在過去的幾年里，攻擊面一直都在不斷地發生變化，我們要保護的東西已經不僅僅是基礎設施應用了，而各位首席信息安全官（CISO）也應該好好思考一下，如何更好地去分配企業在信息安全方面投入的資金，并盡可能地防御網絡攻擊。

　　不斷變化的安全風險

Misha Govshteyn是Alert Logic公司的聯合創始人兼首席信息安全官，他認為，長久以來，當人們在設計安全防御策略時，一般只會考慮他們自己企業或周邊基礎設施終端的情況，但是這種保護基礎設施的時代已經結束了，我們應該將注意力放在“外面的世界”。

數字安全研究專家Earl Perkins則表示，我們的企業目前正處于一種多形式的無線網絡環境，我們會越來越頻繁地去使用一些帶有處理器和存儲功能的小型設備，但是它們并不是傳統意義上的IT通用平臺。而這些設備正在成為我們企業中的一個安全薄弱環節，如果這些設備無法得到有效的保護，那么我們企業的資產將面臨嚴重的安全威脅。

Govshteyn表示，想要跟上這些變化并不是那么簡單的，因此我們才要深刻理解那些受到大型企業重視的攻擊面，尤其是云端的那些安全威脅。對于一家成立了五年的公司來說，他們其實現在正處于構建自己基礎設施的時候，他們的大部分產品都部署在云端，而且還會涉及到多種云端環境。現在很多企業或組織都可以直接購買SaaS應用了，所以他們對于防火墻的需求就會越來越低。除此之外，很多企業也不會再在防火墻后方部署傳統形式的數據中心了。對于這種企業來說，他們的攻擊面其實是非常分散的。有些攻擊面則是辦公室里坐在電腦屏幕前面的用戶和員工，因為他們從SaaS環境購買了應用或服務。

某些組織還會在本地環境部署一些自定義產品，然后再圍繞云環境構建安全基礎設施，但是這兩者所采用的安全策略是截然不同的。在這種IT環境下，他們在保護終端設備、客戶端應用以及Web瀏覽器時所采用的安全技術與云端部署的安全技術是完全不同的。

有根據地分配資金的投入

現在行業內有一種非常有意思的趨勢，即公司營銷部門所得到的預算要比IT部門高得多，但是Govshteyn認為，他已經看到了IT部門預算超過其他部門的跡象了。因為很多企業已經開始將權利下放給各個部門了，他們可以自行決定是否需要將產品托管在云端或使用云服務器。那么這個時候第二個問題就來了，我們應該如何保護應用和服務的安全呢？

在分配資金之前，我們一定要對自己的攻擊面有一個深入的理解，尤其是在財力資源匱乏的時候。Perkins說到：“一般來說，我們會通過評估風險優先級來決定將資金投入到網絡安全的哪一方面，這也是一種非常有效的方法。”

我們要完全理解企業核心業務所面臨的安全風險，然后通過將相應的安全技術部署到企業環境中來了解這些技術將會對安全風險造成怎樣的影響，通過評估這些安全技術的有效性以及企業核心業務和資產的優先級來將正確的技術部署到正確的地方，這就是首席信息安全官確定資金分配方案的最佳方法。

當然了，這個過程也是非常復雜的。企業需要設立一個預算資金基線，這將涉及到風險管理的問題，而且還要頻繁地評估企業風險的演化進程。在這個過程中，我們需要根據安全風險的變化情況來重新評估企業核心業務服務的安全優先級，并且還要確保自己所部屬的安全技術能夠很好地應對這些安全風險。

這不僅聽起來非常復雜，而且實現起來也并不簡單，因為我們在進行威脅檢測時所使用的技術也許并不能有效地檢測到針對企業資產的惡意攻擊。那么此時我們如何才能確定核心業務的安全優先級呢？Rook Security公司的創始人兼首席執行官J.JThompson認為，我們應該結合企業資產和網絡攻擊這兩個因素來考慮這個問題，我們要根據網絡犯罪分子攻擊的目標來判定安全優先級。很多首席信息安全官會將注意力只放在抵御網絡攻擊的身上，因為他們并不關心企業的哪一塊業務遭受的攻擊最為嚴重，因為他們只會根據CVE或CVSS的評分來決定風險的優先級，他們只對攻擊進行分類和定級，卻沒有將受到攻擊的企業資產考慮進去。

為了讓大家更好地理解Thompson的意思，他還專門講了一個例子，他說到：“假如我們檢測到了美國上空飛來了一顆導彈，那么美國軍方對這顆導彈落在波士頓（美國馬薩諸塞州首府）和落在法戈（美國北達科他州東南部城市）時的應對策略肯定也是不一樣的。很多企業都已經部署了相應的工具來檢測安全威脅，這些安全工具雖然目前還可以正常工作，但是它們在信息串聯方面沒有做到位。當攻擊發生時，我們要根據受攻擊的目標來響應這些攻擊，我們應該將網絡攻擊和受攻擊的目標結合起來。”

安全可見度

ProtectWise公司的首席執行官Scott Chasin認為，每一位首席信息安全官目前所面臨的最大挑戰就是如何確定攻擊面，而這種挑戰逐漸轉變成了“可見度”的問題，而很多企業幾乎根本沒注意到這方面的問題，他們可能會將五十甚至一百多種產品粘合在一起并部署到云端，此時這些應用和服務的安全性對于企業來說相當于是“不可見”的，因為他們完全不了解這些云計算服務的攻擊面。

網絡是不會撒謊的，如果企業能夠記錄應用服務所有的網絡活動以及網絡數據，那么這些日志記錄就可以提升企業云端服務的“能見度”，此時我們就可以根據囤積下來的警告數據建立一個標準來判定哪些活動是正常的，而哪些活動是非法的，但是很多企業在數據收集方面做得仍有欠缺。

結束語

企業的首席信息安全官只有在深入了解了攻擊面之后，才能更好地分配資金的投入。而對于他們來說，安全可見度已經成為了他們做決策時的關鍵因素。作為一名安全部門的高層管理者，我們必須了解自己公司所部屬的業務及服務，然后時刻對它們進行監控和檢測，然后及時響應不斷變化的安全威脅。