“我們將在海灘上作戰(zhàn),我們將在著陸地面作戰(zhàn),我們將在田野和街頭作戰(zhàn),我們將在山區(qū)作戰(zhàn),我們決不投降!”溫斯頓?丘吉爾在1940年6月發(fā)表了他著名的演說,當(dāng)時英國面臨納粹的攻擊。丘吉爾當(dāng)年對勝利目標(biāo)的承諾,“但道路可能是漫長而艱難的,”對當(dāng)前企業(yè)面臨的安全戰(zhàn)役,是一個恰當(dāng)?shù)谋扔鳌?/p>
壞人是持久的,復(fù)雜的,他們正在做突襲。情況不容樂觀:當(dāng)客戶、投資者和監(jiān)管者期望我們完全保護(hù)珍貴的資產(chǎn)和保護(hù)隱私,而我們所依賴的一些政府和供應(yīng)商本身,正在損害我們的數(shù)據(jù)、軟件和網(wǎng)絡(luò)。
安全的斗爭比以往任何時候都更加艱難。大多數(shù)組織正在使用昨天的工具和方法應(yīng)對今天的戰(zhàn)爭-諸如以密碼和防火墻保護(hù)周邊-結(jié)果并不如意。過去的方式過分地強(qiáng)調(diào)隔絕我們的數(shù)據(jù)和系統(tǒng),以及一個錯位的信念,即安全邊界的方法是適當(dāng)?shù)摹?/p>
曾經(jīng)擔(dān)任迪斯尼、福特、旭電和大展集團(tuán)全球CIO的Bud Mathaisel,通過與數(shù)十名安全專家、行業(yè)專家和企業(yè)高管的對話,描繪了一個對今天來說更好的安全框架。以下是該框架的一些說明。
著眼于風(fēng)險和人,而不僅僅是設(shè)備和數(shù)據(jù)
一個更好的防御方法是圍繞風(fēng)險的觀念模式建立。是的,一個關(guān)鍵的風(fēng)險是關(guān)鍵或敏感數(shù)據(jù)的丟失,所以你必須充分地保護(hù)數(shù)據(jù)。不過,還有其他的風(fēng)險,如業(yè)務(wù)運(yùn)營中斷,名譽(yù)損害,違反法規(guī),投資風(fēng)險和知識產(chǎn)權(quán)損失。哪些危險可能對你傷害最大?你如何評價威脅?你將如何抵御這些威脅,將影響降到最低?邊界的保護(hù)往往不能解決這些問題。
例如,信用卡處理公司Visa國際組織承擔(dān)其所有流程全面的風(fēng)險評估,包括技術(shù)在哪里支持這些業(yè)務(wù)流程,但不限于此。“風(fēng)險是其中的一個漏洞形成了威脅,而以整體觀念考慮風(fēng)險是一個安全方法堅實可靠的基礎(chǔ),”前Visa信息安全、治理、風(fēng)險和法規(guī)遵從副總裁George Totev說。
從本質(zhì)上說,風(fēng)險評估就是當(dāng)你購買保險時你在做什么。當(dāng)你買保險的時候,你(或者至少你的保險公司)都在思考導(dǎo)致不良后果的漏洞。
風(fēng)險評估和風(fēng)險保護(hù)隨著行業(yè)和企業(yè)的不同而不同。有些需要技術(shù)的使用,有些需要過程的改變,有些需要人們的行為改變。某些機(jī)構(gòu)還被迫解決出于監(jiān)管需求而無關(guān)自身風(fēng)險分析的某種形式的安全風(fēng)險。他們關(guān)注的焦點變?yōu)橛行У貪M足該要求,而不會對他們的業(yè)務(wù)、財務(wù)狀況或策略造成不必要的負(fù)擔(dān)。
無論一個公司的風(fēng)險理念和它的外部需求,選擇和專注于最高的風(fēng)險是實用的方法。
但如何把重點放在那些風(fēng)險?大部分公司和安全廠商業(yè)都把安全當(dāng)做一項技術(shù)挑戰(zhàn)。他們想要讓軟件、硬件和服務(wù)識別和降低風(fēng)險。很少涉及他們的人——創(chuàng)建和使用被保護(hù)信息的那些人。許多組織積極從自己的安全方法排除人,因為他們不信任的人。
沒有安全的技術(shù)銀彈,并且自動化排除人的安全方程式,會導(dǎo)致人們懶惰,或?qū)Π踩魂P(guān)心的不利結(jié)果。畢竟,IT人員會照顧它,并在有泄漏或破壞時承擔(dān)責(zé)任。
這就是為什么今天的安全策略必須改變主要防御重點從設(shè)備到人。今天成功的關(guān)鍵攻擊涉及到人,他們可能使用社會工程學(xué)的方法,如網(wǎng)絡(luò)釣魚,攔截自動銷售終端上的硬件。
安全是風(fēng)險相對論的動態(tài)博弈,也就是說,你的防御比目前的威脅等級更高?“動態(tài)”和“游戲”兩個詞都是相關(guān)的。安全遵循熵定律:如果不持續(xù)更新,能量等級會下降。時刻保持警惕是必要的。對于保持主動警覺和自適應(yīng),一個游戲的心態(tài)是至關(guān)重要的。畢竟,每一個新的防御是一個新把戲的挑戰(zhàn)。人們天然精于此道,你應(yīng)該為防御系統(tǒng)注入人的能力,而不是自動化將他們趕跑。
你需要進(jìn)入創(chuàng)造威脅的人的觀念。是他們在和你的員工博弈,你需要和他們玩,而你的員工需要積極參與,成為你的眼睛和耳朵,而不是蒙蔽者。
換句話說,不要再把你的人當(dāng)做一個需要解決的問題,而是使他們成為解決方案的一部分。
新的安全模型的五個維度
經(jīng)過幾年的時間完善,足夠合理的模式已經(jīng)清晰,讓企業(yè)可以開始進(jìn)行必要的調(diào)整。新的模式是添加劑。你必須于風(fēng)險最高的領(lǐng)域繼續(xù)最佳的實踐,同時結(jié)合風(fēng)險,以人為本,改進(jìn)防御。
新的模型包括如下五個方面:
縮小信息安全焦點到核心、關(guān)鍵資產(chǎn)。
以多層防御系統(tǒng)保護(hù)關(guān)鍵資產(chǎn)。
雇傭使用信息來保護(hù)他們從事的資產(chǎn)的人。
與業(yè)務(wù)伙伴結(jié)盟,以提高他們(和你的)的免疫系統(tǒng)。
把安全看成業(yè)務(wù)問題,而不只是IT的問題。
京公網(wǎng)安備 11010502049343號