自2014年以來(lái)，信息管理協(xié)會(huì)的權(quán)威調(diào)查IT趨勢(shì)研究數(shù)據(jù)顯示，CIO在面對(duì)IT管理問(wèn)題時(shí)，已經(jīng)將網(wǎng)絡(luò)安全提升至數(shù)一數(shù)二的位置了。然而，在2013年，同樣的調(diào)查中，網(wǎng)絡(luò)安全還只是第七的位置。一年的時(shí)間發(fā)生了什么?那不得不提的事件應(yīng)該是臭名昭著的Target數(shù)據(jù)泄露事件了，該事件直接導(dǎo)致1850萬(wàn)美元的罰款和Target首席執(zhí)行官的離職。

[[315550]]

自那之后發(fā)生的一系列的數(shù)據(jù)泄露事件就像開(kāi)了閥門(mén)的水閘，傾涌而出，Target事件簡(jiǎn)直是小巫見(jiàn)大巫，不足為奇。這給大家傳達(dá)了一個(gè)信息：年復(fù)一年，隨著網(wǎng)絡(luò)威脅事件的數(shù)量和嚴(yán)重程度不斷攀升，促使企業(yè)倒閉的數(shù)據(jù)泄露風(fēng)險(xiǎn)似乎越來(lái)越高。

如今，企業(yè)的首席安全官們就像握著這個(gè)燙手的山芋一樣。有些人被迫采用一種單點(diǎn)解決方案來(lái)應(yīng)對(duì)每一個(gè)新的威脅，而這種解決方案直接參與了安全軟件行業(yè)的營(yíng)銷(xiāo)策略。然而，任何組織的網(wǎng)絡(luò)安全預(yù)算都是有限的。CSO如何最有效地分配其安全防御資源?

簡(jiǎn)單的答案有兩個(gè)：合理地確定風(fēng)險(xiǎn)的優(yōu)先級(jí)，同時(shí)充分利用現(xiàn)有的有效防御措施。在大多數(shù)組織中，無(wú)可爭(zhēng)辯的是未修補(bǔ)的軟件和社會(huì)工程(包括網(wǎng)絡(luò)釣魚(yú))風(fēng)險(xiǎn)最高，其次是密碼破解和軟件配置錯(cuò)誤。減少政策因素和運(yùn)營(yíng)障礙，確保及時(shí)進(jìn)行補(bǔ)丁修復(fù)，建立有效的安全意識(shí)計(jì)劃，培訓(xùn)操作人員鎖定配置并實(shí)施兩因素身份驗(yàn)證，這樣企業(yè)將大大降低總體風(fēng)險(xiǎn)。

當(dāng)然，任何人都可以避免其他重大風(fēng)險(xiǎn)和漏洞。例如，如果是一家電力公司，那么負(fù)責(zé)人需要了解對(duì)關(guān)鍵基礎(chǔ)設(shè)施針對(duì)性很強(qiáng)的威脅，以及如何防御這些威脅。當(dāng)黑客真正入侵組織系統(tǒng)之后，在系統(tǒng)內(nèi)部進(jìn)行身份驗(yàn)證的零信任措施則發(fā)揮作用，阻止攻擊。

[[315551]]

將風(fēng)險(xiǎn)管理日常化

自軟盤(pán)時(shí)代以來(lái)，惡意軟件和黑客攻擊就一直困擾著計(jì)算機(jī)用戶。然而，近幾年，又出現(xiàn)了一種新的威脅，創(chuàng)新壓力下的技術(shù)漏洞。在CIO撰稿人Bob Violino的《安全vs 創(chuàng)新：IT行業(yè)最棘手的權(quán)衡》文章中就揭示了數(shù)據(jù)化變革時(shí)代的陰暗面，文章的核心觀點(diǎn)就是如果以安全和隱私為代價(jià)，那么中變革性的創(chuàng)舉也將會(huì)失敗，而且還可能會(huì)以驚人的方式失敗。所以在創(chuàng)新時(shí)也要考慮到安全架構(gòu)，這樣子不但有利于整體創(chuàng)新的成功還會(huì)增加最終成果的吸引力。

