最近发生了不少网络安全的大事件,继WannaCry后,Petya勒索病毒变种增加了内网共享的传播途径,传播速度更快,这是我们能够在大众媒体上轻易看到的网络攻击,看不到的呢?如何更有针对性地保障企业网络安全?应该让企业现身说法。正是因为企业CISO承担着企业网络安全“监护人”的角色,赛门铁克公司近日针对企业数据安全现状,委托韦克菲尔德研究中心发布了一项调研报告,报告共邀请覆盖全球11个市场,1100名首席信息安全官参与了调研。如果说赛门铁克之前发布的第22期ISTR更能代表安全厂商的所见所闻,那么赛门铁克CISO调研报告就更能展现用户的实际处境,对网络安全市场发展也有更明确的指导意义。
出人意料的是,报告结果显示,云安全是中国首席信息安全官(CISO)最担忧的挑战,此外,中国CISO更关注自身企业是否拥有快速应对网络攻击的能力。
云计算凭借卓越的可扩展性、更短的上市时间、更低的成本费用,以及出色的工作效率,不仅吸引了越来越多行业的关注,也同样吸引着网络罪犯的目光;再结合第22期ISTR报告中所提到的,企业对云服务日益依赖,但却并不了解企业内部云应用的情况(企业CIO认为存在30-40种云应用,实际上多达928种)。云计算的优势让它成为“众矢之的”,赛门铁克公司大中华区首席运营官罗少辉补充,加之认知上的差距,可能会让员工在未采取足够政策和流程的情况下应用云技术,增加云端应用的风险。报告中也提及,中国CISO预计,自身企业所使用的基于云的应用中,平均30% 为未经批准的应用,或者为“影子应用”。
罗少辉形象的比喻:“这个全新的无边界基础架构在网络攻击者眼中成为了一座潜在的金矿。”云成为了网络犯罪的下一个着手点。再回忆一次,去年,AWS的5小时中断影响了多少企业用户的服务和客户?报告显示,中国CISO针对云安全的担忧一方面来自前文所讲的云计算网络安全形势紧迫,另一方面则是确保云应用符合合规要求,92%的CISO认为确保云应用符合合规要求是他们所面临的最大的工作压力之一。不仅如此,70%的受访CISO认为,无论是有意还是无意的举动,企业首席执行官(CEO)在某些情况下可能破坏了企业的内部安全协议。罗少辉补充表示,中国CISO最担心自身企业是否能够充分跟踪已批准的云应用中的活动,以及公司员工是否使用未被批准的云应用。
报告还详细罗列了中国CISO针对云安全话题,在2017年最关注的企业外部威胁:数据泄露(30%)、系统漏洞利用(23%)、身份认证及证书破坏(20%);云安全内部威胁则为:员工违反安全合规要求(26%)、不安全的企业应用(22%)、数据丢失(21%)。此外,中国CISO还担心在云应用中广泛分享合规所管控的敏感数据 (21%),对企业所属移动设备的管理(16%) 以及遵守国家和地区特定的数据保留和管理条例(11%)。
一系列数据如重拳,一记记的打在CISO的安全防护措施上,疼在网络安全厂商的心里。所幸企业CISO已经意识到了问题的严重性,赛门铁克的调研显示,为了加强信息安全,所有受访的中国CISO(100%)表示,计划在今年增加IT人员安全培训的支出,确保企业数据在本地系统、移动应用和云服务之间传输的安全性。新加入的IT员工在入职培训期间将接受平均13个小时的安全培训。值得提出的是,中国CISO所计划的支出高于所有其他受调研的国家。
对数据安全、满足合规性和数据保留等方面的需求,促使中国CISO寻找加密(Encryption)和/或标记化(Tokenization)解决方案来支持企业的软件即服务(SaaS)计划。赛门铁克的调查显示,绝大数(98%)的中国CISO认为,云数据标记化是满足数据保留和数据管理条例的最佳方式——80%的受访者表示使用标记化方法;77% 的中国CISO表示使用加密技术来保护云中数据;60%的受访者表示自身企业同时使用加密技术和标记化方法,与其他受访国家相比,中国CISO采用标记化方法的比例更高。
赛门铁克 企业云安全建议
罗少辉指出,网络罪犯组织会利用合法的操作系统、工具和云服务中的漏洞来破坏企业网络,CISO需要拥有对企业网络架构的可见性和管控力,对用户通过云上传、存储和共享的敏感内容进行管理。他建议,CISO应该减少对一次性修复和被动打补丁的依赖,企业需要一种新的整合型安全模式,需通过主动部署端到端解决方案来消除可被利用的潜在漏洞和威胁,通过整体方案应对云安全问题。
原文发布时间为:2017年7月5日
本文作者:杨昀煦