几十年时间考验的五大安全理念
虽然在过去几十年间,关于软件和硬件的安全建议一直在迭代更新,但是仍然存在一些基本的安全建议经受住了时间的考验,始终起着与其在20世界80年代同等重要的作用。
我们大家都有目共睹的一点是:数据安全行业在过去三十年间一直处于快速发展的状态之中,从最初出于“炫耀目的而进行的攻击”(20世纪90年代和21世纪初)发展到后来出于“金钱目的”和“黑客破坏主义”的攻击行为,再到当前破坏力更强的针对政府、企业和公共基础设施的民族国家黑客运动。
伴随着这些威胁的升级演变,企业的安全需求也开始随之增长。我们目睹了许多新技术的涌现——从防病毒软件和防火墙到数据丢失防护和日志管理,再到下一代SIEM(安全信息和事件管理)和威胁情报,所有这些新技术都有望帮助我们解决当前的网络安全困境。
过去几年中,我们经历过基础的客户端-服务器方案,以网络为中心、以服务器为中心、以工作负载为中心、以云为中心、以文件为中心,甚至开始以区块为中心的各种安全建议的兴起和衰落。
然而,在这众多出现又消失的建议之中,我们发现了一些基本的安全理念经受住了时间的考验。以下是了五个成功经受住时间考验的安全认知或理念:
一、钱不是万能的
多年来,企业一直以被动的姿势与先进的恶意软件和网络犯罪分子作斗争,与此同时,新的安全挑战和监管要求也同样处于被动的响应状态之中:企业只知道耗费财力购买新技术,并雇用更多的员工和合作伙伴来管理这些技术。这种方法最终造成了企业安全危机,因为安全团队并不清楚公司拥有哪些资产,而且基础设施臃肿且难以管理。
这种被动的安全战略不仅浪费金钱,而且会导致IT基础架构中混杂各种点解决方案,而这些点解决方案之间通常无法协调运作。很多时候,这会导致网络基础(企业自以为已经构建成功)出现裂缝,为网络犯罪分子入侵留有可乘之机。事实表明,更多的安全支出并不总是意味着能够减少安全事故。
组织必须重新思考自己应该如何处理安全支出。在每次购买新产品之前,企业必须认真衡量自身对最佳技术的需求性,以及其对建立安全基础设施的重要意义。为了应对技能日益精湛的网络犯罪分子,企业必须将自身的安全基础设施和运营方式从被动、笨拙和以产品为中心,转化为有计划、可预测以及以优化和协调为中心的模式。
二、人是最薄弱的环节
安全倡导者多年来一直在警告“内部威胁“的危害性。一些想要窃取公司数据的恶意雇员和其他内部人士,会在未经授权的情况下访问企业机密的系统和服务器,并执行恶意软件来损害公司网络。当然也会存在一些意外情况,例如员工错误地将机密数据存放在云中,虽然这种方式是无意的,但同样具有破坏性。
如今,还存在第三种因素能够加剧这种内部威胁:网络安全技能的长期短缺致使聘用足够的资源来管理如此复杂的基础设施变得异常困难。结果导致IT团队出现了职业倦怠(burnout,即个体在工作重压下产生的身心疲劳与耗竭的状态),并最终导致安全防御方面出现空白。这就解释了为什么如此多的数据泄露事件并不是由精心部署的网络攻击造成的,而多是由简单的人为错误(包括配置错误、未打补丁的系统以及其他基本卫生因素)引起的。
公司所需的并不是“更多“而是”正确“——正确的安全战略、正确的基础设施以及正确的安全政策和流程。优化网络安全组合是企业必须迈出的第一步,它可以帮助实现安全更简单、管理更便捷以及成本更低廉,在减轻安全专业人员负担的情况下,允许他们可以优先考虑更具保护和业务价值的更高级任务。
三、员工可以成为第一道防线
虽然员工可能会为企业带来严重的安全风险,但是他们也可以成为企业应对网络犯罪分子的第一道防线。帮助他们实现这一角色最有效的方法就是创建一个强大的网络安全文化,鼓励和奖励员工的安全意识和安全在线行为。
如果员工理解自身在维护公司网络和数据方面的重要性,他们将更倾向于实现自己的责任并遵守公司的政策。因此,组织网络安全教育和培训计划是非常重要的,它可以教导员工有关网络犯罪分子的攻击手段和策略,例如勒索软件和网络钓鱼,以及在发现威胁时应该如何应对等。
此外,清楚地解释员工如何管理自己的在线活动,并定义“可接受“和”不可接受“的公司网络、软件和设备的访问和使用方式也是同样重要的环节。为了推进网络安全行为实践以及调动员工的参与度,企业可以考虑制定奖励计划,举办月度知识竞赛或是推出游戏化项目等。
在意识、培训和明确的安全政策的基础上,构建强大的网络安全文化需要付出大量的时间和心血,但是最终的结果一定会证实一切前期投入都是值得的。
四、 漏洞修复的作用不容忽视
在下一代网络安全工具时代,漏洞修复看起来像是一项微不足道的任务,但不可否认的是,它是强大的网络安全计划不可或缺的重要组成部分——Meltdown(熔断)和Spectre(幽灵)漏洞事件已经向我们证实了这一事实。与之前普遍存在的漏洞修复工作相比,修复Meltdown / Spectre漏洞所需的努力水平可能要呈指数级增长。
造成漏洞修复工作存在差异的影响因素包括:所需补丁的数量,将正确补丁放在正确系统上的复杂性,以及了解补丁对受影响系统和应用程序的性能和稳定性影响所需的测试等。由于公司无法更新老旧设备,使得补丁管理问题变得更为严重,因为老旧系统上的修复工作比新系统的修复更困难。
在新产品更新迭代日新月异的时代中,企业必须将重点放在基础问题上,将基本的安全技术和流程(如漏洞修复)置于最佳位置,以最大限度地降低风险,维护基础设施安全,厘清当前的混乱状态。
五、安全是一个业务问题
首席信息官(CIO)和首席信息安全官(CISO)过去曾一直很难入主高级管理层和董事会。造成这一现象的其中一个主要原因是他们无法以其他管理人员和董事会成员能够理解的方式来表达清楚自己的业务;他们也无法将安全支出与公司的总体风险状况相关联。结果,由于战略决策是在没有安全投入或很少投入的情况下运作的,他们也很难确保业务运营的效率。
虽然该问题多年来一直存在,但在许多公司安全依然属于不成熟的领域。安全管理人员必须通过直观数据和关键绩效指标,才能开始以可理解和有意义的方式报告其运营情况。通过和其他业务部门保持一致的方式对安全运营进行预算和评估,将有助于安全管理人员在业务战略和规划中发挥更加突出的作用,同时使企业能够准确地将安全投资与风险状况联系起来。
除此之外,能够说出“业务语言”将成为助力安全管理人员获得高级管理层和董事会席位的唯一最重要的因素。