(chǎng)的組織機(jī)構(gòu)正在安全投資和安全執(zhí)行之間尋找平衡。

醫(yī)療保健行業(yè)的首席信息安全官們正在努力加強(qiáng)安全控制，但是由于用戶錯(cuò)誤，有限的人員和財(cái)務(wù)資源，以及來(lái)自對(duì)數(shù)據(jù)如饑似渴的網(wǎng)絡(luò)攻擊者的不斷進(jìn)攻等問(wèn)題阻礙了他們的進(jìn)程——甚至安全管理人員都承認(rèn)他們沒(méi)有做到他們應(yīng)該做好的工作。

最近參與一項(xiàng) Carbon Black 分析的醫(yī)療機(jī)構(gòu)中，整整 83% 的機(jī)構(gòu)表示在過(guò)去一年中，他們發(fā)現(xiàn)網(wǎng)絡(luò)攻擊有所增加，平均每個(gè)端點(diǎn)每月都有 8.2 次攻擊。

有三分之二的受訪者表示在過(guò)去一年中，攻擊變得更加復(fù)雜。有三分之一的人提到了 “跳躍攻擊 (Island Hopping) ”——攻擊者入侵一個(gè)網(wǎng)絡(luò)建立據(jù)點(diǎn)，而有類似比例的人表示他們正在致力于反事件響應(yīng)，因?yàn)榉缸锓肿诱谠噲D突破網(wǎng)絡(luò)安全控制。

三分之二的組織機(jī)構(gòu)注意到了惡意軟件攻擊，而 45% 的組織機(jī)構(gòu)表示他們?cè)庥龅墓糁饕康氖菫榱似茐臄?shù)據(jù)。

網(wǎng)絡(luò)安全承受的巨大壓力讓很多網(wǎng)絡(luò)安全從業(yè)者沒(méi)能達(dá)到自己的預(yù)期，三分之一的受訪者給自己打了 C，四分之一的人給自己打了 B，16%的人打了 B- 。

澳大利亞通報(bào)數(shù)據(jù)泄露 (Notifiable Data Breaches, NDB) 計(jì)劃最新季度的統(tǒng)計(jì)數(shù)據(jù)清晰地反映了人們?yōu)榱吮Ｗo(hù)醫(yī)療數(shù)據(jù)付出的持續(xù)努力。僅在 2019 年第一季度，215 例數(shù)據(jù)泄露通報(bào)中的58例 (27%) 已報(bào)告給澳大利亞信息專員辦公室 (OAIC)。

內(nèi)部威脅

隨著醫(yī)療和物聯(lián)網(wǎng)設(shè)備的日益普及，醫(yī)療攻擊波及的范圍越來(lái)越大。網(wǎng)絡(luò)安全人員不足，行業(yè)網(wǎng)絡(luò)安全預(yù)算有限，進(jìn)一步加劇了這個(gè)問(wèn)題。

這些問(wèn)題反映了面向中端市場(chǎng)的企業(yè)所面臨的現(xiàn)實(shí)問(wèn)題。當(dāng)時(shí)間和資源有限，安全人員正在內(nèi)部專家和工具之間尋求平衡——解決安全 “必須做的事情”，同時(shí)在資金允許的情況下，盡可能進(jìn)行戰(zhàn)略性合作解決 “應(yīng)該做的事情”。

IDC-SolarWinds 最近對(duì)中端市場(chǎng)安全策略的分析得出，這些企業(yè)的安全意圖與行動(dòng)之間一直存在著鴻溝。

他們?cè)陬A(yù)防工作上的花費(fèi)減少了，幸運(yùn)的是很少有人遇到過(guò)毀滅性攻擊。更直接的暴露來(lái)自內(nèi)部用戶的錯(cuò)誤和技術(shù)部署的錯(cuò)誤配置，這些錯(cuò)誤配置實(shí)際上讓大門——或者至少是底層的一扇窗戶——大開。

61.7% 的受訪者指出是用戶的錯(cuò)誤導(dǎo)致了網(wǎng)絡(luò)安全事故，而 47% 的受訪者表示網(wǎng)絡(luò)安全事故發(fā)生的原因是外部人員入侵了網(wǎng)絡(luò)和系統(tǒng)。

50.3% 的受訪者稱，正式員工是造成內(nèi)部威脅的最大風(fēng)險(xiǎn)因素，而其他人則認(rèn)為承包商 (40.7%)、有權(quán)限的IT管理人員 (30.7%)、客戶 (25.3%)、高管 (22.3%) 和合作伙伴 (19.7%) 是最大風(fēng)險(xiǎn)因素。

盡管用戶錯(cuò)誤導(dǎo)致安全漏洞并不是什么新鮮事，但很多受訪者（46.3%，他們只有1到5名全職安全人員）表示，他們無(wú)法憑借適當(dāng)?shù)墓ぞ?、政策或?qū)嵺`領(lǐng)先用戶一步。

有時(shí)候安全人員抱怨管安全管理工具過(guò)于復(fù)雜，報(bào)告指出人們認(rèn)為很多有名的網(wǎng)絡(luò)安全任務(wù)“過(guò)于耗時(shí)”，并且很多用戶承認(rèn) “如果適當(dāng)?shù)呐渲锰y理解，他們可能會(huì)使用默認(rèn)配置，之后再重新考慮有疑義的風(fēng)險(xiǎn)決策。”

這些實(shí)踐指出安全從業(yè)人員不應(yīng)該對(duì)安全采取 “設(shè)置并忘記” 的態(tài)度。很多企業(yè)無(wú)法實(shí)現(xiàn)自己的目標(biāo)，僅僅是因?yàn)樗麄儾荒芡ㄟ^(guò)執(zhí)行正確的策略來(lái)防止用戶錯(cuò)誤和其他問(wèn)題。

在很大程度上，檢測(cè)或監(jiān)控工具已經(jīng)到位了，但需要更多關(guān)注的是保護(hù)措施。是的，威脅確實(shí)存在，但大多數(shù)受訪者認(rèn)為，最大的威脅來(lái)自于自己造成的狀況。

Verizon 的數(shù)據(jù)泄露調(diào)查報(bào)告 (Data Breach Investigations Report , DBIR) 長(zhǎng)期點(diǎn)名醫(yī)療行業(yè)，稱其持續(xù)卷入與內(nèi)部人員有關(guān)的泄露事件中——尤其是對(duì)包含敏感醫(yī)療信息數(shù)據(jù)庫(kù)的特權(quán)濫用。

今年的報(bào)告指出：醫(yī)療保健之所以引人注目，是因?yàn)榇蟛糠?(59%) 的入侵事件都與內(nèi)部參與者有關(guān)。

在所有行業(yè)，有內(nèi)部參與者的違規(guī)活動(dòng)都更難被發(fā)現(xiàn)，與涉及外部參與者的行動(dòng)相比，往往需要花費(fèi)數(shù)年時(shí)間才能發(fā)現(xiàn)。安全從業(yè)者應(yīng)該知道他們的主要數(shù)據(jù)存儲(chǔ)在哪里，限制必要的訪問(wèn)，并跟蹤所有的訪問(wèn)嘗試。首先要監(jiān)控那些擁有很大訪問(wèn)權(quán)限的用戶，這些權(quán)限可能不是執(zhí)行工作所必需的。并且設(shè)定一個(gè)目標(biāo)，發(fā)現(xiàn)任何不必要的訪問(wèn)行為。