信息來源:企業(yè)網(wǎng)
如今,很多企業(yè)并沒有把工作重點放在他們面臨的實際安全威脅上��,這使他們的業(yè)務更加脆弱。如果他們相信事實而不是炒作的話�,那么這種情況可能會改變。
人類是一種有趣的生物�,很多時候并不會對自己的最佳利益做出正確的反應。例如���,大多數(shù)人乘坐飛機比乘坐汽車到機場要害怕得多�����,盡管乘車面臨的風險是乘坐飛機的數(shù)萬倍。更多的人害怕在海邊被鯊魚襲擊�����,卻不擔心在家里被自己的狗咬傷�����,即使被狗咬傷的可能性也會高出數(shù)十萬倍。人們即使知道并相信一個事件可能會發(fā)生�����,通常也很難對風險做出適當?shù)姆磻?���。而這種情況同樣適用于IT安全。
IT工作人員經(jīng)常在計算機安全防御系統(tǒng)花費大量的時間�、費用和其他資源,而這些安全防御措施并不能阻止對網(wǎng)絡攻擊對企業(yè)的最大威脅����。例如,當面對單個未修補程序需要更新以阻止威脅的事實時���,大多數(shù)公司除了修補這個程序之外�����,沒有做其他事情�。
此外��,還有很多這樣的例子,事實上�����,大多數(shù)公司很容易被黑客入侵�����,這足以證明威脅的嚴重性�����。然而即使面對這樣的事實��,很多企業(yè)也不會做他們應該實施的一些比較簡單的措施����。
這個問題帶來了很多困擾,關于為什么這么多的防御者不能很好地采取防御措施的原因�,其答案主要是缺乏重點。許多優(yōu)先考慮的事情占用著IT人員更多的注意力��,以至于他們可以做到的顯著改進安全防御的事情還沒有完成����,即使成本更低、速度更快�����、更容易實施����。
那么是什么原因?qū)е逻@種情況的發(fā)生,如何將正確的防御措施放在正確的位置��,以正確的方式抵抗網(wǎng)絡威脅呢?以下了解一下企業(yè)沒有專注于IT安全威脅的6個原因:
1.絕大多數(shù)的安全威脅是壓倒性的
全球每年將出現(xiàn)5000到7000個全新的威脅���,平均一天出現(xiàn)15個��,也就是說人們每天都面臨15個全新的問題�����,日復一日���,一直如此。IT工作人員就像消防隊員一樣每天接到更多的緊急呼叫求助�����,但并不是每個工作人員能夠充分應對這些威脅,所以他們必須進行分類��,并排列處理的優(yōu)先次序�����。
2.威脅炒作可能會分散對更嚴重威脅的關注
通常���,媒體所報道的威脅和脆弱性往往伴隨著大量的炒作與宣傳�。而一些安全防御廠商為了銷售自己的產(chǎn)品和服務��,也積極參與對這種威脅的炒作���,一些威脅往往會以令人毛骨悚然的名字命名��。
這并不能把所有的責任都推到計算機防御廠商身上����,因為銷售軟件或服務是他們的工作��。這將由消費者決定哪些事物值得他們關注����,而當每天面臨15個新的威脅時,安全人員保持關注是非常困難的��。
即使威脅和風險很大�,每一次威脅的過度報道都會讓人很難注意到真正的威脅。例如����,Meltdown(熔毀)和Spectre(幽靈)實際上是計算機世界所面臨的最大威脅之一。它們幾乎影響到所有主流的微處理器���,這將會讓攻擊者無形中利用計算機���,通常需要采用多個軟件和固件補丁來保護,而在解決問題時可能會顯著降低計算機處理速度�����。在許多情況下����,唯一的好辦法是購買一臺新電腦。Meltdown(熔毀)和Spectre(幽靈)是很大的威脅����,但專家表示���,無需對其大肆炒作。
但是���,除了網(wǎng)絡安全行業(yè)和一些主流媒體文章報道之外�����,人員的集體反應是越來越沉默��。通常當計算機安全發(fā)生大事時���,很多人都會問應該怎么做。Meltdown(熔毀)和Spectre(幽靈)被報道之后���,人們的反應不再那么強烈���。
