經受住時間考驗的五大安全理念
雖然在過去幾十年間,關于軟件和硬件的安全建議一直在迭代更新,但是仍然存在一些基本的安全建議經受住了時間的考驗,始終起著與其在20世界80年代同等重要的作用。
我們大家都有目共睹的一點是:數據安全行業在過去三十年間一直處于快速發展的狀態之中,從最初出于“炫耀目的而進行的攻擊”(20世紀90年代和21世紀初)發展到后來出于“金錢目的”和“黑客破壞主義”的攻擊行為,再到當前破壞力更強的針對政府、企業和公共基礎設施的民族國家黑客運動。
伴隨著這些威脅的升級演變,企業的安全需求也開始隨之增長。我們目睹了許多新技術的涌現——從防病毒軟件和防火墻到數據丟失防護和日志管理,再到下一代SIEM(安全信息和事件管理)和威脅情報,所有這些新技術都有望幫助我們解決當前的網絡安全困境。
過去幾年中,我們經歷過基礎的客戶端-服務器方案,以網絡為中心、以服務器為中心、以工作負載為中心、以云為中心、以文件為中心,甚至開始以區塊為中心的各種安全建議的興起和衰落。
然而,在這眾多出現又消失的建議之中,我們發現了一些基本的安全理念經受住了時間的考驗。以下是了五個成功經受住時間考驗的安全認知或理念:
一、錢不是萬能的
多年來,企業一直以被動的姿勢與先進的惡意軟件和網絡犯罪分子作斗爭,與此同時,新的安全挑戰和監管要求也同樣處于被動的響應狀態之中:企業只知道耗費財力購買新技術,并雇用更多的員工和合作伙伴來管理這些技術。這種方法最終造成了企業安全危機,因為安全團隊并不清楚公司擁有哪些資產,而且基礎設施臃腫且難以管理。
這種被動的安全戰略不僅浪費金錢,而且會導致IT基礎架構中混雜各種點解決方案,而這些點解決方案之間通常無法協調運作。很多時候,這會導致網絡基礎(企業自以為已經構建成功)出現裂縫,為網絡犯罪分子入侵留有可乘之機。事實表明,更多的安全支出并不總是意味著能夠減少安全事故。
組織必須重新思考自己應該如何處理安全支出。在每次購買新產品之前,企業必須認真衡量自身對最佳技術的需求性,以及其對建立安全基礎設施的重要意義。為了應對技能日益精湛的網絡犯罪分子,企業必須將自身的安全基礎設施和運營方式從被動、笨拙和以產品為中心,轉化為有計劃、可預測以及以優化和協調為中心的模式。
二、人是最薄弱的環節
安全倡導者多年來一直在警告“內部威脅“的危害性。一些想要竊取公司數據的惡意雇員和其他內部人士,會在未經授權的情況下訪問企業機密的系統和服務器,并執行惡意軟件來損害公司網絡。當然也會存在一些意外情況,例如員工錯誤地將機密數據存放在云中,雖然這種方式是無意的,但同樣具有破壞性。
如今,還存在第三種因素能夠加劇這種內部威脅:網絡安全技能的長期短缺致使聘用足夠的資源來管理如此復雜的基礎設施變得異常困難。結果導致IT團隊出現了職業倦怠(burnout,即個體在工作重壓下產生的身心疲勞與耗竭的狀態),并最終導致安全防御方面出現空白。這就解釋了為什么如此多的數據泄露事件并不是由精心部署的網絡攻擊造成的,而多是由簡單的人為錯誤(包括配置錯誤、未打補丁的系統以及其他基本衛生因素)引起的。
公司所需的并不是“更多“而是”正確“——正確的安全戰略、正確的基礎設施以及正確的安全政策和流程。優化網絡安全組合是企業必須邁出的第一步,它可以幫助實現安全更簡單、管理更便捷以及成本更低廉,在減輕安全專業人員負擔的情況下,允許他們可以優先考慮更具保護和業務價值的更高級任務。
三、員工可以成為第一道防線
雖然員工可能會為企業帶來嚴重的安全風險,但是他們也可以成為企業應對網絡犯罪分子的第一道防線。幫助他們實現這一角色最有效的方法就是創建一個強大的網絡安全文化,鼓勵和獎勵員工的安全意識和安全在線行為。
如果員工理解自身在維護公司網絡和數據方面的重要性,他們將更傾向于實現自己的責任并遵守公司的政策。因此,組織網絡安全教育和培訓計劃是非常重要的,它可以教導員工有關網絡犯罪分子的攻擊手段和策略,例如勒索軟件和網絡釣魚,以及在發現威脅時應該如何應對等。
此外,清楚地解釋員工如何管理自己的在線活動,并定義“可接受“和”不可接受“的公司網絡、軟件和設備的訪問和使用方式也是同樣重要的環節。為了推進網絡安全行為實踐以及調動員工的參與度,企業可以考慮制定獎勵計劃,舉辦月度知識競賽或是推出游戲化項目等。
在意識、培訓和明確的安全政策的基礎上,構建強大的網絡安全文化需要付出大量的時間和心血,但是最終的結果一定會證實一切前期投入都是值得的。
四、 漏洞修復的作用不容忽視
在下一代網絡安全工具時代,漏洞修復看起來像是一項微不足道的任務,但不可否認的是,它是強大的網絡安全計劃不可或缺的重要組成部分——Meltdown(熔斷)和Spectre(幽靈)漏洞事件已經向我們證實了這一事實。與之前普遍存在的漏洞修復工作相比,修復Meltdown / Spectre漏洞所需的努力水平可能要呈指數級增長。
造成漏洞修復工作存在差異的影響因素包括:所需補丁的數量,將正確補丁放在正確系統上的復雜性,以及了解補丁對受影響系統和應用程序的性能和穩定性影響所需的測試等。由于公司無法更新老舊設備,使得補丁管理問題變得更為嚴重,因為老舊系統上的修復工作比新系統的修復更困難。
在新產品更新迭代日新月異的時代中,企業必須將重點放在基礎問題上,將基本的安全技術和流程(如漏洞修復)置于最佳位置,以最大限度地降低風險,維護基礎設施安全,厘清當前的混亂狀態。
五、安全是一個業務問題
首席信息官(CIO)和首席信息安全官(CISO)過去曾一直很難入主高級管理層和董事會。造成這一現象的其中一個主要原因是他們無法以其他管理人員和董事會成員能夠理解的方式來表達清楚自己的業務;他們也無法將安全支出與公司的總體風險狀況相關聯。結果,由于戰略決策是在沒有安全投入或很少投入的情況下運作的,他們也很難確保業務運營的效率。
雖然該問題多年來一直存在,但在許多公司安全依然屬于不成熟的領域。安全管理人員必須通過直觀數據和關鍵績效指標,才能開始以可理解和有意義的方式報告其運營情況。通過和其他業務部門保持一致的方式對安全運營進行預算和評估,將有助于安全管理人員在業務戰略和規劃中發揮更加突出的作用,同時使企業能夠準確地將安全投資與風險狀況聯系起來。
除此之外,能夠說出“業務語言”將成為助力安全管理人員獲得高級管理層和董事會席位的唯一最重要的因素。
