摘要:在經歷了即將過去的一年中頻發的高調黑客攻擊事件后,2016年,安全問題無疑將成為企業技術高管們所需首要考慮的問題。在經歷了過去一年針對包括諸如全美第二大零售商家得寶(Home Depot)及美國塔吉特百貨公司(Target)在內的一系列高調的網絡攻擊事件發生后,Sam Redden已然充分認識到自己需要為安全問題做好萬全的準備了。
在經歷了過去一年針對包括諸如全美第二大零售商家得寶(Home Depot)及美國塔吉特百貨公司(Target)在內的一系列高調的網絡攻擊事件發生后,Sam Redden已然充分認識到自己需要為安全問題做好萬全的準備了。
對于這家位于德克薩斯州維科這個小城市,專業提供高達數十億美元的學生助學貸款服務的Brazos Higher Education Service公司的首席安全官Sam Redden而言,上述網絡攻擊事件無疑為他敲響了警鐘,并向公司董事會表達了他對于安全問題的擔憂。
Redden表示說,他往往通過主動的與董事會進行溝通,向董事會匯報企業當前正在從事的IT項目的安全管理狀況以及他的IT安全團隊為了保護企業所做的各項準備工作。
“但即使這樣,我也不會蠢到足以敢擔保說:在面臨網絡黑客安全攻擊時,我絕對是領先于他們的。”Redden說。“這些黑客領先于我們所有的人。”
上述現象可能已經足以解釋了為什么在參與了Computerworld網站的預測2016年調查訪問的182 IT專業人士中,有高達50%的受訪者表示,他們所在的企業計劃在未來12個月內增加安全技術方面的開支。
更重要的是,當受訪者們被問及其所在企業當前正在進行的最重要的技術項目時,安全性被排在了第二位——12%的受訪者選擇了安全性,僅落后云計算兩個百分點。
“當看到那些大型企業動輒花費巨資用于防止數據泄露等安全領域的投入,但仍未能完全成功避免安全性攻擊事件發生時,您就必須假設這樣的情況在您自己的企業同樣無法幸免了。”位于緬因州劉易斯頓的Geiger公司的首席信息官Dale Denham表示說。Geiger公司是一家市值達1.5億美元的促銷產品分銷商。他表示:“您企業必須制定一套適當的安全管理計劃”。
網絡安全攻擊者越來越多,而且正開始變得更具組織性且更強大。而隨著現如今的電視機、打印機、相機,甚至是汽車均是IP聯網的,他們可以用于進行安全攻擊的入口點來訪問網絡的漏洞的數量也在呈指數級上升。據Gartner估計,到今年年底,各種互聯的設備數量將達到49億,較之2014年同比增長30%,并且到2020年將達到250億。
最近,各類企業所面臨的一個不斷變化的安全威脅的例子是一段持久的惡意軟件被稱為SYNful Knock,是去年九月從思科路由器上發現的。
“這是涉及到思科路由和交換設備漏洞的首次公開披露。”位于愛達荷福爾斯的愛達荷國家實驗室的網絡安全人員Darren Van Booven表示說。“這是一個企業所共同面臨的安全威脅的一個很好的例子。要求我們的安全戰略必須不斷的變化。”
