雖然在過去幾十年間,關於軟體和硬體的安全建議一直在迭代更新,但是仍然存在一些基本的安全建議經受住了時間的考驗,始終起著與其在20世界80年代同等重要的作用。
我們大家都有目共睹的一點是:資料安全產業在過去三十年間一直處於快速發展的狀態之中,從最初出於「炫耀目的而進行的攻擊」(20世紀90年代和21世紀初)發展到後來出於「金錢目的」和「駭客破壞主義」的攻擊行為,再到當前破壞力更強的針對政府、企業和公共基礎設施的民族國家黑客運動。
伴隨著這些威脅的升級演變,企業的安全需求也開始隨之成長。我們目睹了許多新技術的湧現——從防毒軟體和防火牆到資料遺失防護和日誌管理,再到下一代SIEM(安全資訊和事件管理)和威脅情報,所有這些新技術都有望幫助我們解決當前的網路安全困境。
過去幾年中,我們經歷過基礎的客戶端-伺服器方案,以網路為中心、以伺服器為中心、以工作負載為中心、以雲端為中心、以檔案為中心,甚至開始以區塊為中心的各種安全建議的興起和衰落。
然而,在這眾多出現又消失的建議之中,我們發現了一些基本的安全理念經受住了時間的考驗。以下是了五個成功經受時間考驗的安全認知或理念:
一、錢不是萬能的
多年來,企業一直以被動的姿勢與先進的惡意軟體和網路犯罪分子作鬥爭,同時,新的安全挑戰和監管要求也同樣處於被動的回應狀態:企業只知道耗費財力購買新技術,並僱用更多的員工和合作夥伴來管理這些技術。這種方法最終造成了企業安全危機,因為安全團隊並不清楚公司擁有哪些資產,基礎設施臃腫且難以管理。
這種被動的安全策略不僅浪費金錢,而且會導致IT基礎架構中混雜各種點解決方案,而這些點解決方案之間通常無法協調運作。很多時候,這會導致網路基礎(企業自以為已經建構成功)出現裂縫,為網路犯罪分子入侵留有可乘之機。事實表明,更多的安全支出並不總是意味著能夠減少安全事故。
組織必須重新思考自己該如何處理安全支出。在每次購買新產品之前,企業必須認真衡量自身對最佳技術的需求性,以及其對建立安全基礎設施的重要性。為了應對技能日益精湛的網路犯罪分子,企業必須將自身的安全基礎設施和運作方式從被動、笨拙和以產品為中心,轉化為有計劃、可預測以及以優化和協調為中心的模式。
二、人是最薄弱的環節
安全倡導者多年來一直在警告「內部威脅「的危害性。一些想要竊取公司資料的惡意員工和其他內部人士,會在未經授權的情況下存取企業機密的系統和伺服器,並執行惡意軟體來損害公司網路。當然也會存在一些意外情況,例如員工錯誤地將機密資料存放在雲端中,雖然這種方式是無意的,但同樣具有破壞性。
如今,還有第三種因素能夠加劇這種內部威脅:網路安全技能的長期短缺致使聘用足夠的資源來管理如此複雜的基礎設施變得異常困難。結果導致IT團隊出現了職業倦怠(burnout,即個體在工作重壓下產生的身心疲勞與耗竭的狀態),並最終導致安全防禦方面出現空白。這就解釋了為什麼如此多的資料外洩事件並不是由精心部署的網路攻擊造成的,而多是由簡單的人為錯誤(包括配置錯誤、未打補丁的系統以及其他基本衛生因素)引起的。
公司所需的並不是「更多「而是」正確「-正確的安全策略、正確的基礎設施以及正確的安全政策和流程。優化網路安全組合是企業必須邁出的第一步,它可以幫助實現安全更簡單、管理更便捷以及成本更低廉,在減輕安全專業人員負擔的情況下,允許他們可以優先考慮更具保護和業務價值的更高級任務。
三、員工可以成為第一道防線
雖然員工可能會為企業帶來嚴重的安全風險,但是他們也可以成為企業應對網路犯罪者的第一道防線。幫助他們實現這一角色最有效的方法是創建一個強大的網路安全文化,鼓勵和獎勵員工的安全意識和安全線上行為。
如果員工理解自身在維護公司網路和資料方面的重要性,他們將更傾向於實現自己的責任並遵守公司的政策。因此,組織網路安全教育和培訓計劃是非常重要的,它可以教導員工有關網路犯罪分子的攻擊手段和策略,例如勒索軟體和網路釣魚,以及在發現威脅時應該如何應對等。
此外,清楚地解釋員工如何管理自己的線上活動,並定義「可接受「和」不可接受「的公司網路、軟體和設備的存取和使用方式也是同樣重要的環節。為了推廣網路安全行為實踐以及調動員工的參與度,企業可以考慮制定獎勵計劃,舉辦每月知識競賽或推出遊戲化專案等。
在意識、培訓和明確的安全政策的基礎上,建立強大的網路安全文化需要付出大量的時間和心血,但是最終的結果一定會證實一切前期投入都是值得的。
四、漏洞修復的作用不容忽視
在下一代網路安全工具時代,漏洞修復看起來像是一項微不足道的任務,但不可否認的是,它是強大的網路安全計畫不可或缺的重要組成部分——Meltdown(熔化)和Spectre(幽靈)漏洞事件已經向我們證實了這一事實。與先前普遍存在的漏洞修復工作相比,修復Meltdown / Spectre漏洞所需的努力程度可能要呈指數級增長。
造成漏洞修復工作有差異的影響因素包括:所需修補程式的數量,將正確修補程式放在正確系統上的複雜性,以及了解修補程式對受影響系統和應用程式的效能和穩定性影響所需的測試等。由於公司無法更新舊舊設備,使得修補程式管理問題變得更為嚴重,因為舊系統上的修復工作比新系統的修復更困難。
在新產品更新迭代日新月異的時代中,企業必須將重點放在基礎問題上,將基本的安全技術和流程(如漏洞修復)置於最佳位置,以最大限度地降低風險,維護基礎設施安全,釐清目前的混亂狀態。
五、安全是一個業務問題
首席資訊長(CIO)和首席資訊安全長(CISO)過去曾一直很難入主高階管理層和董事會。造成這一現象的其中一個主要原因是他們無法以其他管理人員和董事會成員能夠理解的方式來表達清楚自己的業務;他們也無法將安全支出與公司的整體風險狀況相關聯。結果,由於策略決策是在沒有安全投入或很少投入的情況下運作的,他們也很難確保業務運作的效率。
雖然這個問題多年來一直存在,但在許多公司安全依然屬於不成熟的領域。安全管理人員必須透過直覺數據和關鍵績效指標,才能開始以可理解和有意義的方式報告其營運情況。透過和其他業務部門保持一致的方式對安全營運進行預算和評估,將有助於安全管理人員在業務策略和規劃中發揮更加突出的作用,同時使企業能夠準確地將安全投資與風險狀況聯繫起來。
除此之外,能夠說出「業務語言」將成為助力安全管理人員獲得高階管理層和董事會席位的唯一最重要的因素。
