自2014年以來,信息管理協(xié)會的權(quán)威調(diào)查數(shù)據(jù)顯示,CIO在面對IT管理問題時,已經(jīng)將網(wǎng)絡安全提升至數(shù)一數(shù)二的位置了。然而,在2013年,同樣的調(diào)查中,網(wǎng)絡安全還只是第七的位置。一年的時間發(fā)生了什么?那不得不提的事件應該是臭名昭著的事件了,該事件直接導致1850萬美元的罰款和Target首席執(zhí)行官的離職。
自那之后發(fā)生的一系列的數(shù)據(jù)泄露事件就像開了閥門的水閘,傾涌而出,Target事件簡直是小巫見大巫,不足為奇。這給大家傳達了一個信息:年復一年,隨著網(wǎng)絡威脅事件的數(shù)量和嚴重程度不斷攀升,促使企業(yè)倒閉的數(shù)據(jù)泄露風險似乎越來越高。
如今,企業(yè)的首席安全官們就像握著這個燙手的山芋一樣。有些人被迫采用一種單點解決方案來應對每一個新的威脅,而這種解決方案直接參與了安全軟件行業(yè)的營銷策略。然而,任何組織的網(wǎng)絡安全預算都是有限的。CSO如何最有效地分配其安全防御資源?
簡單的答案有兩個:合理地確定風險的優(yōu)先級,同時充分利用現(xiàn)有的有效防御措施。在大多數(shù)組織中,無可爭辯的是未修補的軟件和社會工程(包括網(wǎng)絡釣魚)風險最高,其次是密碼破解和軟件配置錯誤。減少政策因素和運營障礙,確保及時進行補丁修復,建立有效的安全意識計劃,培訓操作人員鎖定配置并實施兩因素身份驗證,這樣企業(yè)將大大降低總體風險。
當然,任何人都可以避免其他重大風險和漏洞。例如,如果是一家電力公司,那么負責人需要了解對關鍵基礎設施針對性很強的威脅,以及如何防御這些威脅。當黑客真正入侵組織系統(tǒng)之后,在系統(tǒng)內(nèi)部進行身份驗證的零信任措施則發(fā)揮作用,阻止攻擊。
將風險管理日常化
自軟盤時代以來,惡意軟件和黑客攻擊就一直困擾著計算機用戶。然而,近幾年,又出現(xiàn)了一種新的威脅,創(chuàng)新壓力下的技術漏洞。在CIO撰稿人Bob Violino的文章中就揭示了數(shù)據(jù)化變革時代的陰暗面,文章的核心觀點就是如果以安全和隱私為代價,那么中變革性的創(chuàng)舉也將會失敗,而且還可能會以驚人的方式失敗。所以在創(chuàng)新時也要考慮到安全架構(gòu),這樣子不但有利于整體創(chuàng)新的成功還會增加最終成果的吸引力。
InfoWorld特約編輯Isaac Sacolick在一文中從軟件開發(fā)的角度詳細探討了該主題。開發(fā)人員往往會認為安全性不是他們的問題,而是將這個責任推到安全團隊身上,而安全團隊是在后期才參與到開發(fā)過程中來的,因此無法注意到在構(gòu)建應用程序時,業(yè)務流程中存在的漏洞。DevSpsOps是DevOps的產(chǎn)物,這讓安全性成為開發(fā)人員和操作人員的主要關注點,不僅避免了代碼缺陷,而且還使安全測試自動化,并在應用程序投入生產(chǎn)后對其進行監(jiān)控。
《計算機世界》高級記者Lucas Mearian也在一文中探討過將安全集成到軟件中的話題。過去,使用MDM(移動設備管理),EMM(企業(yè)移動管理)或最新版本UEM(統(tǒng)一的端點管理)來管理移動或桌面設備,這與端點安全管理重疊了,但仍需要單獨進行。據(jù)Lucas說,供應商現(xiàn)在將兩者合并在一起,以“提供一個集中化的策略引擎,用單個控制臺管理和保護公司的筆記本電腦和移動設備。”在某些情況下,這種發(fā)展涉及了機器學習算法,該算法基于一些參數(shù)自動為用戶分配安全策略,比如地理位置、使用的設備類型以及網(wǎng)絡連接是公共的還是私有的等。
然而,盡管有時候新的網(wǎng)絡安全技術大張旗鼓地出現(xiàn),而有些用戶仍毫不知情。Network World的撰稿人Zeus Kerravala在中,揭開了現(xiàn)代防火墻的神秘面紗,從網(wǎng)絡分段到策略優(yōu)化再到DNS安全。不費吹灰之力就充分利用了防火墻的功能, Zeus在書中提供了合理、詳細的建議。
最后,我們所有人都必須做好準備,抵御當下時代最惡劣的外部威脅——勒索軟件。CSO高級作家Lucien Constantin 在《更具針對性、更復雜、更昂貴:為什么勒索軟件可能是最大的威脅》一文中警告我們,勒索軟件已變得如此隱秘和復雜,可以與高級持續(xù)威脅(APT)相媲美。此外,最近的安全事件也證明,勒索軟件攻擊者的目標已從勒索個體用戶轉(zhuǎn)移到了能夠提供更多贖金的企業(yè)組織。這個問題有多嚴重?FBI表示,雖然事件數(shù)量一直相對平穩(wěn),但支出卻更高。由于組織不愿報告勒索軟件的勒索事件,因此沒人真正知道具體情況。
網(wǎng)絡安全可能是一門沉悶的科學。隨著威脅的增加,甚至民主機構(gòu)也受到攻擊,似乎不僅是制度,而且文明本身也在受到圍攻。但是在這種情況下,只能鼓勵CSO及其企業(yè)組織加倍努力地開發(fā)出更為先進的安全防御體系。