信息來源:Freebuf
自2014年以來��,信息管理協(xié)會的權(quán)威調(diào)查IT趨勢研究數(shù)據(jù)顯示��,CIO在面對IT管理問題時��,已經(jīng)將網(wǎng)絡(luò)安全提升至數(shù)一數(shù)二的位置了�。然而����,在2013年�,同樣的調(diào)查中��,網(wǎng)絡(luò)安全還只是第七的位置�。一年的時間發(fā)生了什么?那不得不提的事件應該是臭名昭著的Target數(shù)據(jù)泄露事件了����,該事件直接導致1850萬美元的罰款和Target首席執(zhí)行官的離職。
自那之后發(fā)生的一系列的數(shù)據(jù)泄露事件就像開了閥門的水閘���,傾涌而出�,Target事件簡直是小巫見大巫���,不足為奇����。這給大家傳達了一個信息:年復一年����,隨著網(wǎng)絡(luò)威脅事件的數(shù)量和嚴重程度不斷攀升,促使企業(yè)倒閉的數(shù)據(jù)泄露風險似乎越來越高����。
如今����,企業(yè)的首席安全官們就像握著這個燙手的山芋一樣��。有些人被迫采用一種單點解決方案來應對每一個新的威脅����,而這種解決方案直接參與了安全軟件行業(yè)的營銷策略。然而���,任何組織的網(wǎng)絡(luò)安全預算都是有限的���。CSO如何最有效地分配其安全防御資源?
簡單的答案有兩個:合理地確定風險的優(yōu)先級���,同時充分利用現(xiàn)有的有效防御措施��。在大多數(shù)組織中���,無可爭辯的是未修補的軟件和社會工程(包括網(wǎng)絡(luò)釣魚)風險最高,其次是密碼破解和軟件配置錯誤�。減少政策因素和運營障礙��,確保及時進行補丁修復,建立有效的安全意識計劃��,培訓操作人員鎖定配置并實施兩因素身份驗證����,這樣企業(yè)將大大降低總體風險。
當然�,任何人都可以避免其他重大風險和漏洞。例如����,如果是一家電力公司,那么負責人需要了解對關(guān)鍵基礎(chǔ)設(shè)施針對性很強的威脅��,以及如何防御這些威脅�。當黑客真正入侵組織系統(tǒng)之后,在系統(tǒng)內(nèi)部進行身份驗證的零信任措施則發(fā)揮作用��,阻止攻擊��。
將風險管理日?�;?
自軟盤時代以來����,惡意軟件和黑客攻擊就一直困擾著計算機用戶�。然而���,近幾年��,又出現(xiàn)了一種新的威脅����,創(chuàng)新壓力下的技術(shù)漏洞����。在CIO撰稿人Bob Violino的《安全vs 創(chuàng)新:IT行業(yè)最棘手的權(quán)衡》文章中就揭示了數(shù)據(jù)化變革時代的陰暗面,文章的核心觀點就是如果以安全和隱私為代價�,那么中變革性的創(chuàng)舉也將會失敗,而且還可能會以驚人的方式失敗����。所以在創(chuàng)新時也要考慮到安全架構(gòu),這樣子不但有利于整體創(chuàng)新的成功還會增加最終成果的吸引力�。
InfoWorld特約編輯Isaac Sacolick在《如何將安全性引入靈活開發(fā)和CI / CD中》一文中從軟件開發(fā)的角度詳細探討了該主題。開發(fā)人員往往會認為安全性不是他們的問題����,而是將這個責任推到安全團隊身上���,而安全團隊是在后期才參與到開發(fā)過程中來的,因此無法注意到在構(gòu)建應用程序時���,業(yè)務流程中存在的漏洞��。DevSpsOps是DevOps的產(chǎn)物,這讓安全性成為開發(fā)人員和操作人員的主要關(guān)注點���,不僅避免了代碼缺陷�,而且還使安全測試自動化���,并在應用程序投入生產(chǎn)后對其進行監(jiān)控���。
《計算機世界》高級記者Lucas Mearian也在《UEM最終會在漫長的求愛之后嫁給安全》一文中探討過將安全集成到軟件中的話題。過去���,使用MDM(移動設(shè)備管理)����,EMM(企業(yè)移動管理)或最新版本UEM(統(tǒng)一的端點管理)來管理移動或桌面設(shè)備��,這與端點安全管理重疊了,但仍需要單獨進行��。據(jù)Lucas說����,供應商現(xiàn)在將兩者合并在一起,以“提供一個集中化的策略引擎��,用單個控制臺管理和保護公司的筆記本電腦和移動設(shè)備����。”在某些情況下���,這種發(fā)展涉及了機器學習算法����,該算法基于一些參數(shù)自動為用戶分配安全策略���,比如地理位置��、使用的設(shè)備類型以及網(wǎng)絡(luò)連接是公共的還是私有的等���。
然而����,盡管有時候新的網(wǎng)絡(luò)安全技術(shù)大張旗鼓地出現(xiàn)��,而有些用戶仍毫不知情����。Network World的撰稿人Zeus Kerravala在《IT專業(yè)人員應該了解但可能不知道的5種防火墻功能》中,揭開了現(xiàn)代防火墻的神秘面紗�,從網(wǎng)絡(luò)分段到策略優(yōu)化再到DNS安全���。不費吹灰之力就充分利用了防火墻的功能��, Zeus在書中提供了合理�、詳細的建議����。
最后,我們所有人都必須做好準備����,抵御當下時代最惡劣的外部威脅——勒索軟件。CSO高級作家Lucien Constantin 在《更具針對性、更復雜��、更昂貴:為什么勒索軟件可能是最大的威脅》一文中警告我們��,勒索軟件已變得如此隱秘和復雜�,可以與高級持續(xù)威脅(APT)相媲美。此外���,最近的安全事件也證明�,勒索軟件攻擊者的目標已從勒索個體用戶轉(zhuǎn)移到了能夠提供更多贖金的企業(yè)組織��。這個問題有多嚴重��?FBI表示���,雖然事件數(shù)量一直相對平穩(wěn)���,但支出卻更高。由于組織不愿報告勒索軟件的勒索事件��,因此沒人真正知道具體情況����。
網(wǎng)絡(luò)安全可能是一門沉悶的科學��。隨著威脅的增加����,甚至民主機構(gòu)也受到攻擊��,似乎不僅是制度�,而且文明本身也在受到圍攻。但是在這種情況下��,只能鼓勵CSO及其企業(yè)組織加倍努力地開發(fā)出更為先進的安全防御體系�。
