大家的安全管理政策及規程是否真的能夠提升安全水平，或者說您所在的企業僅僅關注惡意軟件、卻忽略了人為因素在安全保障工作中的重要作用?要在這么多因素之間取得平衡絕非易事，而眾多企業也在不斷探索最理想的可行途徑。

最近美國各大企業及組織機構遭遇的一系列數據泄露事故給我們提出了新的挑戰——即現有安全工具及解決方案在應對新興威脅時是否仍然具備效力?

私營與上市企業在過去十年當中耗資數百億美元來提升安全水平，然而惡意攻擊者們仍然能夠突破重重阻礙，順利完成自己邪惡的預期目標。

這一趨勢使得很多企業開始嘗試一種新的基礎性處理方式，即將關注重點放在人、流程以及技術身上。相較于單純將安全功能作為企業運營工作中的一類令人頭痛的成本支出項目，如今越來越多的企業開始將其作為值得大力推動的戰略性新舉措。

“安全與產品開發這兩類工作并非互相排斥，”萬事達卡首席信息安全官Ron Green指出。“我們并不會把安全看作一種獨立的職責，而傾向于將其與業務運營相結合。”

具體來講，萬事達卡的安全專家們開始積極吸納其他關注于實現身份驗證創新成果的團隊，包括來自萬事達實驗室以及新興支付與企業安全解決方案部門的成員，Green解釋稱。此舉旨在從長遠角度進行產品管理，并利用安全機制強化持卡者的使用體驗。

“我們的高管團隊希望我們能夠將安全機制滲透到每個角度，并將作為標準化實踐流程，”Green表示。而且雖然這類實踐可能會讓項目的日程表排得更滿，但卻絕對物有所值。“安全目前已經成為拉攏客戶的一種有力籌碼，而且每家企業都希望手握這一籌碼，”他解釋道。

IT領導者們應當從以下五個關鍵性角度出發，切實提升安全體系的保護能力。這些措施的具體實現方式可能會根據大家的實際思路及運營能力而有所變動，不過用戶及從業專家一致認為，最重要的是專注于更高層級的發展目標。

1. 強化網絡邊界保護

邊界保護技術，例如殺毒工具、防火墻以及入侵檢測系統，長久以來一直被企業作為安全戰略中的首要實施方案。它們通過對特定的標記或者簽名進行比照來識別出已知病毒或者其它類型的惡意軟件，而后對包含惡意內容的程序加以阻斷。

過去幾年以來，各公共與私營組織都傾向于利用更多邊界安全保護工具來維持穩定，而不愿接納更多其它安全產品類型——然而事實表明，分析人士普遍提醒稱單靠邊界防御機制已經不足以保障系統安全。

而殘酷現實也告訴我們，已經有多家大型企業遭遇嚴重的數據泄露事故，這意味著基于簽名的邊界保護工具在對應當前惡意攻擊者所普遍使用的高針對性入侵手段時表現并不理想。幾乎很少會有企業準備放棄傳統邊界保護技術，相反絕大多數企業繼續堅持將其作為主要甚至是惟一的防御手段——但這是遠遠不夠的，IBM公司安全研究員Marco Pistoia指出。

“網絡攻擊活動的各種最新征兆證明，攻擊者們如今幾乎已經能夠繞開任何類型的物理限制手段，”Pistoia表示。“基于邊界保護設計思路的防御方案雖然仍很必要，但卻無法真正保證計算系統的安全。”

從戰略及戰術角度來看，企業必須將邊界防御機制視為安全鏈體系中必要的組成部分之一——注意，只是之一，他強調稱。

同樣重要的還有模式識別與預測分析等工具，它們能夠幫助企業建立起以正常網絡活動為參考對象的基準，而后借此揪出各種不符合常態的活動。正如我們需要利用網絡防火墻來將已知威脅阻隔在邊界之外，Web應用防火墻能夠幫助我們找出那些已經突破了邊界的惡意軟件，Fenwick &West公司CIO Matt Kesner表示——這是一家位于加利福尼亞州山景城的法務企業。

“在技術層面，我們仍然需要將大量時間與資金投入到邊界保護方案的研發當中，”Kesner指出。但除了堅持使用以簽名為基礎的網絡邊界阻斷功能，Kesner還在網絡中的各個層面構建起冗余惡意軟件阻斷系統及防火墻，其中包括該公司的Web應用程序服務器。Fenwick &West公司利用一套日志事件協調系統幫助IT部門對日志記錄進行收集、整理與分析，并為網絡中全部設備上的信息設定管理規則。

Kesner還部署了多款來自利基供應商的產品，旨在提供各類專項功能，例如搜索可疑的權限提升活動并尋找與隱藏極深的網絡潛伏者相關的證據。“我們將大量時間投入到確保邊界方案能夠如預期般順利起效方面，”Kesner表示。“我們假定信息泄露事故必然發生，并希望能夠從這個角度出發更好地加以預防及應對。”

