安全新觀察:聚焦風險和人 少關注設備和數據
我們將在海灘作戰。我們將在敵人的登陸點作戰。我們將在田野和街巷作戰。我們將在山區作戰。我們決不投降,”這是英國著名首相溫斯頓·丘吉爾于1940年6月在面對納粹德國對英國可能發動的進攻時所作的著名演講的片段。而在此前的另一次著名演講中,他更聲稱,我們的目標只有一個,那就是勝利,而“不論前路如何漫長、如何艱苦。”這對于企業所面對的安全戰斗來說,可以說是一個非常適切的類比。
網絡犯罪分子們如今無處不在,而且狡猾詭詐,無孔不入。所以當客戶、投資人和監管者們期待安全人員能夠全面保護組織和機構的寶貴資產以及隱私時,我們卻很難做到像丘吉爾那樣樂觀,尤其是我們本應該仰仗的一些政府部門和廠商,也在私下損害著我們的數據、軟件和網絡。
捍衛安全的戰爭比以往任何時候都更加嚴峻。大多數組織還是在用昨天的工具和方法對抗著今天的敵人——他們徒勞地用密碼和防火墻防護著企業的邊界,這種做法是注定要失敗的。他們過分強調了數據與系統的隔離,還在錯誤地認為只要邊界安全就足夠了。
而我們與數十位安全專家、業界專家以及企業高管們的深度交流,卻揭示出了一個更適用于今日安全的架構。
聚焦風險和人 少關注設備和數據
更好的防范方法應圍繞風險意識來構建。最大的風險就是關鍵或敏感數據的丟失,所以我們必須對數據提供充分的保護。然而除此之外,還存在著其他諸多的風險,例如業務中斷、名譽受損、監管缺失、投資風險,以及知識產權被盜,等等。哪些危險對企業的傷害最大?如何評估這些威脅?怎樣才能根據影響最大到最小的順序防范這些威脅?很顯然,僅僅保護邊界是無法解決這些問題的。
舉個例子,Visa國際要負責對其所有信用卡處理流程的風險評估,包括但不限于對這些業務流程的技術支持。Visa負責信息安全、治理、風險及合規的前任副總裁喬治·托特夫說:“所謂風險,就是薄弱之處遇到了攻擊。所以,用全局觀去看待風險,才能為安全防范奠定堅固基礎。”
風險評估與風險防范的模式會因行業和企業的不同而有所不同。有些模式可能需要用到技術,有些可能需要改變流程,還有一些模式則有可能要求改變人的行為。出于合規性需要,有些企業除了自身的風險分析之外,還不得不處理其他一些形式的安全風險。此時的重點就成了如何才能在不會對企業的運營、財務或戰略帶來不必要負擔的情形下,有效地滿足合規性要求。
無論一家企業的風險哲學以及外部要求是什么,選擇并關注最高級別的風險都是最實際的。
但是,如何才能關注這些風險呢?大多數企業,以及安全廠商們,都把安全視為一種技術上的挑戰。它們一味地尋求能夠降低風險的軟件、硬件和服務識別功能,卻忽略了對人的關注——實際上正是人在創建和使用需要受保護的信息。事實上,很多組織恰恰把人的因素排除在了安全架構之外,因為它們最不信任的就是人。
對安全而言,不存在一招制敵的技術手段。而將人的因素剔除出安全架構,也只會導致人對安全的怠惰和漠不關心。人們會很自然地認為,出了安全問題,責任全在IT。今天的安全戰略為什么必須將主要的防范重點從設備轉向人,這就是原因。今天,所有成功的網絡攻擊,不論是采用社會工程學如釣魚手法,還是對自動售貨機硬件的物理攔截,都肯定會牽扯到人。
安全其實是關乎風險的一場動態游戲——換句話說,當魔高一尺時,你能否道高一丈?“動態”和“游戲”這兩個詞是彼此相關聯的。安全同樣遵循熵的定律:如果能量無法補充,遲早都會耗盡。因此,我們需要常態化的警覺。而游戲心態對于保持主動和自適應的警覺來說至關重要。
說到底,每一個新的防范措施都會很快遭遇一輪新的攻擊伎倆的挑戰。這正是人類最擅長的游戲。所以企業應該鼓勵自己的人員充分發揮人類的能力,而不應將他們排除在防范措施之外。
