Cisco最新安全報告:內部威脅難防 風險評估緊迫
原創【51CTO.com快譯自7月15日外電頭條】對于企業中的IT管理人員來說,來自內部的威脅是最讓人頭疼的,Web2.0的實施、法規遵從以及各項應用都密切影響著企業的安全性。日前,Cisco發布了半年一度的威脅報告,對如何解決這些密切相關的問題給出了常規建議。
最難以抵御的似乎就是內部威脅
這個問題是近期的新聞熱點,一些能源企業和美國國務院成為了最出名的受害者。
“有三個原因造成內部威脅問題越來越嚴重,”Cisco高級研究人員兼首席安全官Patrick Peterson說。“首先是經濟問題,許多員工出于絕望而卷入了違法活動。第二個原因是雇主與雇員之間的關系發生了變化,員工們現在越來越不信任他們的雇主。第三個原因是全球化和外包服務的擴展。”
針對這一威脅,Peterson說,企業需要擁有強健的識別和審計機制,但也不能矯枉過正。他指出,比如蒙大拿州波茲曼市最近要求求職者必須提供出他們在各種社交網站上的所有賬戶名和密碼,“他們確實注意到了真正的威脅,但他們執行的策略可能是非法的,而且肯定是不必要的”他說。
Peterson說,企業必須能夠識別風險,并且針對具體的工作職能和業務范圍來應用不同的策略。“不可能存在一個一刀切的政策,”他說,“我們以前曾多次強調,你必須要對風險進行充分了解。”
“然而許多企業并不把重點放在深入了解風險上,并且沒有制定如何最小化風險的戰略,這是多么令人吃驚,”Peterson承認現在的事實是安全策略往往過于受到遵從性的影響,而不是根據風險管理來制定。此前,51CTO.com此前發表的文章中介紹了實現風險管理的六大評估方法,專家也建議,風險評估的意義在于對風險的認識,而風險的處理過程,可以在考慮了管理成本后,選擇適合企業自身的控制方法,對同類的風險因素采用相同的基線控制,這樣有助于在保證效果的前提下降低風險評估的成本。
Peterson解釋說,這意味著他們必須在問題出現后才開始解決問題。任何人都不應當還在為一個兩年前就已經確定的問題費力,但在現實世界中,有許多人還是這樣。
“CSO(首席安全官)們必須發揮領導作用,看看現實世界中的風險問題,”他說。他指出,有些行業往往要等到問題發展到出現狀況,比如金融服務行業的企業們,他們一般要等到某個同行因為安全問題而上了報紙的大標題時,才著手解決問題。Peterson說當發生這種情況時,他們至少還應該努力找出為什么沒有在閱讀新聞之前發現問題。
軟件開發將得到保護
新的軟件開發平臺可以幫助企業在開發新應用時管理內部威脅的問題。IBM發布了基于云計算的授權軟件來解決這個問題。開源項目TeamForge也做出承諾來幫助企業處理好這個問題。
Verizon Business在上周宣布了提供一項應用安全服務,能夠幫助企業管理整個項目生命周期,甚至改善他們的軟件開發流程。
Peterson說這些服務是的確是企業需要的。“開發工作變得更加快速復雜,現在的風險比以往要高得多,如果你出現錯誤,尤其是網絡應用,”他說,“壞家伙們的攻擊來得這么快。”
SaaS和Web 2.0
很多企業非常關注Web 2.0,他們應該了解它能夠為他們帶來什么,但同時也不能忽視風險。“安全威脅和傳染病有很多相似的地方,” Peterson說,“尤其是社區網絡,有些社區網簡直是我的噩夢,就好像一位傳染病醫生看到屋子里的每個人都在向別人打噴嚏那樣。”
想要降低風險就要以犧牲性能為代價。Peterson說,他使用過的最安全的電子郵件服務還是1987年他在斯坦福大學讀本科那時候。“我可以給學校里的任何人發送電子郵件,這比我現在使用的更安全,但它的功能放現在連小兒科都說不上了,”他說。
社區網絡的安全策略必須建立在真實數據的基礎上。如果繼續隨心所欲,無論是用戶還是IT部門最終都會焦頭爛額。
怎樣進行培訓
關于如何進行安全培訓,Peterson認為視頻的力量比文字強大得多,即使是進行高級別的培訓。“當我拿出視頻,讓他們親眼看看那些瀏覽網頁的人發生了什么事,這時即使是那些已經很懂行的安全人員,他們的眼睛也會發亮,我知道他們又有了新的理解,”他說。
“你不能只說‘不要碰爐子,燙手’或者‘小心Windows ActiveX的漏洞’之類的空話,你需要實質性的溝通。一旦他們明白‘有些人想要傷害我和企業’,就已經成功了一半,”他說。
企業的安全指導方針不能太長,要便于記憶,縮短指導方針的方法之一是為特定的工作職能或業務范圍分別定制指導方針。另外他補充到,許多安全策略的書籍都是十多年前寫的了,而現在需要關注的項目增加了很多,但沒有一項可以刪除。
【編輯推薦】
【51CTO.com譯稿,非經授權請勿轉載。合作站點轉載請注明原文譯者和出處為51CTO.com,且不得修改原文內容。】
原文:Cisco Threat Report Deals With Internal Issues 作者:Alex Goldman
