解決辦法在于針對特定的威脅來保護安全。可問題是,說到采用有系統(tǒng)的風(fēng)險管理流程,IT人員遠(yuǎn)遠(yuǎn)落后于其他方面。不過有些技術(shù)專業(yè)人士已經(jīng)在積極分類IT資產(chǎn)、賦予風(fēng)險值、評估威脅、然后確定何處及如何緩解風(fēng)險,他們發(fā)現(xiàn),風(fēng)險管理流程極其重要。
簡而言之,風(fēng)險管理原則為信息安全帶來了精確性。
這次安全調(diào)查表明了風(fēng)險管理如何可以讓公司把注意力放在對付最重要的威脅上:不安全的代碼編寫方法讓所有調(diào)查對象都遭了殃。所在組織已落實風(fēng)險管理計劃的調(diào)查對象當(dāng)中近一半在設(shè)計應(yīng)用程序時就具體規(guī)定了安全功能。在沒有落實風(fēng)險管理計劃的調(diào)查對象當(dāng)中,只有22%專注于代碼的安全性。
我們需要這次安全調(diào)查帶來的那種震撼。21%的公司從來沒有進(jìn)行過安全風(fēng)險評估;而在進(jìn)行過這項工作的公司當(dāng)中,只有五分之一嚴(yán)格使用了專業(yè)的外部審計人員。盡管63%的公司需要滿足與數(shù)據(jù)安全有關(guān)的政府或者行業(yè)法規(guī),但其中許多法規(guī)并沒有為如何遵守提供充分的指導(dǎo)。在這類灰色地帶,最佳實踐是最佳防御之道。
公司還沒有及時部署加密技術(shù),以此保護客戶和員工的數(shù)據(jù)。我們原先希望,不斷發(fā)生的一系列重大數(shù)據(jù)丟失事件會讓大多數(shù)公司開始積極采取綜合的隱私保護措施。所以我們發(fā)現(xiàn)一半以上的公司為了保護客戶數(shù)據(jù)而采取的惟一措施居然就是向員工告知安全標(biāo)準(zhǔn)、在網(wǎng)站上發(fā)布隱私政策,覺得灰心喪氣。這些是正確步驟,但并不排斥需要加密(只有34%的公司采用了加密)或者需要隱私政策審計(只有25%的公司采用了審計)。讓人震驚的是,11%的公司表示沒有隱私方面的防范措施來保護客戶數(shù)據(jù)。任何措施都沒有。
投資能得到怎樣的回報?
沒必要責(zé)怪掌握財務(wù)大權(quán)的人員或部門。對近30%的調(diào)查對象來說,安全這一塊至少占了IT總預(yù)算的11%。但壞消息是:各種病毒、網(wǎng)絡(luò)釣魚攻擊和蠕蟲在繼續(xù)興風(fēng)作浪,讓人頭痛不已;許多公司不斷把錢砸入到防火墻和反病毒保護技術(shù)上。由此猜測這些產(chǎn)品類別會銷聲匿跡,或者至少會被并入到其他技術(shù),未免為時過早,因為13%的調(diào)查對象表示,就容易遭到安全泄密和惡意代碼攻擊的程度而言,今年與去年一樣,甚至還要糟糕。防火墻和反病毒保護是一半以上的調(diào)查對象認(rèn)為很有效的惟一兩個產(chǎn)品類別。
罪魁禍?zhǔn)资钦l?復(fù)雜性,62%的調(diào)查對象提到復(fù)雜性是最大的安全挑戰(zhàn)。如今,更多的數(shù)據(jù)出現(xiàn)在網(wǎng)絡(luò)上;更多的代理程序在公司計算機上運行,員工們期望對自己使用的個人電腦擁有一定的控制權(quán);隨著出差和能源成本急劇攀升,公司越來越多地采用分支機構(gòu)和遠(yuǎn)程員工,這一潮流使得數(shù)據(jù)到處分布,因為人們期望能夠從客戶現(xiàn)場、家里或者街道那邊的咖啡店安全辦公。
復(fù)雜性還源于需要同時滿足多項法規(guī)遵從需求、對員工和用戶進(jìn)行安全意識方面的培訓(xùn)和教育,以及應(yīng)對技術(shù)越來越復(fù)雜的網(wǎng)絡(luò)。
