2016年:安全將成為重中之重 2015-12-30
發(fā)布者:系統(tǒng)管理員
在高度危險(xiǎn)的網(wǎng)絡(luò)安全攻擊發(fā)生時(shí),如對(duì)零售商Target或家得寶的攻擊��,Sam Redden知道他們需要為此做好準(zhǔn)備了。這讓Brazos高等教育服務(wù)公司首席安全官Redden不得不召開一個(gè)會(huì)議向董事會(huì)匯報(bào)了他的擔(dān)憂�。Brazos高等教育服務(wù)公司負(fù)責(zé)提供數(shù)十億美元的學(xué)生貸款。
Redden稱���,他已經(jīng)就所密切關(guān)注的事情����,如IT部門對(duì)企業(yè)的保護(hù)和團(tuán)隊(duì)如何做好防范工作等與董事會(huì)進(jìn)行了積極溝通�����,為后續(xù)工作打好了基礎(chǔ)�����。即便這樣����,Redden稱:“我們也不能說自己已經(jīng)走到了不法分子的前面,因?yàn)檫@些不法分子一直是走在所有人前面的���?����!?/p>
美國Computerworld的年度預(yù)測(cè)調(diào)查共采訪了182名IT專業(yè)人員�,其中50%的受訪者表示他們計(jì)劃在未來12個(gè)月里增加安全技術(shù)方面的投資��。此外�����,當(dāng)受訪者被問及當(dāng)前他們所在機(jī)構(gòu)在用的最重要的技術(shù)項(xiàng)目名稱時(shí)�,12%的受訪者不假思索地表示是安全,而只有2%的受訪者認(rèn)為是向云計(jì)算遷移�����。
Geiger公司首席信息官Dale Denham稱:“當(dāng)我們看到大型機(jī)構(gòu)花了大量的資金來阻止數(shù)據(jù)泄露,但是仍然發(fā)生了數(shù)據(jù)泄露之后�,我們不得不認(rèn)為自己也將會(huì)遇到攻擊。我們必須要為此制定一個(gè)適用的計(jì)劃���?����!?/p>
大量攻擊者目前正在被更加有序地組織起來��,他們的攻擊能力也愈發(fā)的強(qiáng)大起來��。對(duì)于易受攻擊的網(wǎng)絡(luò)來說�����,攻擊者可利用的進(jìn)入點(diǎn)數(shù)量目前正在呈指數(shù)級(jí)增長(zhǎng)�,如具有IP連接功能的電視����、打印機(jī)、攝像頭,甚至是汽車都可能成為他們的進(jìn)入點(diǎn)�。市場(chǎng)研究機(jī)構(gòu)Gartner評(píng)估認(rèn)為在用的互聯(lián)物品到今年年底將增長(zhǎng)至49億部,比2014年增長(zhǎng)了30%����,到2020年將增長(zhǎng)至250億部�。
在這類企業(yè)需要面對(duì)的不斷演進(jìn)的安全威脅中,一個(gè)典型例子是SYNful Knock持續(xù)性惡意軟件�。該惡意軟件去年9月份在思科路由器上被發(fā)現(xiàn)。
愛達(dá)荷國家實(shí)驗(yàn)室網(wǎng)絡(luò)安全官Darren Van Booven稱:“這是首次發(fā)現(xiàn)利用思科路由器和交換機(jī)設(shè)備的惡意軟件��。機(jī)構(gòu)必須馬上做好應(yīng)對(duì)這類嚴(yán)重威脅的準(zhǔn)備�,而這需要我們不斷地調(diào)整我們的策略?����!?/p>
PayPal的首席信息安全官John Nai稱��,他將在2016年密切關(guān)注基礎(chǔ)設(shè)施的安全�����。他認(rèn)為:“基礎(chǔ)設(shè)施安全對(duì)我們非常重要����?!贝送?���,Nai還表示他認(rèn)為必須要以對(duì)這些基礎(chǔ)設(shè)施予以重視?���!霸S多公司都將重點(diǎn)放在了更為高級(jí)的功能上,但是我們真地需要對(duì)這些基礎(chǔ)性設(shè)施保持清醒的頭腦��。確保我們正在修補(bǔ)我們的基礎(chǔ)設(shè)施�����,為我們的臺(tái)式機(jī)打上補(bǔ)丁���,獲取能夠察看網(wǎng)絡(luò)中正在發(fā)生什么事件的操作功能�?���!?/p>
難以留住相關(guān)的人才是另一個(gè)管理方面的擔(dān)憂。其中的道理很簡(jiǎn)單�,那就是沒有足夠的安全專業(yè)人員��。在求職市場(chǎng)中�,這類人才的報(bào)酬非常高�����,已經(jīng)超出了許多公司的承受范圍����。