最近幾年新近出現的一類產品正是所謂“殺鏈”工具。Palo Alto Networks等多家廠商都在推出此類方案，這些系統不僅能幫助企業客戶揪出惡意軟件;它們還能支持企業監控黑客利用惡意程序出入網絡環境的具體方式，并收集相關信息以幫助用戶徹底消除安全威脅。

大部分此類工具都基于這樣的設計前提，即個別黑客及黑客團體通常會在攻擊目標的過程中使用同樣或者類似的惡意軟件工具，并遵循同一套行為模式。有鑒于此，通過識別攻擊活動背后的個體或者黑客團隊，我們就能更輕松地構建起足以應對其所使用的特定工具以及攻擊手段的防御機制。

2. 建立檢測與響應能力

時至今日，絕大多數針對企業的攻擊活動都來自有組織的犯罪團伙或者由國家作為背后支持者。過去那種隨機且漫無目的的攻擊活動已經日漸減少，現在我們需要認真考慮的是那些經過精心設計，旨在竊取商業信息、偷盜知識產權、窺探商業機密及財務數據的惡意活動。相較于以往那種哪痛醫哪的思路，如今我們應當高度重視那些表現得非常低調，而且傾向于一點點慢慢獲取數據的攻擊行為。事實上這幫黑客變得極有耐心，他們可以拿出很長時間逐漸拼湊出自己想要的信息。

在這樣的環境當中，任何安全戰略都應當做出針對性調整，特別是將檢測與響應機制納入預防工作并作為重中之重。

“以靜態規則與簽名為基礎的預防性工具無法阻止那些熟悉環境且水平高超的攻擊者們的惡意入侵，”RSA技術解決方案主管Rob Sadowski——RSA為隸屬于EMC的安全事業部。因此最重要的是重視早期檢測與響應工作，從而確保入侵活動不會給正常業務造成影響或者損害，他表示。

為了推動這一變化，IT領導者需要利用各類工具讓自己擁有更為透徹的審視角度，從而準確把握當前基礎設施當中發生的一切狀況，Sadowski指出。

舉例來說，我們有必要將網絡數據包捕捉與端點監控技術引入到現有以日志為核心的監控機制當中，從而保證安全管理員能夠對攻擊者的一舉一動擁有更為明確的了解。

利用身份管理、身份管控以及行為分析工具，我們也能夠更加深入地了解驗證憑證與用戶身份所受到的危害并阻止由此導致的進一步影響，Sadowski表示。

萬事達卡的Green指出，企業需要制定多層解決方案來實際安全保障。“如果大家只從一種角度出發審視問題，則明顯無法涵蓋自己需要了解的各個方面，”他指出，這里強調的當然是那些單純依賴基于簽名的邊界安全方案進行自我保護的企業。

多層解決方案中應當包含一套用于對抗內部攻擊活動的機制，并將其提升到與防范外部攻擊同樣的高度之上。“內部威脅通常更具挑戰性，”Green解釋道。“因此大家應當制定一套強大的分層安全規劃，利用其同時解決內部與外部威脅，并保證自身能夠快速識別并糾正剛剛出現的異常狀況。”

3. 安全代碼開發

存在漏洞的Web應用程序通常給黑客們留下了可乘之機，使他們得以侵入企業內部并訪問網絡及數據，因此消除漏洞就成了確保數據完整性與保密性的重要前提。

常見且廣為人知的安全漏洞包括SQL注入錯誤、跨站點腳本漏洞、存在缺陷或者損壞的難及會話管理功能，這一切已經讓無數企業成為惡意攻擊的受害者。不過在最近的幾波針對大型企業的入侵活動中，我們發現真正能夠解決問題的仍然是提高應用質量——換言之，使用更為安全的代碼。

“如果大家著手開發一款應用程序，那么同時也有制定與之相關的安全預期，”Green表示。“大家還需要對自己的供應商設定安全預期，畢竟我們購買的技術方案完全由他們一手開發，而我們的安全與隱私保護也會與其產品密切相關。”同樣的道路，供應鏈合作伙伴與其它產品及服務供應商也應該接受同樣的要求，他補充稱。

強化計算系統中的軟件組件絕不是項簡單的工作，因為安全漏洞往往深深隱藏在代碼當中，IBM公司的Pistoia指出。為了防止應用程序受到攻擊，進而保障數據完整性，企業必須將安全環節引入到軟件生命周期的每個階段當中，并部署各類必要的代碼審查實踐，他強調道。

對于很多大型企業，手動代碼審查會帶來極為高昂的成本。因此我們可以選擇另一種具備可行性的替代方案，即針靜態與動態程序分析機制加以結合，同時配合代碼分析流程從而在應用程序開發內部實現自動化代碼審查。

“高級應用開發系統如今已經能夠對每一次提交內容或者以周期性方式檢查應用程序代碼，”Pistoia表示。這類方案可以幫助開發人員了解自己編寫出的代碼中存在哪些問題，及時做出修正并持續追蹤，他補充道。

“應用層已經成為網絡安全戰場中的最新陣地，因此除了安全團隊之外、開發及系統開發生命周期隊伍也需要對其給予高度關注，”Viewpost公司總顧問兼首席安全官Chris Pierson表示——這是一家在線發票與支付平臺供應商。

