2016年:安全將成為重中之重 2015-12-30
發(fā)布者:系統管理員
在高度危險的網(wǎng)絡(luò )安全攻擊發(fā)生時(shí)�,如對零售商Target或家得寶的攻擊����,Sam Redden知道他們需要為此做好準備了�。這讓Brazos高等教育服務(wù)公司首席安全官Redden不得不召開(kāi)一個(gè)會(huì )議向董事會(huì )匯報了他的擔憂(yōu)����。Brazos高等教育服務(wù)公司負責提供數十億美元的學(xué)生貸款��。
Redden稱(chēng)�����,他已經(jīng)就所密切關(guān)注的事情����,如IT部門(mén)對企業(yè)的保護和團隊如何做好防范工作等與董事會(huì )進(jìn)行了積極溝通�����,為后續工作打好了基礎�����。即便這樣�����,Redden稱(chēng):“我們也不能說(shuō)自己已經(jīng)走到了不法分子的前面��,因為這些不法分子一直是走在所有人前面的��?����!?/p>
美國Computerworld的年度預測調查共采訪(fǎng)了182名IT專(zhuān)業(yè)人員����,其中50%的受訪(fǎng)者表示他們計劃在未來(lái)12個(gè)月里增加安全技術(shù)方面的投資�����。此外�,當受訪(fǎng)者被問(wèn)及當前他們所在機構在用的最重要的技術(shù)項目名稱(chēng)時(shí)��,12%的受訪(fǎng)者不假思索地表示是安全�,而只有2%的受訪(fǎng)者認為是向云計算遷移���。
Geiger公司首席信息官Dale Denham稱(chēng):“當我們看到大型機構花了大量的資金來(lái)阻止數據泄露�����,但是仍然發(fā)生了數據泄露之后���,我們不得不認為自己也將會(huì )遇到攻擊�����。我們必須要為此制定一個(gè)適用的計劃�����?���!?/p>
大量攻擊者目前正在被更加有序地組織起來(lái)�,他們的攻擊能力也愈發(fā)的強大起來(lái)�����。對于易受攻擊的網(wǎng)絡(luò )來(lái)說(shuō)����,攻擊者可利用的進(jìn)入點(diǎn)數量目前正在呈指數級增長(cháng)���,如具有IP連接功能的電視�、打印機�����、攝像頭��,甚至是汽車(chē)都可能成為他們的進(jìn)入點(diǎn)��。市場(chǎng)研究機構Gartner評估認為在用的互聯(lián)物品到今年年底將增長(cháng)至49億部�����,比2014年增長(cháng)了30%����,到2020年將增長(cháng)至250億部�。
在這類(lèi)企業(yè)需要面對的不斷演進(jìn)的安全威脅中��,一個(gè)典型例子是SYNful Knock持續性惡意軟件�。該惡意軟件去年9月份在思科路由器上被發(fā)現���。
愛(ài)達荷國家實(shí)驗室網(wǎng)絡(luò )安全官Darren Van Booven稱(chēng):“這是首次發(fā)現利用思科路由器和交換機設備的惡意軟件�。機構必須馬上做好應對這類(lèi)嚴重威脅的準備��,而這需要我們不斷地調整我們的策略���?�!?/p>
PayPal的首席信息安全官John Nai稱(chēng)�,他將在2016年密切關(guān)注基礎設施的安全����。他認為:“基礎設施安全對我們非常重要�����?���!贝送?����,Nai還表示他認為必須要以對這些基礎設施予以重視�?!霸S多公司都將重點(diǎn)放在了更為高級的功能上����,但是我們真地需要對這些基礎性設施保持清醒的頭腦��。確保我們正在修補我們的基礎設施��,為我們的臺式機打上補丁����,獲取能夠察看網(wǎng)絡(luò )中正在發(fā)生什么事件的操作功能���?!?/p>
難以留住相關(guān)的人才是另一個(gè)管理方面的擔憂(yōu)�����。其中的道理很簡(jiǎn)單����,那就是沒(méi)有足夠的安全專(zhuān)業(yè)人員����。在求職市場(chǎng)中�,這類(lèi)人才的報酬非常高��,已經(jīng)超出了許多公司的承受范圍�����。