企業還需要時刻洞察制造威脅的那些人的心態。既然他們是在游戲你的員工,那你當然也得游戲他們,因此企業的員工需要主動參與進來作你的耳目,而不能作耳聾目盲的用戶。
簡言之,不要把自己人當成問題去限制,而是要讓他們參與到安全解決方案中來。#p#
新安全模式的五個維度
盡管我們距離完美的安全狀態相距甚遠,但已有足可信賴的一些新模式開始出現,允許企業進行必要的調整。新模式作的是加法。在有最高風險的領域必須繼續實行最佳實踐,同時在改進的防御方案中將風險和人的因素結合起來。
新的模式具有以下五個維度:
1. 讓IT只聚焦于核心的關鍵資產。 2. 用多層級防御系統保護關鍵資產。 3. 鼓勵人們使用信息技術保護與工作相關的資產。 4. 與業務合作伙伴一起改進彼此的免疫系統。 5. 讓安全成為業務問題而非IT問題。
1. 讓IT只聚焦于核心的關鍵資產
完美的安全是不可能的。要想一視同仁地保護所有資產的安全也是不可持續的。
因此基于風險的“盡力而為”方法才是比較合理的。要將企業的優勢力量用于對業務最具價值和有最大影響的所在。如此一來,也就自然分出了風險的優先防御級別。對于早就熟悉業務連續性和災難恢復的CIO[注]和其他IT負責人來說,這并不陌生。
確定組織里最有價值的資產是非常重要的,但這也經常會引起爭議。一些組織認為數據是最有價值的資產,需要保護。但是如果風險涉及到一組資產(數據、軟件、網絡和人員等)時,就很顯然需要更多地思考對多種資產的滲透和攻擊。
而在今天的企業信息安全領域中,對企業的信息資產進行分類以便確定風險等級的想法卻是最少見的因素。
這種基于風險的安全方法實現起來并不容易,對很多組織來說,它需要思想上的一次大的變化。當然,促成這樣的變化有一個很好的理由:資產儲備越多,規則越復雜,要保護這些資產就會越困難。而一個更專注且復雜性較少的方法自然能夠更好地平衡風險和效益,讓組織能夠實現必要的安全保護。#p#
2. 用多層級防御系統保護關鍵資產
任何想要實現百分百防御的方法都是注定會失敗的。因為沒有什么方法可以確保某個事物的絕對安全,所以我們要尋求彈性更大而不是絕對安全的方法。要認識到防御必須利用多種要素方可構建。
一個更好的安全模式就是生物系統,因為生物可以從感染或傷痛中自行恢復過來。生物系統會對首先被感染到的細胞進行隔離,從而限制更大范圍的系統感染。生物系統自我假設風險會不斷演進,而且可能會隨時發動攻擊。所有這些原則也都可適用于保護企業業務安全的技術和業務實踐。
企業也應假設自身時刻會受到損害,然后圍繞這一假設來制定戰略。如今,大多數企業都很明白,自己早已受到了傷害,這些傷害來自犯罪分子、競爭對手,或者政府部門。同時也要清楚,存在著很多的感染源,這些感染源包括但不限于數據中心、PC,或者移動設備。
絕大多數生物系統還會使用冗余的手段。安全措施也需如此。英特爾公司CIO金·史蒂文森描述了該公司基于這一原則而采用的很有效的三層模式。
利用只讀或者有隔斷的容器進行分層防護的方式是很有意義的,這就像一般人會把珍貴的珠寶鎖在家中,或者將愛車鎖在車庫中一樣。用這樣的方法,再結合一些基本的防護手段,例如密碼和登錄口令等,這就跟在你離開家的時候要鎖上門,然后設置好警報系統一樣。
針對軟件的多層防御系統需要較多地依賴人工檢查與軟件掃描相結合,來確認各種漏洞。可以利用一些技術,如風險分析和同業代碼評估,或者使用可檢查漏洞的商業軟件等,從而將安全嵌入到軟件開發的生命周期中去。目前,還沒有可檢查出所有漏洞的單一軟件包,所以必須利用多種不同的威脅識別軟件包,進行多次掃描,再加上人工檢查。Visa前任安全官托列夫說:“最好在設計階段就處理好各種漏洞,這要好于事后補救。”