目前許多與安全相關(guān)的問題讓IT領(lǐng)導(dǎo)者寢食難安��。他們中的許多人不會(huì)這么拖下去����,他們會(huì)制訂行動(dòng)計(jì)劃。目前他們正在準(zhǔn)備反入侵策略����,培訓(xùn)人員或是對(duì)人員進(jìn)行再培訓(xùn),為已知的數(shù)據(jù)泄露和攻擊制訂災(zāi)難恢復(fù)計(jì)劃�。
更多的預(yù)算
安全專業(yè)人員可能會(huì)更為頻繁的召集董事會(huì)議,以進(jìn)行解釋�����。他們會(huì)讓這些會(huì)議討論提供更多的資源以保護(hù)企業(yè)系統(tǒng)和數(shù)據(jù)。受到高度關(guān)注的數(shù)據(jù)泄露事件會(huì)讓即便是技術(shù)出身的董事會(huì)成員也會(huì)關(guān)注安全的重要性�����。
一名不愿意透露姓名的中型制造企業(yè)的首席信息安全官稱:“與其去找董事會(huì)或首席信息官�����,與他們爭(zhēng)論所有安全開支的正確性�,我會(huì)等著讓董事會(huì)和首席信息官來找我?!?/p>
他稱“在某種程度上,這些受到高度關(guān)注的數(shù)據(jù)泄露事件會(huì)為我做宣傳�����。它們幾乎成為了我們的支票本�����?!辈贿^,他指出:“不要誤解���,這些威脅仍然存在�,并且非常可怕���?��!?/p>
安全經(jīng)理稱,他們會(huì)在安全預(yù)算中增加部分資金以便用于增強(qiáng)安全意識(shí)和相關(guān)的培訓(xùn)項(xiàng)目����。
Redden稱:“最大的挑戰(zhàn)在于員工。許多問題源自于員工打開了隱藏有木馬和惡意軟件的電子郵件�����?����!彼Q:“現(xiàn)在我們應(yīng)該回過頭去對(duì)用戶進(jìn)行培訓(xùn)�。在Brazos高等教育服務(wù)公司�,我們會(huì)對(duì)大多數(shù)遠(yuǎn)程用戶進(jìn)行額外的培訓(xùn)。我們會(huì)討論如何阻止其他人訪問他們的筆記本電腦����。這些筆記本電腦并不是個(gè)人設(shè)備����。我們會(huì)對(duì)此進(jìn)行著重強(qiáng)調(diào)��。端點(diǎn)保護(hù)是首要的問題�����?����!?/p>
美國馬里蘭州羅耀拉大學(xué)也非常重視用戶的培訓(xùn)工作�����。負(fù)責(zé)技術(shù)服務(wù)的助理副校長(zhǎng)兼首席信息官Louise Finn稱:“我們面臨的最大挑戰(zhàn)是我們的終端用戶��,因此我們正在提升網(wǎng)絡(luò)意識(shí)培訓(xùn)���?���!?/p>
該校近期聘用的安全運(yùn)營主管Patricia Malek稱���,他們?cè)?016年將對(duì)所有業(yè)務(wù)部門的員工展開面對(duì)面的基于場(chǎng)景的培訓(xùn)���。Finn稱:“我們并不是在大學(xué)的策略方面對(duì)他們展開培訓(xùn)���,而是在個(gè)人使用方面對(duì)他們進(jìn)行培訓(xùn),強(qiáng)調(diào)個(gè)人對(duì)數(shù)據(jù)的控制和數(shù)據(jù)泄露防護(hù)���?����!?/p>
堪薩斯市勞工銀行要求員工們每年必須要增加安全意識(shí)培訓(xùn)項(xiàng)目��。該銀行的信息安全官 Shaun Miller稱�,這一培訓(xùn)計(jì)劃放棄了一些沒有意義的項(xiàng)目��,因?yàn)橥{變化實(shí)在是太快��。
為了幫助員工們保持警惕性���,Miller會(huì)像網(wǎng)絡(luò)上的不法分子那樣發(fā)送一些釣魚郵件。如果用戶點(diǎn)擊了這些郵件中的鏈接�����,他們會(huì)被轉(zhuǎn)鏈接至一個(gè)登錄頁面,并且告訴他們應(yīng)該如何進(jìn)行防范���。Miller稱:“我不會(huì)為員工找麻煩的����。我只是做了與審計(jì)公司相同的事情���。員工會(huì)從他們的錯(cuò)誤行為中學(xué)到一些教訓(xùn)���。”
自營還是轉(zhuǎn)包?
