企業(yè)IT系統(tǒng)安全性提升困難的六個原因
企業(yè)安全性之最佳實踐早已廣為人知,但為什么絕大多數(shù)企業(yè)仍然無法真正實現(xiàn)?就在去年,Target公司CEO及CIO在遭遇到有史以來規(guī)模最大的支付卡信息竊取案件后相繼宣布辭職,這也標志著又一個歷史轉折性時刻的到來:終于,企業(yè)中的高層管理人員意識到了安全問題的嚴重性與迫切性。不考慮安全保障所帶來的嚴重后果已經昭然若揭。
自那時開始,更多數(shù)據(jù)泄露事件以層出不窮之勢覆蓋了各大媒體的頭條:Michaels、PF Cahng’s、美國社區(qū)衛(wèi)生系統(tǒng)、UPS、Dairy Queen、Goodwill、家得寶、摩根大寶、Kmart、Staples以及廣受關注的索尼已經相繼被攻陷——不僅是索尼影業(yè)執(zhí)行官Amy Pascal,整個索尼品牌都遭受到了災難性的打擊。
面對著這一系列沖擊,相信人們對于安全問題的態(tài)度會有所變化。正如InfoWorld網站的Roger Grimes所反復強調的觀點,防止攻擊活動成功實施的最佳實踐幾乎可以說顯而易見。早在2014年遭遇攻擊之前,索尼公司的安全防御機制就早已飽受詬病。Roger曾經以索尼攻擊案為例提醒我們,“大多數(shù)企業(yè)的計算機安全整體狀況不僅僅‘堪憂’,甚至應該說‘可悲’。”
面對上述事故所帶來的可怕后果,安全意識的重要性已經被提升到了前所未有的高度。但幾乎可以肯定,今年年內我們還將親眼見證更多令人心驚的災難。為什么悲劇總會反復發(fā)生?我給出以下幾點猜測。
1. 高層采取忽視態(tài)度
安全事務不僅帶來額外成本,而且可能會給正常業(yè)務流程帶來額外步驟、并因此影響生產力水平。沒有哪位高管會因為安全事務處理得宜而備受關注,但卻往往因短期盈利豐厚而得到贊譽。此外,首席執(zhí)行官們往往會頻繁跳槽,這更使得安全事務這類長期性工作遭到嚴重忽視。在幾年任期之內遭遇大規(guī)模災難性安全事故的概率有多高?也許目前的可能性確實比幾年前更高,但賓州大學的Arijit Chatterjee與Donald Hambrick在2007年的研究論著《一切以我為中心》中指出,CEO們通常都會顯示出強烈的自戀傾向與僥幸心理。
2. 受到供應商的錯誤引導
安全方案供應商們永遠走在安全威脅炒作的第一線(旨在宣傳自己的安全保護品牌),并致力于銷售其所謂包治百病的保護妙藥。從技術層面講,這些威脅的確真實存在,但相較于這些小打小鬧、為未受保護的系統(tǒng)安裝正確補丁往往能帶來更理想的保護效果。如果一味聽從供應商的建議,大家很可能會把最寶貴的資源從最緊要的領域挪出來并移為它用。
3. 運營慣性導致問題拖延
假設企業(yè)管理層高度關注,并希望快速解決組織內的頭號安全風險,即客戶端Java。但就在這時,幾位LoB經理提出了反對意見,表示幾款關鍵性應用程序的正常運行需要以客戶端Java為基礎。事實上,也確實存在著一部分需要陳舊且滿是安全漏洞的Java版本才能正常運行的應用方案。那么企業(yè)有可能先把運營放在一邊,利用安全技術對此類應用程序進行重新創(chuàng)建嗎?或者說,他們更傾向于先把問題擱置起來,等到明年的大規(guī)模技術更新規(guī)劃上馬時再一道加以解決?
4. 在最明顯的問題上缺乏正確引導
管理員們往往認為只有白癡才會輕易點擊某個文件附件、打開某個指向被惡意軟件所感染之網站的鏈接,或者輕信偽造的病毒警報而安裝名為殺毒軟件、實乃惡意軟件的程序。但事實上,釣魚郵件的效果確實非常、非常好,而且如果普通員工從來沒見過真正的反惡意木馬檢測軟件,他們根本不可能知道如何加以分辨。用戶需要系統(tǒng)的安全培訓,并在遭遇釣魚活動時得到正確的提示及引導。每次培訓時間不需要太長,但此類活動必須長期推進。
5. 自以為安全無憂
防火墻、入侵檢測系統(tǒng)、安全事件監(jiān)控、網絡監(jiān)控、雙因素認證、身份管理……我們的企業(yè)已經把這些方案全部部署到位,沒人能夠隨便闖得進來!然而殘酷的事實證明,如果大家已經被賊惦記上了,那么以上機制根本不足以徹底消滅數(shù)字化資產損失。要防止問題的發(fā)生,大家必須擁有審慎的心態(tài)——對閑置中的關鍵性信息進行加密、避免設置永久性管理員權限并通過各種舉措降低惡意人士得逞后可能帶來的交叉性損失。
6.抱有聽天由命的心態(tài)
在我看來,大多數(shù)企業(yè)都很清楚安全問題的嚴重性。然而面對殘酷的現(xiàn)實,他們幾乎放棄了抵抗。那些有能力組織APT(即先進持續(xù)性威脅)攻擊的專業(yè)黑客幾乎不可阻擋。金融行業(yè)每年遭受的欺詐與犯罪活動損失高達數(shù)十億美元,而這已經成為其運營成本中的組成部分。走了這么多過場,笑到最后的還是那幫惡意分子。
這種心態(tài)也有其合理性,畢竟在安全對抗當中、漏洞總是搶先于防御機制出現(xiàn)。是的,攻擊活動確實無法避免,但這并不能成為我們放棄最佳實踐以顯著減小攻擊面的理由。
任何一種正確規(guī)程都會由于人為因素的介入而受到影響。然而馬馬虎虎的安全防范措施必然讓大家成為攻擊者眼中唾手可得的肥羊。大家更傾向于哪種處理態(tài)度?在面對安全威脅的恐懼當中形成新的生存習慣?抑或是增加開支以顯著降低風險的發(fā)生可能性?也許后一種方案的支持比率遠低于前者,但就個人而言,我更喜歡那種能在夜里安然入睡的感覺。
原文鏈接:http://www.infoworld.com/article/2896513/security/why-improving-security-is-so-hard.html