因為應對Meltdown(熔毀)和Spectre(幽靈)通常需要固件補丁,用戶幾乎很難獨自處理�����。在未來的很多年里,全球?qū)⒂袛?shù)以億計的這樣的設備�����。為什么反應并不強烈?這是因為炒作疲勞����。每一個威脅都被過度夸大��,而當一個真正的全球性威脅出現(xiàn)時��,需要每個人都進行關注的時候卻并不在意����,并會認為他們的操作系統(tǒng)提供商或設備提供商會在適當?shù)臅r候修補它。坦率地說���,這兩個新威脅很可能會導致更多的微處理器錯誤��,被網(wǎng)絡攻擊者發(fā)現(xiàn)和利用��。
3.不良威脅情報干擾了關注焦點
部分原因是大多數(shù)企業(yè)自己的威脅情報在提醒他們需要擔心哪些威脅��。而威脅情報(TI)還應該關注數(shù)以千計的威脅�����,并告訴工作人員哪些威脅最可能進行攻擊����。與其相反,威脅情報(TI)的作用通常是用于進行炒作的放大器��。
想要知道大多數(shù)威脅情報部門是如何感染的?詢問對企業(yè)造成最大的損害的威脅是什么�。是惡意軟件、社交工程�����、密碼攻擊���、配置錯誤���、故意攻擊、加密不足?沒有哪一個TI團隊可以直截了當?shù)鼗卮?��,并且有?shù)據(jù)支持其結論�����。如果企業(yè)無法確定最大的威脅是什么����,那么如何才能最有效地應對正確的威脅呢?
4.合規(guī)性問題并不總是與安全最佳實踐保持一致
如果企業(yè)想要在計算機安全方面快速完成某些工作,需要了解是否符合法規(guī)要求�。企業(yè)的高級管理人員需要關注合規(guī)問題。在很多情況下����,他們可以承擔責任���,積極彌補合規(guī)缺陷�����。
不幸的是�,合規(guī)性和安全性并不總是一致的����。例如,一年前的最好的密碼建議����,卻違反了有關密碼的法律和監(jiān)管要求��。事實證明����,人們所認知的密碼安全的許多事情都在變化����,例如要求密碼的復雜性,網(wǎng)絡威脅隨時間而改變�。大多數(shù)法律和法規(guī)建議的創(chuàng)建者和維護者似乎都沒有注意到,即使遵循舊的密碼建議����,往往也會使企業(yè)的數(shù)據(jù)容易被泄露。
在這個問題上���,很多網(wǎng)站不會讓人們創(chuàng)建一個超過16個字符的密碼(而這樣的密碼將是非常強大的���,無論其復雜性如何),而密碼采用“特殊”的符號在理論上會使黑客的攻擊更加困難���,數(shù)據(jù)和研究顯示這在實際應用中顯然不是這樣�。
5. 太多項目分散資源
很多企業(yè)都有幾十個正在進行的安全項目�,每個安全項目都旨在保護企業(yè)的電腦和設備�����。在任何情況下���,這些項目中的一個或兩個如果完成,將提供其所需的大部分安全收益��,以顯著降低安全風險�。而實施數(shù)十個項目,將拆分有限的資源����。大多數(shù)項目即使完成�,也會被延遲和低效執(zhí)行。而IT安全世界的軟件價格昂貴��,并承諾項目不用工作人員監(jiān)督持續(xù)運作����。
6.寵物項目通常不是最重要的項目
更糟糕的是,大多數(shù)企業(yè)都有一個或兩個寵物項目�����。企業(yè)不了解自己公司的數(shù)據(jù)面臨的最大威脅是什么,他們會從其他項目中選拔出最優(yōu)秀�����、最聰明的團隊成員來完成他們的任務��,這其實影響了其他重要項目的實施�。
還有更多的例子說明為什么計算機維護者不把重點放在正確的事情上。企業(yè)通常從日常的威脅開始�,并且在項目鏈上受到許多其他因素的影響。解決問題的第一步是承認企業(yè)的安全有問題�����。而如果企業(yè)發(fā)現(xiàn)一些無效計算機防護措施��,那么是幫助團隊中的每個人了解問題��,并幫助他們更好地關注問題的時候了�。