要了解如何查找漏洞,一個很不錯的資源就是開放web應用安全項目(OWASP),這是一個非盈利組織,可提供對各種漏洞的洞察,并提出解決建議。
一個很關鍵的層就是身份管理。有好幾種技術可以實現這一點,可幫助用戶和系統跨越各種不同的障礙。到底需要設置多少身份檢查點,與風險分析直接相關。當然,還可以使用隔離手段,限制損害的進一步蔓延。
身份認證與隔離相結合的一個例子就是Saleforce.com。它使用雙要素認證兩次,才允許用戶訪問其生產環境,因為如果有人入侵了這里,后果可能非常嚴重。為了進入一個可信任環境,每個用戶必須首先符合雙要素認證,然后再符合另一個不同的雙要素認證,才能通過一臺沒有數據可以移動或復制的啞終端進入運營環境。而在訪問郵件時則采用了不同的認證標準,因為兩者的風險程度是不同的。
如果將其用于數據本身,身份管理可能會更有效。在信息化層面實施DRM(數字版權管理)可以將這種技術提升到一個新的保障水平——但這也只有在可以用標準方式進行部署時才有可能。可靠的身份再匹配上一致性和可攜帶許可,將會大大減少對信息的不適當訪問,即便是在設備和網絡遭到破壞時也可以如此。#p#
3. 鼓勵人們使用信息技術保護與工作相關的資產
有些最為復雜的威脅來自社會工程學攻擊,壞分子們往往利用社交媒體和郵箱聯系人入侵到一些毫無戒心的用戶終端里,他們尤其會針對企業高管和關鍵的業務運營人員下手。從這里,他們會蓄意地、悄悄地評估企業的安全規則,以及業務時如何依據安全規則運轉的。不知不覺間,你就成了壞分子與員工及業務合作伙伴之間的利用媒介了。
既然人常常被當作入侵的管道,自然也可以成為防御的前沿。我們不能再像過去二十年間標準的IT模式所做的那樣,把人自動排除在安全流程之外了。前PC時代“把緊口風”的管理風格今天仍然是有效的,它能讓保障企業安全成為每個員工的義務和責任,它將再次成為現代信息安全的核心部分。它不僅能幫助個人避免危險的泄密行為,還能讓企業擁有更多的耳目,可以觀察什么地方出了差錯。
把人帶回到安全架構中之后,自然不能忽略了對員工的培訓,提高其安全意識。人總是會將他們所學的東西用到實踐中去。美國長島大學就是一個很好的例子。幾年前該大學啟動了一個安全意識主動一致性計劃,希望從PC向iPad、移動應用和云服務做轉移。該大學因為有一所醫學院并且接受聯邦政府的貸款,所以必須符合HIPAA(醫療電子交換法案)和FRCP(聯邦民事訴訟法案)的規定,結果該大學的CIO[注]喬治·巴羅蒂發現,由于上述安全意識計劃的提前實施,他們可以很輕松地應對這些嚴苛的合規性要求。這其中的差異就在于,現在的IT架構鼓勵所有的學生和教職員成為合規意識的參與者,而不是只要求技術開發人員符合監管要求。
有些行業已經想出了如何讓員工在實現關鍵行為的過程中成為積極參與者的辦法。因為人天生就喜歡玩游戲,那么為員工創造游戲化的獎勵措施,以使其避免威脅或檢查威脅,可以作為一種非常有效的防御攻擊的手段。利用改進了的質量管理方法,有些企業已經采取了一些游戲化技術,例如定期公布員工的無事故天數,營造一個人人皆有安全意識,并樂于采取更安全行為的主動參與環境。令人高興的是,假如員工通過了篩查、培訓和監督后,被認為是值得信任的話,那么其他一些眾所周知的較低風險甚至會變得更低。
一個好消息是,CIO/CSO/普華永道的調查顯示,擁有以人為本的安全方法的企業比例占了相當大的份額,即便這些方法可能還算不上是一種整體性的、全企業范圍的方法。不過,全景式的方法對于成功來說是非常關鍵的,因為只有當企業建構并部署了一套完整的系統后,業務才能順暢地運轉起來。#p#
4. 與業務合作伙伴一起改進彼此的免疫系統