PayPal公司首席信息安全官John Nai說,2016年他將會密切關注“基礎設施安全”。他說:“其對我們來說是非常重要的。”除此之外,Nai說,他認為需要將關注點持續聚焦在基本的層面上。“很多公司都只是專注于先進的功能,但您真的需要特別注意的則是在基礎層面上:確保您企業的基礎設施都打了補丁,修補您的桌面臺式機,并具備正確的操作能力,讓您能夠掌握在您企業的網絡上都發生了什么。”
在勞動力市場精心挑選合適的員工也是另一大管理問題:目前,根本沒有足夠的安全專業人員,而那些在就業市場上喊出天價薪酬的高級人才對于許多公司而言是遙不可及的。
而這僅僅是與安全相關的足以讓企業IT領導人們失眠問題的其中一部分。但他們中的大多數人都說他們并不熬夜,他們正在制定計劃以采取行動。他們準備微調防入侵策略,實施員工的培養和再培訓計劃,為安全漏洞和攻擊制定災難恢復計劃。
更多的預算,更好地培訓用戶
企業的安全高管們可能會被更頻繁的被要求參與董事會會議以做出更多的解釋。而他們往往會在這些會議上要求獲得更多的資源,并把錢花在保護企業系統和數據方面。那些高調的違規行為有助于提高人們對安全的極端重要性的認識,尤其是提高企業董事會成員對于最新的技術對于維護企業安全性的關鍵重要性的認識。
“不用去董事會或CIO那里為爭取每一分錢的安全費用而費盡口舌,我反而是讓我企業的董事會和CIO們主動來找我。”一家中等規模的制造公司的一名不愿進一步透露相關信息的首席信息安全官表示說。
“在某些方面,那些頻發的高調安全違規行為已經為我做了宣傳工作。其幾乎成為了我的一個開放的支票。”他說。但他補充道:“但這些安全威脅仍然存在,其一旦發生,肯定是相當可怕的。”
在企業董事會,安全管理人員說,他們會花至少一部分錢添加到他們的安全預算中,并對提升安全意識和員工培訓計劃進行進一步的投資。“最大的挑戰之一來自于我們的員工。我們大多數的問題都是來自于員工們的電子郵件,他們可能不慎打開了含有木馬或惡意軟件的電子郵件。” Redden說。
“這一切都可以追溯到員工及用戶培訓。”他補充道。在Brazos Higher Education Service公司,他說,“我們已經為更多的用戶實施了遠程培訓。我們告訴他們不要讓任何人訪問他們的筆記本電腦。我們特別強調這一點。終端保護是頭號問題。”
在巴爾的摩馬里蘭的洛約拉大學,也非常看重培訓的重要性。“我們最大的挑戰來自于我們的最終用戶,所以我們真的非常注重對于網絡安全意識的培訓。”技術服務助理副總裁兼首席信息官路易絲·芬恩說。
該大學最近聘請的安全運營總監帕特里夏·馬利克,將在2016年對所有業務部門的員工進行面對面的基于場景的培訓。“我們不只是告訴他們關于大學的管理政策,而是提供個人方面的培訓,強調個人的自主的控制和保護數據。” 芬恩說。
堪薩斯市的勞動銀行要求員工每年參加一個安全意識培訓計劃。但該銀行的信息安全官肖恩·米勒說,計劃的培訓已經開始變得“一文不值”了,因為網絡安全威脅的變化如此之快。
為了幫助人們保持警覺,米勒“以黑客同樣的方式”發送釣魚電子郵件。如果用戶點擊這些郵件中的鏈接,他們將進入到登陸頁面,并獲得他們應該怎么做的即時反饋。“我這樣做不是為了讓員工有麻煩。”米勒說。“我所做的事情在一些會計師事務所也會做同樣的事情。人們往往是從自己的錯誤中汲取經驗教訓。”
雇傭合同工還是外包?
