2015年5月26日星期二

请把网络安全作为公司战略之一

  为什么尽管企业每年花费数十亿美元购买最新的安全产品,聘请最棒的安全工程师和分析师,但在黑客面前却变得比以往更加不堪一击?摩根士丹利(Morgan Stanley)、塔吉特(Target)、索尼(SONY)、特斯拉(Tesla)等公司近年来的网络攻击事件不仅造成了一次次危机公关,塔吉特、索尼两家公司CEO还因此被迫辞职,塔吉特更是打算支付1000万美元来和解数据泄露诉讼案。信息安全公司赛门铁克(Symantec)发布最新报告称,大约有5/6的大公司遭到过各种黑客攻击,2014年针对大公司发动的黑客攻击数量更是比上年增加了40%.现在,我们不得不承认过去在网络安全方面的工作很大程度上是失败的,并且正义的一方在这场“战争”中正处于劣势。

  云计算、大数据、物联网在改变我们的同时,也让敌人变得越来越难以对付:首先,在矛与盾的博弈中,矛只需成功一次,而盾需要次次成功才能确保安全。其次,很多人需要在工作中寻找点刺激,在他们看来,当海盗显然比当水手更为有趣的多;第三,现在的普通大学生都可以轻松拥有7个IP接入设备,黑客们只需要一个很简单的花招就能成功发起攻击。

  当然,哭喊着“完了,未来作为商业和通信领域的重要支撑的互联网已不再值得信任”是于事无补的,我们不妨试着从黑客的角度去审视公司的网络安全:

  1、大多数公司的安全策略都是被动应对的;

  2、公司安全绝大多数依靠常见的恶意软件检测和无精确指导的自动威胁防护;

  3、公司并不清楚自身网络的具体内容、其所使用的云设备、设备上运行的应用程序以及供应链和合作伙伴的安全状况;

  4、对于CEO、CFO来说,他们更关心可用性和成本的问题,而非IT系统的整体安全性。

  这些要点(当然不会是全部)就是黑客们可以利用的公司安全系统的弱点。现在我们需要把角色转化过来,面对黑客的进攻,企业应该怎么做(这才是最关键的):

  首先,要比黑客们更了解你的公司,了解你所面对的风险

  很多企业都声称自己的数据是安全的,但直到黑客走了之后,他们才惊讶的发现“哦,天啊,我忘记了这些设备上还有这些数据”。所以,公司必须尽最大可能了解他们可能面临的特有威胁情况:

  我们的哪些数据容易受到攻击?被攻击之后最坏的结果是什么?

  黑客为什么攻击我们?是盗取数据、恶意破坏还是一场恶作剧?

  谁在攻击我们?职业黑客,还是竞争对手?

  ……

  千万不要和黑客们玩打地鼠的游戏,这会让你什么事情都做不好。相信我,如果对这些问题你的企业都已经全面了解的话,那么,你一定会知道在攻击来临时,哪些是与最强大的对手和最大商业风险有关的事项?哪些是需要优先识别最重要的资产和关注最稀缺的资源。

  其次,像管理库存一样管理你的数据

  你可以将你的数据当作库存来管理,Endgame的CEO纳撒尼尔?C?菲克认为:公司必须以最简单的形式识别和监控其相互关联的资产。比如,开发者是否在没有告知的情况下操作了1000个虚拟机?在企业最有价值的数据库服务器上运行的是哪些应用程序?员工是否将新设备与公司的网络相连?偏远的子公司是否有了新的合作伙伴?HVAC(供热通风与空调)系统是否以某种方式与销售终端相连?通过这些问题可以快速找到数据管理上存在的安全缺陷,当然,这是好事儿。公司必须对库存盘点一样对数据进行动态、实时地盘点,持续地监控,并以简单直观的方式向安全和运营团队呈报。

  再次,积极一点

  对,积极一点,或者说是“积极防御”,虽然也有时被戏称为“反黑”,但公司采取进攻策略显然是不明智的做法:一方面,即便只是为了自身的防御而未经允许进入他人的网站是同样是非法的;另一方面,在未知的情况下升级软件对于公司来说是并不是明智的做法。企业可以采取的措施其实是一种入侵检测技术,入侵检测技术是网络安全技术和信息技术结合的产物,使用入侵检测技术可以实时监视网络系统的某些区域,当这些区域受到攻击时,能够及时检测并立即响应。

  最后,做好数据备份,“不要把鸡蛋放在一个篮子里”

  数据备份是企业IT架构重要的组成部分,也是防止黑客攻击、系统故障等原因导致的数据丢失的最后一道防线。在国外,数据备份是网络安全领域重要的业务分支,前文提到的的赛门铁克(Symantec)、企业级软件公司甲骨文(Oracle)、信息技术解决方案公司IBM都提供了数据备份服务,一些专注于数据备份的公司如CommVault、梭子鱼、Box等公司也在近几年内获得了不错的市场份额。相比于美国,在国内由于企业历史和重视程度上的差异,数据备份还是一个较为的细分市场,不过,随着大数据、云计算概念和技术的普及,越来越多的企业开始关注自己的数据备份工作,除华为、浪潮等企业之外,诸如多备份这种基于SaaS的数据保护公司也获得了更多的机会。

  网络安全一直是一个很沉重的话题,沉重的原因不在于它造成的损失,而是它所带来的恐惧。一个企业的网络安全与企业中的每一个人息息相关,将网络安全比作为一场“战争”并不为过,而只有管理者、软件开发人员、安全团队和投资者联合起来才能扭转局势,才能够全副武装地抵御不断来犯的敌人。

  很遗憾,在这场持久战中我们没有办法做到百战百胜,所以,请把网络安全作为公司长期战略之一。

  来源:投稿,作者:程小微