當前,面對頻發的網絡攻擊事件,企業網絡仿佛裸奔一般毫無防護性可言,甚至令人懷疑部署于IT系統中的網絡安全設備都形同虛設。然而從知名網絡巨頭思科(Cisco)近期所發布的“2015年度安全報告”中了解到,業內有高達75%的首席信息安全官都相信自己公司所部署的安全設備、解決方案非常或極為有效。那么假使這些設備或方案有效,為什么企業的信息安全問題還會層出不窮呢?
信息安全狀況并不容樂觀
下面就來回顧下2014年曝出的若干影響廣泛的信息安全事件吧。
·2014年,Sony影業被黑,據稱有110TB的資料被黑客盜走,包括部分還未上映的電影,以及大量員工的個人信息,并且將公司電腦硬盤中的資料撤底抹除。
·去年10月摩根大通被黑,導致近7600萬個家庭和700萬家小型企業的客戶資料外泄,而摩根大通在黑客攻擊行動開始后兩個月才發現其網絡被黑。
·美國白宮網絡遭受攻擊,但白宮強調黑客入侵的是“總統辦公室的非機密網絡”,機密資料并沒丟失。
·南韓核電廠網絡被黑,電廠平面圖等敏感信息外泄,黑客以此威脅南韓關閉核電廠反應爐。
·名為“暗黑飯店”(Darkhotel)的APT攻擊被曝出,黑客借此入侵飯店Wi-Fi再入侵房客的電腦,隨后鎖定制造、投資、國防、汽車等企業高級主管作為對象,范圍包括中國、日本、南韓等亞太地區國家,此攻擊行動至少從2007年開始。
信息安全狀況并不容樂觀
不難看出,從國際影視、金融巨擘,甚至政府、國家公共事業,到公共區域的Wi-Fi,在安全威脅面前都無一幸免。因此上述75%相信公司所使用的安全方案“非常或極為有效”的信息安全官似乎過于自信了。
安全更新并不及時 盲目自信引風險
不僅安全事件頻出,對于一些已經曝出的安全漏洞來說,即使相應的更新補丁已經推出了,但仍存在大量設備并未及時更新的情況。以去年4月開源代碼OpenSSL曝出HeartBleed漏洞為例,利用該漏洞黑客可以入侵到服務器存儲器中竊取敏感資料,預計全球2/3的網站都會受到影響。
然而根據相關的安全篩查發現,通過掃描引擎檢查目前使用OpenSSL套件的設備,可以發現56%的設備仍然使用50個月之前的OpenSSL版本,這就意味這些網站維護人員根本沒有將其安全設施更新到最新、修補過的安全版本。因此這些網站也依舊暴露在被攻擊的風險中。
企業盲目自信網絡安全或引發更大的風險
而根據思科2015年度安全報告指出,91%的受訪企業或組織表示由高層主管直接負責安全事務,并有高達90%的公司對自己的安全策略、流程和程序很有信心。不過在受訪者中,只有64%的人認為自己的安全基礎設施非常先進,在利用現有最好的技術進行不斷升級;僅有33%的人表示會定期更換或升級安全技術;同時還有3%的人表示只在原有安全技術無法使用、已過時或有新的需求時,才會更換或升級安全技術。
該報告通過調查不同國家、不同規模企業中擔任信息安全職務的員工共計1738人,并從公司投入到網絡安全的資源,安全營運、策略和規程,以及網絡安全營運的完善度等三個維度上展開詢問。
可見雖然多數被調查的公司對自身信息安全表現出了極大的自信,但在實際的網絡安全營運中管理者或維護人員并沒有強烈的信息防護意識,也沒有切實履行積極地安全防護程序。
D1Net評論:
隨著企業網絡應用的日益頻繁,企業在網絡上的信息資產也越發重要,因此不法黑客也會不斷翻新手法,伺機攻擊各大企業的IT基礎設施來獲取利益。而一些企業表現出的盲目自信,無疑給企業陳舊的網絡安全設施、松懈的管理規范帶來了更為致命的威脅。
京公網安備 11010502049343號