在參與此次預測調查的表示他們所在的企業預計將在2016年新增員工的受訪者中,有25%的受訪者表示企業安全方面的舉措是驅動新增人手的決定因素。而33%的受訪者說,他們預計安全方面的技能將是他們在2016年最難招聘到的人才。
在采訪中,有中小型企業的高管表示,他們將聘請具有廣泛IT和安全技能的人才,而不是在特定的安全區域經驗豐富的專家,如入侵檢測和防火墻領域。
許多公司都在增加專業知識,但并不是通過錄用正式的合同員工,而是越來越多的通過與安全服務供應商簽訂合同。正如一位首席信息安全官所言,外包的優勢之一就是其回避了優秀的安全工作員工被其他機構挖走的威脅。
位于圣迭戈的Cabrillo Credit Union公司的首席技術官Frankie Duenas負責管理者一個有6名IT專業人士組成的一個小部門,其職責范圍從安全和網絡規劃到日常運營,并將在必要時提供安全援助。“我們有到位的安全預算--無論是應對新出現的安全威脅或應對更復雜的安全軟件和/或服務。明年我們預計該安全預算會翻番,因為黑客的快速發展,我們需要有相應的應對措施。”
在Geiger公司,Denham說,他雇用第三方服務機構來幫助處理安全入侵檢測和入侵防御服務。該公司還與外部審計人員合作,以遵守PCI數據安全標準。
他說:“我不希望我們的IT團隊會雇用更多的安全專業人員。”相反,Geiger將繼續轉向服務供應商,因為新的需求會不斷出現。
“您絕不可能完成在安全性方面的所有工作。您不能做到這一切,您永遠無法足夠快的做到這一點。” Denham說。“總是有更多的事情IT可以處理。”
關鍵底線是,安全是企業的一個關鍵問題,永遠不會消失,也永遠不會結束,因為黑客們總能找到新的方法來進行破壞。
例如,根據PayPal的Nai說,業界已經在打擊網絡釣魚攻擊方面取得了很大進展,但正是因為如此,黑客們已經重新調整了他們的攻擊方向——開始傳播惡意軟件了。
“當我們在某些領域不斷改進時,黑客們就不再繼續該領域的攻擊了。” Nai說。他們不是出去找合法的工作了。而只是轉移到另一個攻擊方向去了。”
董事會在看您
幾乎所有接受本文采訪的安全專家和首席信息官均表示希望在2016年把更多的重點放在與他們所在企業董事會的溝通交流方面。
“三年前,除非發生特別嚴重的安全事件,一個人在這個職位角色的人將很少有機會參與董事會的高層交流。但現在,CIO參與每季度一次的董事會議已經不是什么新鮮事了。”一家制造公司的要求匿名的CIO表示說。“董事會試圖評估風險,他們想確信我將采取的措施是符合成本效益和能夠保護公司的。”
愛達荷國家實驗室的網絡安全人員Darren Van Booven說,風險管理和安全計劃的成功取決于IT領導者是否有機會獲得相關資源,及其與高級管理人員溝通的能力。
他說:“安全管理人員了解企業的業務是非常必要的。如果您不這樣,您就不能用一種領導理解的方式表達風險。而如果您聽到首席信息安全官抱怨說他們的話沒有人聽,這便是原因所在了。” Van Booven說。
除了董事會成員,Van Booven還建議會見企業最高級額管理人員分享信息并提供培訓。
“這樣與其他高層領導人之間對等的交流與溝通,與安全管理人員在董事會上所做出的安全承諾效果是截然不同的。”信息管理程序整合總監Hortense Nelson說。“個人魅力是很重要的。”
公司以外的安全
除了內部溝通,如制造企業的CIO這樣的IT領導者會發現自己越來越多的工作是在公司以外——與供應鏈合作伙伴及他們的董事會談判。該首席信息官已經起草了一份他所提議的供應商管理流程的常規安全調查問卷。
位于弗吉尼亞州雷斯頓的一家咨詢公司及軟件即服務提供商Altum公司的技術總監戴夫·庫克表示說,采用他們服務的客戶數量正在不斷增加。Altum公司的客戶主要都是大型基金會和其他提供資助的組織,他們采用Altum的跟蹤軟件服務來實施監控,受捐助者如何使用資金的。
“當我們收到想要獲得我們服務的客戶申請時,他們會發送給我們一個安全軟件的問卷調查。我們必須在他們考慮正式采用我們的服務之前回答一連串的問題。”庫克說。“在過去18個月我們已經看到了客戶數量的增長。他們幫助了我們,因為如果他們問了這些問題,我們就需要將這些問題考慮在內。”
京公網安備 11010502049343號