他提到，對于靜態及動態代碼的審查已經成為產品開發流程中的必要環節，并補充稱IT喜劇之王人正投入大量精力解決Open Web應用安全項目中所提出的十大安全風險。

更重要的是，不斷普及的DevOps實踐給了各類企業一個將安全整合進軟件開發生命周期各個階段當中的絕佳機遇。“安全正是DevOps實踐的最佳推動力之一，”DevOps.com網站主編兼信息安全專家Alan Shimel強調稱。

開發與運維團隊需要意識到，安全問題人人有責，而且應當在產品生命周期之初就將控制手段集成進去。另外，我們還需要進一步對現有方案的安全重視水平加以提升，他指出。“我們目前還處于大多數企業需要努力向員工強調安全性的重要意義以及DevOps對安全性的提振作用的階段，”Shimel表示。

4. 重視人為因素的影響

近年來有不少重大攻擊活動在初期都表現得人畜無害，而攻擊者們會偽裝成合法用戶使用必要的登錄憑證訪問網絡，例如員工、業務合作伙伴或者供應商等等。黑客們擁有高超的社交工程技術以及經過精心設計的網絡釣魚郵件，能夠借此獲取到用戶名及密碼并頂著其身份訪問對應企業網絡，而后再利用這一立足點搜尋并訪問關鍵性業務系統及數據存儲內容。

這種戰術可謂屢試不爽，倒在其面前的知名企業包括Target、Home Depot以及美國人事管理辦公室等等。面對這一嚴峻現狀，各組織機構開始抓緊時間對員工及其他授權用戶進行培訓，幫助他們更加透徹地了解現有安全風險，從而確保其能夠識別并抵御這類潛在威脅。

“員工需要切實了解自身在保護企業資產當中所扮演的重要角色，”萬事達卡的Green強調稱。

在多數情況下，訪問企業數據的用戶并不會意識到自己作為個人對所訪問資產承擔著保護義務。而為了鼓勵這部分用戶積極接納這樣的業務系統維護責任，Green表示萬事達卡“建立了一套學習文化，這樣我們就能夠定期對員工進行培訓，幫助他們了解自己該如何保護資產安全，特別是在新興威脅不斷涌現的當下。”

作為這項工作的一部分，萬事達方面將傳統培訓手段與Green所說的“寓教于樂”機制加以結合，從而向員工傳達最為重要的信息。“因為犯罪分子們變得越來越聰明，所以我們必須得搶在他們前頭培養安全與保護意識，”他表示。這一思路旨在為員工留下深刻的印象，強調他們屬于安全團隊的重要組成部分——即使不會有人直接向他們匯報當前安全狀況。

“如此一來，我們的安全體系中已經開始出現各類極具創造力的實現途徑，”Green指出。他同時表示，目前公司開始推行名為SafetyNet的安全項目，旨在保護自今年10月以來持有萬事達卡的用戶們的數據安全。

5. 保護業務流程

即使擁有了最出色的安全技術手段，企業仍然有可能被糟糕的實踐方式與流程執行水平所拖累。為了避免這類狀況，Fenwick &West公司的IT部門開始推行被Kesner描述為針對管理政策與執行流程的一系列大大小小的調整工作，旨在利用新模式處理敏感數據。

舉例來說，過去這家法務企業的管理政策要求對往來客戶數據盡可能全部進行加密，但現在這已經成為一條不容商量的硬性規定——必須加密。Kesner的團隊還推行其它一些新型管理政策，旨在確保企業存儲區域網絡當中正在使用以及處于閑置狀態的數據都經過加密處理。企業當中所有筆記本電腦及臺式機中的敏感數據都需要經過加密，而IT部門則每六個月定期對這方面工作進行審計與測試。

這家法務企業還引入了第三方及安全廠商定期進行滲透測試與模擬攻擊，幫助其尋找還有哪些漏洞可能引發安全風險。“在嚴格的保密協議的要求之下，我們請安全工程師進入內部環境，并對業務流程中的每個環節進行滲透測試，”Kesner指出。在此之后，IT團隊會要求安全廠商出具一份包含五項改進舉措的名單，幫助其進一步完善現有安全管理政策。

Fenwick &West公司目前要求所有合作伙伴必須以書面形式披露其安全實踐的完整細節，并正式認可其了解并遵循這家法務企業所做出的一切安全政策及執行流程規定。各合作伙伴必須采用基于令牌的雙因素身份驗證機制，以配合用戶名及密碼一同訪問Fenwick公司的業務網絡。

目前很多企業都在采取類似的處理辦法。網絡安全已經成為首要任務之一，而企業中的領導團隊以及董事會也認清了這一現實。”董事會希望并要求了解公司當前的網絡安全水平，以及立足于控制、治理以及運維角度的具體定位，”Viewpost公司的Pierson解釋道。

“如果大家希望留住客戶并取得他們的信任，那么安全與隱私保障成效將成為我們企業文化及價值主張的有力基礎。”