大多數(shù)公司(63%)必須遵守一項或者多項政府或行業(yè)法規(guī),其中許多法規(guī)措辭含糊,并沒有給出具體的指導(dǎo)表示可以采用哪些技術(shù)來滿足需求。為了滿足法規(guī)遵從方面的目標(biāo),美國政府部門的信息系統(tǒng)安全辦公室項目經(jīng)理Kevin Sanchez Cherry表示他運用了最佳實踐;他所說的最佳實踐是指咨詢眾多有關(guān)方,包括美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)、SANS Institute、以及面臨類似挑戰(zhàn)的同行。由于實施了最佳實踐,他不需要把大量時間用在使多項法規(guī)遵從需求規(guī)范化上。
我們從來不缺攻擊者,也從來不缺期望向我們推銷解決方案以趕走攻擊者的廠商。可問題是,旨在緩解安全問題的產(chǎn)品大多數(shù)針對范圍比較狹窄的一批威脅,所以有許多競爭性的技術(shù)可供選擇。要對付眾多系統(tǒng)上種類越來越廣泛的威脅,仍需要一大批這樣的單點產(chǎn)品。這對廠商們來說是好事,但對IT人員來說是壞事。
毫無疑問,我們正面臨迅速增加的一大批威脅,從外部攻擊者、不懷好意的員工到授權(quán)用戶,不一而足。雖然比較讓人害怕的是那些身份不明的計算機犯罪分子,但內(nèi)部用戶卻是最大的威脅,這是因為他們得到公司的信任,擁有訪問權(quán),而且了解內(nèi)情。個別內(nèi)部用戶會另有私心,但極可能發(fā)生的一幕是:毫不知情的員工受騙上當(dāng)后,透露了公司機密,或者導(dǎo)致泄密事件發(fā)生,而他們的本意是想起到幫助作用。這種威脅很難對付,哪怕采用嚴(yán)格的流程和員工安全意識計劃也收效不大。足足35%的調(diào)查對象表示通過培訓(xùn)來阻止員工共享密碼效果不大,或者完全沒有效果。只有38%的調(diào)查對象認(rèn)為,自己能夠成功地阻止員工上社會工程學(xué)伎倆的當(dāng)。
Sanchez Cherry提議使用與目標(biāo)受眾切身有關(guān)的實際案例,能夠讓對方具體了解問題所在。比方說,2006年,退伍官人管理署的一名員工丟失了含有私人信息的一臺筆記本電腦。這個典例可以表明一名出于好意的員工也有可能導(dǎo)致數(shù)據(jù)丟失。對Sanchez Cherry這樣的人來說,就可以趁此機會反復(fù)強調(diào),讓人牢記教訓(xùn)。
風(fēng)險管理是解決之道
法規(guī)遵從難題、更廣泛的攻擊途徑、容易上當(dāng)?shù)淖罱K用戶。IT負(fù)責(zé)人應(yīng)當(dāng)如何是好?大致上來說,信息安全工作要有所側(cè)重,最好的辦法就是不要再去考慮漏洞,而要開始考慮風(fēng)險。沒有哪家公司堵得住每一個漏洞,因為缺乏足夠的資源,也從來不會有足夠的資源。就算擁有無限的預(yù)算,威脅格局也在不斷變化。
簡單說來,風(fēng)險就是你因某項活動而蒙受損失的可能性。風(fēng)險管理方法使用人員、流程和產(chǎn)品來降低發(fā)生不妙事件的可能性;如果真的發(fā)生,就盡量減小損失。從IT的角度來看,這不僅僅是落實安全政策–接受調(diào)查的公司當(dāng)中差不多54%如今設(shè)法落實了安全政策。
IT人員需要不走常規(guī)路,對自己進(jìn)行培訓(xùn),以便關(guān)注數(shù)據(jù)價值以及數(shù)據(jù)受到危及的可能性,而不是關(guān)注如何可能受到危及。明白如何受到危及固然很重要,但一旦數(shù)據(jù)泄露出去,就沒有辦法把它收回來。
使用風(fēng)險評估的做法相當(dāng)廣泛,79%的調(diào)查對象在采用這種做法,不過不是所有公司隨后充分利用評估結(jié)果。在進(jìn)行評估的公司當(dāng)中,76%用來制訂安全政策,但只有41%用來幫助采購和規(guī)劃。
當(dāng)然,不是說你非得是MBA才能知道風(fēng)險評估牽涉的不僅僅是IT和數(shù)據(jù)安全。許多公司推出新產(chǎn)品、管理營銷預(yù)算、進(jìn)行資本投資時,一直在運用風(fēng)險分析。IT團隊需要運用自己公司里面的這種知識和見解。