此次調(diào)查中�,在希望2016年增加員工數(shù)量的受訪者中,有25%的人將安全方案作為推動(dòng)他們做出這一決定的因素���。33%的受訪者稱����,擁有他們所期望的安全技能的人才是2016年中最難以招聘到的人才���。
在采訪中��,中小型機(jī)構(gòu)的高管們稱��,他們會(huì)雇用那些擁有廣泛IT和安全技能的人才����,而不是如入侵檢測(cè)或防火墻等某一特定安全領(lǐng)域內(nèi)的經(jīng)驗(yàn)豐富的專家。
許多公司并不是通過雇用的途徑增加相關(guān)的專業(yè)知識(shí)�,而是將這方面的業(yè)務(wù)外包給數(shù)量日益增加的安全服務(wù)提供商。對(duì)于首席信息安全官來說����,外包的優(yōu)勢(shì)是回避了招聘到的安全專業(yè)人員被其他機(jī)構(gòu)挖走的風(fēng)險(xiǎn)。
圣迭哥Cabrillo信用合作社的首席技術(shù)官Frankie Duenas同時(shí)也一個(gè)由6名IT專業(yè)人員組成的部門的主管����。這個(gè)部門負(fù)責(zé)從安全和網(wǎng)絡(luò)到編程和日常運(yùn)營工作。在需要的時(shí)候�,他還會(huì)將一些安全幫助工作進(jìn)行外包。Duenas解釋稱:“為了應(yīng)對(duì)新出現(xiàn)的威脅或是復(fù)雜的安全軟件/服務(wù)的需求�,我們還為安全工作編制了一定的預(yù)算。由于網(wǎng)絡(luò)攻擊行為發(fā)展的很快以及我們需要有足夠的資金��,為此我們?cè)诿髂隇閼?yīng)急預(yù)算編列了雙倍的資金���?!?/p>
Geiger的Denham稱���,他雇用了第三方來提供入侵檢測(cè)和入侵防護(hù)服務(wù)����。公司還將通過PCI數(shù)據(jù)安全標(biāo)準(zhǔn)與審計(jì)和合規(guī)性檢查外包商展開合作����。他稱:“我并不希望我們?cè)贗T部門中雇用太多的安全專業(yè)人員?���!睘榇耍珿eiger將繼續(xù)與服務(wù)提供商合作以滿足他們的新需求��。
Denham稱:“安全工作從來都沒有結(jié)束之時(shí)�。你不會(huì)做所有的工作,同時(shí)你也不會(huì)迅速地完成它們���。它們總是超越了IT部門的處理能力�����?���!?/p>
安全永遠(yuǎn)都是一個(gè)關(guān)鍵的企業(yè)問題。安全工作也從來不會(huì)終結(jié)�����,因?yàn)楹诳涂偸窃趯ふ倚碌墓舴绞?���。PayPal的Nai稱,行業(yè)在應(yīng)對(duì)釣魚攻擊方面取得了很大的進(jìn)步�,但是這些不法分子已經(jīng)將重點(diǎn)轉(zhuǎn)移到了其它地方,如傳播惡意軟件上��。
他稱:“盡管我們?cè)诓粩嗟卦鰪?qiáng)某些領(lǐng)域��,但是這些壞家伙并不會(huì)放棄�����。他們也不會(huì)轉(zhuǎn)行����,轉(zhuǎn)而從事合法的工作�����。他們只是轉(zhuǎn)到了另一個(gè)攻擊向量上?����!?范范編譯)