InfoWorld特約編輯Isaac Sacolick在《如何將安全性引入靈活開(kāi)發(fā)和CI / CD中》一文中從軟件開(kāi)發(fā)的角度詳細(xì)探討了該主題。開(kāi)發(fā)人員往往會(huì)認(rèn)為安全性不是他們的問(wèn)題，而是將這個(gè)責(zé)任推到安全團(tuán)隊(duì)身上，而安全團(tuán)隊(duì)是在后期才參與到開(kāi)發(fā)過(guò)程中來(lái)的，因此無(wú)法注意到在構(gòu)建應(yīng)用程序時(shí)，業(yè)務(wù)流程中存在的漏洞。DevSpsOps是DevOps的產(chǎn)物，這讓安全性成為開(kāi)發(fā)人員和操作人員的主要關(guān)注點(diǎn)，不僅避免了代碼缺陷，而且還使安全測(cè)試自動(dòng)化，并在應(yīng)用程序投入生產(chǎn)后對(duì)其進(jìn)行監(jiān)控。

《計(jì)算機(jī)世界》高級(jí)記者Lucas Mearian也在《UEM最終會(huì)在漫長(zhǎng)的求愛(ài)之后嫁給安全》一文中探討過(guò)將安全集成到軟件中的話題。過(guò)去，使用MDM(移動(dòng)設(shè)備管理)，EMM(企業(yè)移動(dòng)管理)或最新版本UEM(統(tǒng)一的端點(diǎn)管理)來(lái)管理移動(dòng)或桌面設(shè)備，這與端點(diǎn)安全管理重疊了，但仍需要單獨(dú)進(jìn)行。據(jù)Lucas說(shuō)，供應(yīng)商現(xiàn)在將兩者合并在一起，以“提供一個(gè)集中化的策略引擎，用單個(gè)控制臺(tái)管理和保護(hù)公司的筆記本電腦和移動(dòng)設(shè)備。”在某些情況下，這種發(fā)展涉及了機(jī)器學(xué)習(xí)算法，該算法基于一些參數(shù)自動(dòng)為用戶分配安全策略，比如地理位置、使用的設(shè)備類(lèi)型以及網(wǎng)絡(luò)連接是公共的還是私有的等。

然而，盡管有時(shí)候新的網(wǎng)絡(luò)安全技術(shù)大張旗鼓地出現(xiàn)，而有些用戶仍毫不知情。Network World的撰稿人Zeus Kerravala在《IT專(zhuān)業(yè)人員應(yīng)該了解但可能不知道的5種防火墻功能》中，揭開(kāi)了現(xiàn)代防火墻的神秘面紗，從網(wǎng)絡(luò)分段到策略優(yōu)化再到DNS安全。不費(fèi)吹灰之力就充分利用了防火墻的功能， Zeus在書(shū)中提供了合理、詳細(xì)的建議。

[[315552]]

最后，我們所有人都必須做好準(zhǔn)備，抵御當(dāng)下時(shí)代最?lèi)毫拥耐獠客{——勒索軟件。CSO高級(jí)作家Lucien Constantin 在《更具針對(duì)性、更復(fù)雜、更昂貴：為什么勒索軟件可能是最大的威脅》一文中警告我們，勒索軟件已變得如此隱秘和復(fù)雜，可以與高級(jí)持續(xù)威脅(APT)相媲美。此外，最近的安全事件也證明，勒索軟件攻擊者的目標(biāo)已從勒索個(gè)體用戶轉(zhuǎn)移到了能夠提供更多贖金的企業(yè)組織。這個(gè)問(wèn)題有多嚴(yán)重?FBI表示，雖然事件數(shù)量一直相對(duì)平穩(wěn)，但支出卻更高。由于組織不愿報(bào)告勒索軟件的勒索事件，因此沒(méi)人真正知道具體情況。

網(wǎng)絡(luò)安全可能是一門(mén)沉悶的科學(xué)。隨著威脅的增加，甚至民主機(jī)構(gòu)也受到攻擊，似乎不僅是制度，而且文明本身也在受到圍攻。但是在這種情況下，只能鼓勵(lì)CSO及其企業(yè)組織加倍努力地開(kāi)發(fā)出更為先進(jìn)的安全防御體系。