目前許多與安全相關(guān)的問(wèn)題讓IT領(lǐng)導者寢食難安�����。他們中的許多人不會(huì )這么拖下去����,他們會(huì )制訂行動(dòng)計劃��。目前他們正在準備反入侵策略�����,培訓人員或是對人員進(jìn)行再培訓��,為已知的數據泄露和攻擊制訂災難恢復計劃�。
更多的預算
安全專(zhuān)業(yè)人員可能會(huì )更為頻繁的召集董事會(huì )議�,以進(jìn)行解釋���。他們會(huì )讓這些會(huì )議討論提供更多的資源以保護企業(yè)系統和數據����。受到高度關(guān)注的數據泄露事件會(huì )讓即便是技術(shù)出身的董事會(huì )成員也會(huì )關(guān)注安全的重要性�。
一名不愿意透露姓名的中型制造企業(yè)的首席信息安全官稱(chēng):“與其去找董事會(huì )或首席信息官���,與他們爭論所有安全開(kāi)支的正確性�,我會(huì )等著(zhù)讓董事會(huì )和首席信息官來(lái)找我�����?�!?/p>
他稱(chēng)“在某種程度上��,這些受到高度關(guān)注的數據泄露事件會(huì )為我做宣傳��。它們幾乎成為了我們的支票本�?��!辈贿^(guò)�����,他指出:“不要誤解��,這些威脅仍然存在��,并且非??膳?����?�!?/p>
安全經(jīng)理稱(chēng)��,他們會(huì )在安全預算中增加部分資金以便用于增強安全意識和相關(guān)的培訓項目����。
Redden稱(chēng):“最大的挑戰在于員工�。許多問(wèn)題源自于員工打開(kāi)了隱藏有木馬和惡意軟件的電子郵件����?!彼Q(chēng):“現在我們應該回過(guò)頭去對用戶(hù)進(jìn)行培訓����。在Brazos高等教育服務(wù)公司����,我們會(huì )對大多數遠程用戶(hù)進(jìn)行額外的培訓���。我們會(huì )討論如何阻止其他人訪(fǎng)問(wèn)他們的筆記本電腦�����。這些筆記本電腦并不是個(gè)人設備�。我們會(huì )對此進(jìn)行著(zhù)重強調����。端點(diǎn)保護是首要的問(wèn)題��?��!?/p>
美國馬里蘭州羅耀拉大學(xué)也非常重視用戶(hù)的培訓工作���。負責技術(shù)服務(wù)的助理副校長(cháng)兼首席信息官Louise Finn稱(chēng):“我們面臨的最大挑戰是我們的終端用戶(hù)����,因此我們正在提升網(wǎng)絡(luò )意識培訓���?�!?/p>
該校近期聘用的安全運營(yíng)主管Patricia Malek稱(chēng)�����,他們在2016年將對所有業(yè)務(wù)部門(mén)的員工展開(kāi)面對面的基于場(chǎng)景的培訓���。Finn稱(chēng):“我們并不是在大學(xué)的策略方面對他們展開(kāi)培訓�,而是在個(gè)人使用方面對他們進(jìn)行培訓��,強調個(gè)人對數據的控制和數據泄露防護���?����!?/p>
堪薩斯市勞工銀行要求員工們每年必須要增加安全意識培訓項目�����。該銀行的信息安全官 Shaun Miller稱(chēng)����,這一培訓計劃放棄了一些沒(méi)有意義的項目�����,因為威脅變化實(shí)在是太快��。
為了幫助員工們保持警惕性�����,Miller會(huì )像網(wǎng)絡(luò )上的不法分子那樣發(fā)送一些釣魚(yú)郵件���。如果用戶(hù)點(diǎn)擊了這些郵件中的鏈接�����,他們會(huì )被轉鏈接至一個(gè)登錄頁(yè)面����,并且告訴他們應該如何進(jìn)行防范����。Miller稱(chēng):“我不會(huì )為員工找麻煩的���。我只是做了與審計公司相同的事情�。員工會(huì )從他們的錯誤行為中學(xué)到一些教訓�����?!?/p>
自營(yíng)還是轉包?
