1.風(fēng)險(xiǎn)管理:把所有這些問(wèn)題連接到一起的共同主題是什么呢?對(duì)于大多數(shù)企業(yè)的安全組來(lái)說(shuō),聚集技術(shù)、時(shí)間和資源來(lái)減輕每一個(gè)這些風(fēng)險(xiǎn)是不可能的。這周,讓我感到震驚的是,所有這些問(wèn)題的匯集再次激起了人們對(duì)這個(gè)經(jīng)常被忽略的、但是至關(guān)重要的企業(yè)風(fēng)險(xiǎn)管理學(xué)科的興趣,即弄清楚如何確定是哪個(gè)特定威脅造成了對(duì)企業(yè)最大的風(fēng)險(xiǎn),并使用這個(gè)信息來(lái)創(chuàng)建一個(gè)企業(yè)的風(fēng)險(xiǎn)狀況。信息安全專業(yè)人員不能解決所有的問(wèn)題,尤其是不能一次解決所有問(wèn)題,并且安全預(yù)算不可能很快的得到顯著提高,在正確的地方投資寶貴的資源已經(jīng)變成一個(gè)孤注一擲的問(wèn)題。
2.Dodd-Frank法案遵從規(guī)則:正如我在這周所寫(xiě)的那樣,Dodd-Frank法規(guī)對(duì)許多企業(yè)的遵從規(guī)則來(lái)講將會(huì)是一個(gè)新的頭痛的事情,尤其對(duì)那些沒(méi)有對(duì)其密切進(jìn)行關(guān)注的企業(yè)而言,更是如此。有趣的是,在一些情況下,這個(gè)法案的許多條例可能并不鼓勵(lì)雇員挺身而出,來(lái)舉報(bào)欺詐行為。可能更令人不安的是,政府仍然處于制定規(guī)則的過(guò)程中,這些規(guī)則將會(huì)用來(lái)指導(dǎo)Dodd-Frank的公司遵從規(guī)則,這意味著沒(méi)人真正知道它將會(huì)有多么繁瑣。
3.云計(jì)算需要實(shí)際檢驗(yàn):云計(jì)算這一概念被炒作了好幾年,但直到最近我才首次開(kāi)始感覺(jué)到來(lái)自信息安全專業(yè)人員更多的信心。為什么呢?他們現(xiàn)在認(rèn)識(shí)到絕大多數(shù)當(dāng)今企業(yè)的云計(jì)算是“軟件即服務(wù)(SaaS)”的方式,而不是更復(fù)雜的平臺(tái)或把更多控制權(quán)交給第三方供應(yīng)商從而導(dǎo)致基礎(chǔ)設(shè)施的變化。這個(gè)認(rèn)識(shí)使得安全團(tuán)隊(duì)需要花費(fèi)一些時(shí)間,來(lái)重新評(píng)估現(xiàn)在使用的云計(jì)算設(shè)備以確保它們是安全的,除此之外,還需研發(fā)一個(gè)更綜合的云計(jì)算安全策略,以便當(dāng)企業(yè)想要雙倍投資于更先進(jìn)的云計(jì)算技術(shù)時(shí),安全團(tuán)隊(duì)是樂(lè)意合作者,而不是阻撓者。
4.APT和攻擊:它開(kāi)始于今年初的RSA SecurID泄漏的新聞,但是從那以后似乎重大的、先進(jìn)的攻擊事件層出不窮,而且不同于我們?cè)?jīng)見(jiàn)到過(guò)的攻擊。其中,受害者包括索尼公司、Lockheed Martin公司、花旗集團(tuán)、Sega公司、英國(guó)國(guó)家衛(wèi)生事業(yè)局以及美國(guó)參議院等。這些都是世界上最重要的公司,但是它們似乎已經(jīng)無(wú)力來(lái)保護(hù)它們最重要的數(shù)據(jù)。我在這周聽(tīng)到的兩種最常見(jiàn)的反應(yīng)是:“是啊,那是可怕的東西,”和“我慶幸這沒(méi)有發(fā)生在我的企業(yè)內(nèi)。”但是,這可是先進(jìn)的持續(xù)威脅(APT),它意味著很有可能你的數(shù)據(jù)正在被竊取但你卻不知道它正在發(fā)生。這周,我聽(tīng)說(shuō)了許多關(guān)于APT的事情,不幸的是很多是不能發(fā)表的,但是可以肯定地說(shuō),現(xiàn)在犯罪網(wǎng)絡(luò)通常穿透企業(yè)的防御,并使用一些讓資深的信息安全專家也會(huì)感到震驚的復(fù)雜技術(shù)在很長(zhǎng)一段時(shí)間內(nèi)竊取出大量數(shù)據(jù)。APT是真實(shí)的,不是炒作,而且在美國(guó)決定明確地指出中國(guó)政府是許多這些攻擊事件背后的推動(dòng)力量之前,你幾乎只能靠自己。
5.移動(dòng)設(shè)備的普及:長(zhǎng)期被忽略的是,雇員擁有的移動(dòng)設(shè)備已成為一個(gè)即將發(fā)生的安全問(wèn)題。這些智能手機(jī)——以及現(xiàn)在的平板電腦——已經(jīng)長(zhǎng)期被充斥著公司的敏感數(shù)據(jù),但是它們要么作為一個(gè)安全風(fēng)險(xiǎn)被忽視了,要么被視為太具挑戰(zhàn)性而不能嚴(yán)加管束。現(xiàn)在,企業(yè)正開(kāi)始認(rèn)識(shí)到這些設(shè)備引起的風(fēng)險(xiǎn),然而是否新興的設(shè)備管理技術(shù)、數(shù)據(jù)訪問(wèn)限制、用戶安全策略,或者上述的方式將成為問(wèn)題的解決辦法呢?這仍然有待觀察。這似乎是一個(gè)令許多信息安全專業(yè)人士摸不著頭腦的話題。
我知道許多安全專業(yè)人員已經(jīng)集中研究風(fēng)險(xiǎn)管理很長(zhǎng)一段時(shí)間了,但是聽(tīng)到許多與會(huì)者親口承認(rèn)風(fēng)險(xiǎn)管理策略正式化非常重要,這是一個(gè)令人振奮的好消息。重大的泄漏、漏洞和攻擊一個(gè)接著一個(gè),這對(duì)安全來(lái)講是艱難的一年,但是在Gartner安全峰會(huì)2011上看到如此多樂(lè)觀的安全專業(yè)人員準(zhǔn)備好著手對(duì)付下一個(gè)發(fā)生的問(wèn)題時(shí),使我對(duì)我們?cè)趲椭銈冏龅阶詈脮r(shí)所扮演的小角色感到欣慰。
京公網(wǎng)安備 11010502049343號(hào)