信息來(lái)源:Freebuf
自2014年以來(lái),信息管理協(xié)會(huì)的權(quán)威調(diào)查IT趨勢(shì)研究數(shù)據(jù)顯示��,CIO在面對(duì)IT管理問(wèn)題時(shí)��,已經(jīng)將網(wǎng)絡(luò)安全提升至數(shù)一數(shù)二的位置了��。然而��,在2013年��,同樣的調(diào)查中��,網(wǎng)絡(luò)安全還只是第七的位置��。一年的時(shí)間發(fā)生了什么��?那不得不提的事件應(yīng)該是臭名昭著的Target數(shù)據(jù)泄露事件了��,該事件直接導(dǎo)致1850萬(wàn)美元的罰款和Target首席執(zhí)行官的離職��。
自那之后發(fā)生的一系列的數(shù)據(jù)泄露事件就像開(kāi)了閥門(mén)的水閘��,傾涌而出��,Target事件簡(jiǎn)直是小巫見(jiàn)大巫,不足為奇��。這給大家傳達(dá)了一個(gè)信息:年復(fù)一年��,隨著網(wǎng)絡(luò)威脅事件的數(shù)量和嚴(yán)重程度不斷攀升��,促使企業(yè)倒閉的數(shù)據(jù)泄露風(fēng)險(xiǎn)似乎越來(lái)越高��。
如今��,企業(yè)的首席安全官們就像握著這個(gè)燙手的山芋一樣��。有些人被迫采用一種單點(diǎn)解決方案來(lái)應(yīng)對(duì)每一個(gè)新的威脅��,而這種解決方案直接參與了安全軟件行業(yè)的營(yíng)銷(xiāo)策略��。然而��,任何組織的網(wǎng)絡(luò)安全預(yù)算都是有限的��。CSO如何最有效地分配其安全防御資源��?
簡(jiǎn)單的答案有兩個(gè):合理地確定風(fēng)險(xiǎn)的優(yōu)先級(jí)��,同時(shí)充分利用現(xiàn)有的有效防御措施��。在大多數(shù)組織中��,無(wú)可爭(zhēng)辯的是未修補(bǔ)的軟件和社會(huì)工程(包括網(wǎng)絡(luò)釣魚(yú))風(fēng)險(xiǎn)最高��,其次是密碼破解和軟件配置錯(cuò)誤��。減少政策因素和運(yùn)營(yíng)障礙��,確保及時(shí)進(jìn)行補(bǔ)丁修復(fù)��,建立有效的安全意識(shí)計(jì)劃��,培訓(xùn)操作人員鎖定配置并實(shí)施兩因素身份驗(yàn)證��,這樣企業(yè)將大大降低總體風(fēng)險(xiǎn)��。
當(dāng)然��,任何人都可以避免其他重大風(fēng)險(xiǎn)和漏洞��。例如��,如果是一家電力公司��,那么負(fù)責(zé)人需要了解對(duì)關(guān)鍵基礎(chǔ)設(shè)施針對(duì)性很強(qiáng)的威脅��,以及如何防御這些威脅。當(dāng)黑客真正入侵組織系統(tǒng)之后��,在系統(tǒng)內(nèi)部進(jìn)行身份驗(yàn)證的零信任措施則發(fā)揮作用��,阻止攻擊��。
將風(fēng)險(xiǎn)管理日?�;?