美國電氣保險公司(Electric Insurance)的系統(tǒng)工程與支持經(jīng)理Michael Hannigan表示,該公司把大約20%到25%的項目規(guī)劃時間用在了風(fēng)險分析和管理上。因為從規(guī)劃到后期制作的整個流程都包括了風(fēng)險分析環(huán)節(jié),Hannigan發(fā)現(xiàn)能夠及時找出潛在問題,并加以解決。事后補救問題的成本要比在設(shè)計階段解決問題高得多。就拿美國電氣保險公司來說,風(fēng)險管理已成為其公司文化的一部分–這對金融公司來說不足為奇。我們都應(yīng)當(dāng)這樣積極主動。
風(fēng)險評估的大筆先期成本主要會來自分析資產(chǎn)和風(fēng)險;確定項目、產(chǎn)品線和服務(wù)的價值;然后列出每個類別的風(fēng)險。不過一段時間過后,這個流程會帶來回報。
Hannigan說:"你一定要有戰(zhàn)略。像身份管理和密碼管理這些重大的IT項目實施起來成本非常高昂,但你希望三五年過后得到怎樣的結(jié)果、什么才是最簡單的捷徑?你不希望出現(xiàn)多個安全孤島。你希望標(biāo)準(zhǔn)化、不背離那些標(biāo)準(zhǔn),除非存在誘人、合理的原因需要偏離標(biāo)準(zhǔn)。"
為了證明繁榮的安全產(chǎn)品市場,我們詢問采取了哪些措施來緩解風(fēng)險時,72%的調(diào)查對象提到的第一個答案就是運用技術(shù)來解決問題。這本身沒什么不對–技術(shù)問題需要技術(shù)方案來解決,但你要把它與一些更有戰(zhàn)略性的非技術(shù)方案作比較:只有18%的調(diào)查對象對敏感數(shù)據(jù)實行了基于角色的訪問機制。
考慮到針對性的風(fēng)險管理需要大量精力和資金,評估日常流程的成功就至關(guān)重要。60%的調(diào)查對象使用內(nèi)部審計來評估風(fēng)險管理項目是不是在取得成效;近一半的調(diào)查對象使用法規(guī)遵從來評估成效。但這些步驟沒有一項與請滲透測試專家來進(jìn)行破壞測試那樣來得有效,金融服務(wù)公司注意到了這一點;其中69%評估獨立審計的成效??偟膩碚f,取得成效的比例只有43%。
誰控制、誰負(fù)責(zé)所有這些預(yù)算費用呢?在63%的公司當(dāng)中,IT預(yù)算資助風(fēng)險管理項目,而這適用于各行各業(yè)。更值得關(guān)注的是,制訂風(fēng)險管理計劃的公司當(dāng)中69%表示,從長遠(yuǎn)來看,這種方法可以為自己節(jié)省費用。只有22%的公司表示,風(fēng)險管理項目會不斷消耗預(yù)算。人們常想到風(fēng)險管理方面的永久成本,上述調(diào)查結(jié)果倒是讓人耳目一新。
雖然我們沒有詢問可以從哪些方面節(jié)省成本,但可以從其他問題推斷出可以取得哪些成效。風(fēng)險評估主要用于制訂風(fēng)險緩解政策、堵住安全漏洞;這可能會提高流程效率,比如利用數(shù)據(jù)庫簡化資產(chǎn)管理和政策遵從。相似的是,明白漏洞來源、查明根源可以提高整個公司的效益。法規(guī)遵從也通常會得益于風(fēng)險管理,無論是加強基礎(chǔ)設(shè)施安全和存儲管理,還是加強身份管理和文檔記錄流程。
最后的結(jié)論就是,風(fēng)險評估的初期成本可能看似很高,不過一些長遠(yuǎn)效益使得這筆成本是值得投入的,比如簡化數(shù)據(jù)管理、記錄現(xiàn)有流程,更不用說實際提高數(shù)據(jù)安全了。
鏈接:SaaS幫助降低安全成本和復(fù)雜性
中小企業(yè)通常面臨與信息安全有關(guān)的兩大"頑疾":一是缺少充足時間,二是缺少專業(yè)團隊。對它們而言,SaaS安全有望成為解決之道。
所有公司領(lǐng)導(dǎo)都密切關(guān)注確保本公司的安全。小企業(yè)與大企業(yè)有分歧的地方在于,如何進(jìn)行規(guī)劃及采取行動,從而挫敗安全威脅。小公司向來極其缺乏資源,這就縮小了可供選擇的余地,迫使業(yè)務(wù)和IT決策者努力為一系列安全策略和對應(yīng)措施確定優(yōu)先級,以此獲得最高的投資回報。