此次調查中�,在希望2016年增加員工數量的受訪(fǎng)者中����,有25%的人將安全方案作為推動(dòng)他們做出這一決定的因素�����。33%的受訪(fǎng)者稱(chēng)����,擁有他們所期望的安全技能的人才是2016年中最難以招聘到的人才����。
在采訪(fǎng)中���,中小型機構的高管們稱(chēng)���,他們會(huì )雇用那些擁有廣泛IT和安全技能的人才�����,而不是如入侵檢測或防火墻等某一特定安全領(lǐng)域內的經(jīng)驗豐富的專(zhuān)家�����。
許多公司并不是通過(guò)雇用的途徑增加相關(guān)的專(zhuān)業(yè)知識�,而是將這方面的業(yè)務(wù)外包給數量日益增加的安全服務(wù)提供商�����。對于首席信息安全官來(lái)說(shuō)���,外包的優(yōu)勢是回避了招聘到的安全專(zhuān)業(yè)人員被其他機構挖走的風(fēng)險�����。
圣迭哥Cabrillo信用合作社的首席技術(shù)官Frankie Duenas同時(shí)也一個(gè)由6名IT專(zhuān)業(yè)人員組成的部門(mén)的主管���。這個(gè)部門(mén)負責從安全和網(wǎng)絡(luò )到編程和日常運營(yíng)工作�。在需要的時(shí)候�����,他還會(huì )將一些安全幫助工作進(jìn)行外包���。Duenas解釋稱(chēng):“為了應對新出現的威脅或是復雜的安全軟件/服務(wù)的需求�����,我們還為安全工作編制了一定的預算����。由于網(wǎng)絡(luò )攻擊行為發(fā)展的很快以及我們需要有足夠的資金���,為此我們在明年為應急預算編列了雙倍的資金���?���!?/p>
Geiger的Denham稱(chēng)���,他雇用了第三方來(lái)提供入侵檢測和入侵防護服務(wù)�。公司還將通過(guò)PCI數據安全標準與審計和合規性檢查外包商展開(kāi)合作���。他稱(chēng):“我并不希望我們在IT部門(mén)中雇用太多的安全專(zhuān)業(yè)人員��?���!睘榇?��,Geiger將繼續與服務(wù)提供商合作以滿(mǎn)足他們的新需求�。
Denham稱(chēng):“安全工作從來(lái)都沒(méi)有結束之時(shí)���。你不會(huì )做所有的工作�����,同時(shí)你也不會(huì )迅速地完成它們�。它們總是超越了IT部門(mén)的處理能力�����?!?/p>
安全永遠都是一個(gè)關(guān)鍵的企業(yè)問(wèn)題�����。安全工作也從來(lái)不會(huì )終結����,因為黑客總是在尋找新的攻擊方式����。PayPal的Nai稱(chēng)���,行業(yè)在應對釣魚(yú)攻擊方面取得了很大的進(jìn)步��,但是這些不法分子已經(jīng)將重點(diǎn)轉移到了其它地方���,如傳播惡意軟件上�。
他稱(chēng):“盡管我們在不斷地增強某些領(lǐng)域�����,但是這些壞家伙并不會(huì )放棄�����。他們也不會(huì )轉行���,轉而從事合法的工作�。他們只是轉到了另一個(gè)攻擊向量上�?����!?范范編譯)