如今,我們生活在一個充斥著龐雜的數字信息和業務流程的世界里,其中包含著數不清的各種企業資源:材料、生產、配送、售后,以及技術支持等等。無論你的企業是在生產有形資產(如汽車和電子產品)還是在提供服務(如學校和醫院),都不可能脫離整個生態系統。
在過去十年中,由于外包(提供商、承包商和云服務)、分布式工作、分布式工作場所(分支辦公及家庭辦公)、外包工作場所(如呼叫中心),以及移動辦公等的興起,企業已經變得高度虛擬化了。
身處這樣的現代化數字生態系統中,已經沒有可能再圍繞什么東西建起一座隔離墻了。我們現在知道,傳統的防御手段,例如口令、防病毒、入侵檢測和其他基于簽名的檢測方法等,幾乎都是沒有效果的。威脅也已變成了動態的,甚至可以自適應的了。手段高超的犯罪分子們可以繞過用戶設備的密碼保護,直接進入服務器或網絡。而最近大量零售商用戶數據被盜的事件,以及斯諾登事件的不斷發酵,使這種情況變得盡人皆知。就在很多企業在為iCloud或谷歌云究竟是不是一個威脅而煩惱不安時,它們的核心系統其實早已被深度入侵了。
可以說,關于企業的內、外部的概念已越來越模糊不清。結果就是,CIO[注]們的首要問題是如何面對層疊不窮的風險。客戶如果跟某個企業有接口,或許他們還能信任這家企業,但是如果再擴展到供應鏈中的其他企業時,這種信任還會存在嗎?
你可以和供應商及業務合作伙伴一起將本文所描述的概念運用于所有的系統,而不是只運用于其中一個系統。說到底,所有系統都會相互作用,彼此之間的連接會多到任何人都無法想象,因此,擁有一個通用的安全框架可能會好于擁有多個安全框架。
分享最佳實踐也能起到協同作用。彼此間開展積極的合作,其效果會遠遠好于只使用合同上寫明的威脅防范措施。
可以想見,來自企業的客戶、監管機構、投資人和其他人的安全需求會更多,你需要向他們說明自身的安全實力,或許還需要獨立測試來自這些方面的防御措施。作為這種保障措施的一部分,還需要一份“適用性聲明”,其中應詳細規定,必須提供哪些安全措施。這跟我們在本文中提到的“安全不可能面面俱到”的原則有關。盡管這樣一來,安全的成本會有所上升,但如果只關注真正重要的事情,成本應該可以控制在合理的水平。
有些企業會采取所謂“安全清單”的辦法,詳細列明他們所遵循的策略,并向合作伙伴解釋哪些信息是必須向監管者及客戶提交的。采用這樣的辦法不是因為它能夠運轉,而是它可以將司法風險或罰款風險降到最小。這種清單式的方法可以說是針對安全現狀的一種無奈之舉——是在眼下的周邊安全方法已不適用,但又沒有更好的替代手段可以使用時的一種折中策略。
5. 讓安全成為業務問題而非IT問題
信息安全不只是一個IT問題或技術問題,本質上其實是一個管理問題,只是很少有企業會這樣對待它罷了。
一般而言,企業會將CIO和CISO視為信息安全的當然負責人,但是安全責任會在更廣的范圍內被分擔。假如損害是由IT部門以外的個人行為造成的,那么技術和安全部門就不能承擔責任。
如今是時候該考慮整體安全作為演進中的信息安全模式了。整體安全需采用多種技術和管理技巧,推動廣泛的參與和問責制,根據預估的風險和價值進行分層和調整。
廣泛的治理是關鍵,要在整個組織中采取行動并問責,鼓勵員工、客戶、供應商、管理層和董事會積極參與進來。需要管理風險評估,積極應對風險,還要能找得出應該負責的經理、員工以及業務合作伙伴——不要因IT或安全部門的技術失效時推卸責任。
舉例來說,營銷部門使用CIO批準使用的云提供商或商業分析提供商的服務,這些提供商的安全能力是否已得到證明?供應商是否使用了合規的安全流程來訪問關鍵的數據?董事會是否能通過受保護的渠道進行溝通,或者是否能通過開放環境下的郵箱來發送財務以及銷售數據附件?(郵件從來就不安全,而其末尾所附加的所謂法律聲明純屬自我安慰。)