中小企業(yè)通常面臨與信息安全有關(guān)的兩大"頑疾":一是缺少充足時間,二是缺少專業(yè)團隊。對它們而言,SaaS安全有望成為解決之道。趨勢科技公司的中小企業(yè)產(chǎn)品營銷經(jīng)理Jon Clay說:"對即使有IT人員、也缺少資源來管理安全解決方案的中小企業(yè)而言,SaaS安全再適合不過了。SaaS廠商可以借助SaaS安全為中小企業(yè)管理、維護及更新安全解決方案,提供全年365天、每天24小時的不間斷服務(wù)。許多大型企業(yè)擁有充足的資源、一大批技能豐富的IT管理員以及基礎(chǔ)設(shè)施,可以集中資源來監(jiān)控自己的安全解決方案,從而確保得到及時更新、正常運行。中小企業(yè)的IT人員卻很少享有這種優(yōu)勢,因此改用SaaS安全服務(wù)讓他們得以把注意力放在其他方面上,不必為安全解決方案而擔(dān)憂。"
不是只有趨勢科技這家廠商看好SaaS安全具有的潛力。邁克菲、賽門鐵克和Webroot及其他公司現(xiàn)在都提供基于服務(wù)的解決方案。調(diào)研公司Gartner在最近舉行的IT安全峰會上發(fā)布的一項估計預(yù)測,到2018年,將有85%的安全智能、70%的通信安全以及65%的安全Web網(wǎng)關(guān)將以服務(wù)的方式來提供。
趨勢科技公司的中型企業(yè)營銷主管Dan Woodward認(rèn)同Gartner公司的上述估計,指出電子郵件安全和Web網(wǎng)關(guān)是的兩項,另外三項服務(wù)是終端安全、法規(guī)遵從管理以及電子商務(wù)保護。
據(jù)賽門鐵克的產(chǎn)品管理與業(yè)務(wù)運營高級主管Chris Schin聲稱,幾乎任何一種解決方案中的部分都可以通過SaaS模式來提供。他說:"就連端點安全這樣與內(nèi)部部署方案緊密相關(guān)的部分也可以通過SaaS來提供,政策管理、報告和警報等部分在云計算環(huán)境中來提供。某些解決方案確實比其他解決方案更適合使用SaaS,但其實還沒有這樣的解決方案:其中的一些部分無法通過SaaS解決方案來提供。"
趨勢科技公司的Woodward強調(diào),每家公司都能夠得益于SaaS,無論作用只是單單保護、替換現(xiàn)有的保護方案,還是成為多層方法的一部分,不過他對Gartner公司列出的部署SaaS時需要考慮的幾個組織因素表示了認(rèn)同。有些公司不太適合部署SaaS,包括具有以下特點的小公司:
·擁有數(shù)量有限的一組集中式互聯(lián)網(wǎng)接入點;
·遠(yuǎn)程員工的比例比較少;
·IT人員數(shù)量比較多;
·擁有高效的服務(wù)器管理運作流程;或者
·重視細(xì)粒度控制,而不是技術(shù)解決方案。
在評估SaaS方案時,決策者必須權(quán)衡不同的可變因素。拿SaaS與內(nèi)部部署解決方案作比較時,需要分析總體擁有成本,而不是單單分析采購及安裝成本。另外,由于服務(wù)質(zhì)量決定了SaaS解決方案的價值,因此公司嚴(yán)格評估服務(wù)級別協(xié)議、認(rèn)真審查提供商的信譽及執(zhí)行能力就顯得很重要。
SaaS的價值主張很吸引人,不僅適用于安全,還適用于其他商業(yè)應(yīng)用;如今,越來越多的小公司在行動起來,積極使用SaaS。據(jù)調(diào)研公司AMI-Partners聲稱,從2004年到2007年,中型企業(yè)的SaaS采用率提高了一倍(從15%增長至30%),預(yù)計今年會繼續(xù)保持這種勢頭;在同一期間,小型企業(yè)的SaaS采用率也從10%增長至21%。
隨著更多的安全提供商提供SaaS安全解決方案,小企業(yè)會有更大的選擇余地,以便經(jīng)濟有效地滿足安全需要,從而騰出寶貴的時間和資源,致力于公司的業(yè)務(wù)發(fā)展上。