最近,美國安全公司Illumio的首席商務官阿蘭·科漢發表文章呼吁美國的信息安全變革,文中的觀點值得我們借鑒,現摘譯整理如下:
網絡安全是個國家第一廠商第二的問題。最近發生的安全事件令人驚恐地強調了從根本上重新思考我們對待信息安全的態度以防我們的經濟和我們生活的方方面面不被重創的必要性。
網絡事件是另一種形式的恐怖事件:它們能以本應用來保護我們的安全系統所想象不到的方式給我們那開放的數字社會予以重擊。
人事管理局(OPM)信息泄露事件就是數字世界里的重大恐怖襲擊。盡管2014年就是黑客年,黑客事件遍及大部分科技產業和商業新聞周期,OPM信息泄露事件還是導致了大量美國駐海外人員的召回,以致網絡防御可能在短期內成為美國軍事的第五個兵種。
就像我們在9/11之后重新檢查和裝備我們的運輸系統安全一樣,我們必須對數據安全采取同樣的態度和方法。我們必須從零開始,全新打造一個適應當前環境動態要求的網絡安全態勢,而不是把精力投入到保護前一個世代的技術上。遺憾又諷刺的是,那套監視著政府部門網絡流量的入侵檢測系統竟然是叫“愛因斯坦”。政府的程序十年間幾乎沒什么變化,而真正的愛因斯坦對愚昧頑固的定義就是“同一件事重復做,一遍又一遍,卻希望能得到不同的結果”。
向前看,我們必須關注當前網絡威脅環境的六大原則:
1. 所有的安全問題都是網絡安全問題。首席信息安全官(CISO)現在得評估IT“風險金字塔”和潛在的殺傷鏈來了解自己面對的網絡攻擊面。整個IT業務都處于攻擊火力之下,需要一套全新的能將對新威脅環境的考慮融合進IT設計與使用中的信譽與安全模型。
2. 威脅絕大部分是由內而外,而不是由外而內的。80%的網絡安全事件都是由內部人士教唆協助或由內部系統的漏洞引起的,然而企業絕大部分的安全支出卻著眼于保護安全邊界。只依賴于周邊基礎設施層簡直就是一張通往不斷失敗的請柬。這種在數據中心周邊與系統內部之間極不均衡的支出與關注度必須有所改變。
3. 安全系統的適應速度與其偵測與預防程度同等重要。網絡安全投注在靈活性與適應性上的關注度必須與投注在偵測與預防上的一樣。不是每一次攻擊都能被預防,但自適應系統可以在關鍵數據被傳出之前快速解決問題。自適應系統檢測和處理安全事件的速度越快,產生的損失也就越少。
4. 什么都不能信任。今天的環境中,在用戶和系統間建立可信連接時應預設的策略是“對允許說不”而不是“對拒絕說行”。這一預設在服務器間連接或用雙因子身份驗證登錄軟件即服務應用時是真實有效的。盡管這么做有可能會損失掉一些業務操作上的便捷性和一點點時間,不這么做的代價卻更高昂得多。
5. 安全必須根植于信息處理的基底層。我們今天的應用開發過程是:某人創建一個應用,另一組人將之載入基礎設施,第三組人決定怎樣保證它的安全。則一系列傳接過程無形中增加了風險,也在每次應用修改或升級時引入了官僚主義。安全必須是“自下而上”地構建和實施,而不是放馬后炮。
6. 公共/私營合作關系應被重建。后NSA關系時代,華盛頓與商業之間的信任等級與我們必須配合和協作的需要成反比。由于國家安全與經濟網絡事件之間只有一線之隔,是時候重塑我們私營產業與公共產業的合作關系了。
如今這個網絡恐怖主義時代,以上安全必須改變的6個領域還僅僅只是個開始。毫無疑問:信息安全整體都必須做出改變。
原文地址:http://www.aqniu.com/neo-points/8752.html
京公網安備 11010502049343號