自軟盤(pán)時(shí)代以來(lái)��,惡意軟件和黑客攻擊就一直困擾著計(jì)算機(jī)用戶(hù)��。然而��,近幾年��,又出現(xiàn)了一種新的威脅��,創(chuàng)新壓力下的技術(shù)漏洞��。在CIO撰稿人Bob Violino的《安全vs 創(chuàng)新:IT行業(yè)最棘手的權(quán)衡》文章中就揭示了數(shù)據(jù)化變革時(shí)代的陰暗面��,文章的核心觀點(diǎn)就是如果以安全和隱私為代價(jià)��,那么中變革性的創(chuàng)舉也將會(huì)失敗��,而且還可能會(huì)以驚人的方式失敗��。所以在創(chuàng)新時(shí)也要考慮到安全架構(gòu)��,這樣子不但有利于整體創(chuàng)新的成功還會(huì)增加最終成果的吸引力��。
InfoWorld特約編輯Isaac Sacolick在《如何將安全性引入靈活開(kāi)發(fā)和CI / CD中》一文中從軟件開(kāi)發(fā)的角度詳細(xì)探討了該主題��。開(kāi)發(fā)人員往往會(huì)認(rèn)為安全性不是他們的問(wèn)題��,而是將這個(gè)責(zé)任推到安全團(tuán)隊(duì)身上��,而安全團(tuán)隊(duì)是在后期才參與到開(kāi)發(fā)過(guò)程中來(lái)的��,因此無(wú)法注意到在構(gòu)建應(yīng)用程序時(shí)��,業(yè)務(wù)流程中存在的漏洞��。DevSpsOps是DevOps的產(chǎn)物��,這讓安全性成為開(kāi)發(fā)人員和操作人員的主要關(guān)注點(diǎn)��,不僅避免了代碼缺陷��,而且還使安全測(cè)試自動(dòng)化��,并在應(yīng)用程序投入生產(chǎn)后對(duì)其進(jìn)行監(jiān)控。
《計(jì)算機(jī)世界》高級(jí)記者Lucas Mearian也在《UEM最終會(huì)在漫長(zhǎng)的求愛(ài)之后嫁給安全》一文中探討過(guò)將安全集成到軟件中的話題��。過(guò)去��,使用MDM(移動(dòng)設(shè)備管理)��,EMM(企業(yè)移動(dòng)管理)或最新版本UEM(統(tǒng)一的端點(diǎn)管理)來(lái)管理移動(dòng)或桌面設(shè)備��,這與端點(diǎn)安全管理重疊了��,但仍需要單獨(dú)進(jìn)行��。據(jù)Lucas說(shuō)��,供應(yīng)商現(xiàn)在將兩者合并在一起��,以“提供一個(gè)集中化的策略引擎��,用單個(gè)控制臺(tái)管理和保護(hù)公司的筆記本電腦和移動(dòng)設(shè)備��?�!痹谀承┣闆r下��,這種發(fā)展涉及了機(jī)器學(xué)習(xí)算法,該算法基于一些參數(shù)自動(dòng)為用戶(hù)分配安全策略��,比如地理位置��、使用的設(shè)備類(lèi)型以及網(wǎng)絡(luò)連接是公共的還是私有的等��。
然而��,盡管有時(shí)候新的網(wǎng)絡(luò)安全技術(shù)大張旗鼓地出現(xiàn)��,而有些用戶(hù)仍毫不知情��。Network World的撰稿人Zeus Kerravala在《IT專(zhuān)業(yè)人員應(yīng)該了解但可能不知道的5種防火墻功能》中��,揭開(kāi)了現(xiàn)代防火墻的神秘面紗��,從網(wǎng)絡(luò)分段到策略?xún)?yōu)化再到DNS安全��。不費(fèi)吹灰之力就充分利用了防火墻的功能��, Zeus在書(shū)中提供了合理��、詳細(xì)的建議��。
最后��,我們所有人都必須做好準(zhǔn)備��,抵御當(dāng)下時(shí)代最?lèi)毫拥耐獠客{——勒索軟件��。CSO高級(jí)作家Lucien Constantin 在《更具針對(duì)性��、更復(fù)雜��、更昂貴:為什么勒索軟件可能是最大的威脅》一文中警告我們��,勒索軟件已變得如此隱秘和復(fù)雜��,可以與高級(jí)持續(xù)威脅(APT)相媲美��。此外��,最近的安全事件也證明��,勒索軟件攻擊者的目標(biāo)已從勒索個(gè)體用戶(hù)轉(zhuǎn)移到了能夠提供更多贖金的企業(yè)組織��。這個(gè)問(wèn)題有多嚴(yán)重��?FBI表示��,雖然事件數(shù)量一直相對(duì)平穩(wěn)��,但支出卻更高。由于組織不愿報(bào)告勒索軟件的勒索事件��,因此沒(méi)人真正知道具體情況��。
網(wǎng)絡(luò)安全可能是一門(mén)沉悶的科學(xué)��。隨著威脅的增加��,甚至民主機(jī)構(gòu)也受到攻擊��,似乎不僅是制度��,而且文明本身也在受到圍攻��。但是在這種情況下��,只能鼓勵(lì)CSO及其企業(yè)組織加倍努力地開(kāi)發(fā)出更為先進(jìn)的安全防御體系��。
