Cisco最新安全报告：内部威胁难防 风险评估紧迫

【51CTO.com快
译自7月15日外电头条】对于企业中的IT管理人员来说，来自内部的威胁是最让人头疼的，Web2.0的实施、法规遵从以及各项应用都密切影响着企业的安全性。日前，Cisco发布了半年一度的威胁报告，对如何解决这些密切相关的问题给出了常规建议。最难以抵御的似乎就是内部威胁这个问题是近期的新闻热点，一些能源企业和美国国务院成为了最出名的受害者。“有三个原因造成内部威胁问题越来越严重，”Cisco高级研究人员兼首席安全官Patrick Peterson说。“首先是经济问题，许多员工出于绝望而卷入了违法活动。第二个原因是雇主与雇员之间的关系发生了变化，员工们现在越来越不信任他们的雇主。第三个原因是全球化和外包服务的扩展。”针对这一威胁，Peterson说，企业需要拥有强健的识别和审计机制，但也不能矫枉过正。他指出，比如蒙大拿州波兹曼市最近要求求职者必须提供出他们在各种社交网站上的所有账户名和密码，“他们确实注意到了真正的威胁，但他们执行的策略可能是非法的，而且
肯定是不必要的”他说。Peterson说，企业必须能够识别风险，并且针对具体的工作职能和业务范围来应用不同的策略。“不可能存在一个一刀切的政策，”他说，“我们以前曾多次强调，你必须要对风险进行充分了解。”“然而许多企业并不把重点放在深入了解风险上，并且没有制定如何最小化风险的战略，这是多么令人吃惊，”Peterson承认现在的事实是安全策略
往往过于受到遵从性的影响，而不是根据风险管理来制定。此前，51CTO.com此前发表的文章中介绍了实现风险管理的六大评估方法，专家也建议，风险评估的意义在于对风险的认识，而风险的处理过程，可以在考虑了管理成本后，选择适合企业自身的控制方法，对同类的风险因素采用相同的基线控制，这样有助于在保证效果的
前提下降低风险评估的成本。Peterson解释说，这意味着他们必须在问题出现后才开始解决问题。任何人都不应当还在为一个两年前就已经确定的问题费力，但在现实世界中，有许多人还是这样。“CSO（首席安全官）们必须发挥领导作用，看看现实世界中的风险问题，”他说。他指出，有些行业往往要等到问题发展到出现状况，比如金融服务行业的企业们，他们一般要等到某个同行因为安全问题而上了报纸的大标题时，才着手解决问题。Peterson说当发生这种情况时，他们至少还应该努力找出为什么没有在阅读新闻之前发现问题。软件开发将得到保护
新的软件开发平台可以帮助企业在开发新应用时管理内部威胁的问题。IBM发布了
基于云计算的授权软件来解决这个问题。开源项目TeamForge也做出承诺来帮助企业处理好这个问题。Verizon Business在上周宣布了提供一项应用安全服务，能够帮助企业管理整个项目生命周期，甚至改善他们的软件开发流程。Peterson说这些服务是
的确是企业需要的。“开发工作变得更加快速
复杂，现在的风险比以往要高得多，如果你出现错误，尤其是网络应用，”他说，“坏家伙们的攻击来得这么快。”SaaS和Web 2.0很多企业非常关注Web 2.0，他们应该了解它能够为他们带来什么，但同时也不能忽视风险。“安全威胁和传染病有很多相似的地方，” Peterson说，“尤其是社区网络，有些社区网简直是我的噩梦，就好像一位传染病医生看到屋子里的每个人都在向别人打喷嚏那样。” 想要降低风险就要以牺牲性能为代价。Peterson说，他使用过的最安全的电子邮件服务还是1987年他在斯坦福大学读本科那时候。“我可以给学校里的任何人发送电子邮件，这比我现在使用的更安全，但它的功能放现在连小儿科都说不上了，”他说。社区网络的安全策略必须建立在真实数据的基础上。如果继续随心所欲，无论是用户还是IT部门最终都会焦头烂额。怎样进行培训关于如何进行安全培训，Peterson
认为视频的力量比文字强大得多，即使是进行高级别的培训。“当我拿出视频，让他们亲眼看看那些浏览网页的人发生了什么事，这时即使是那些已经很懂行的安全人员，他们的眼睛也会发亮，我知道他们又有了新的理解，”他说。“你不能只说‘不要碰炉子，烫手’或者‘小心Windows ActiveX的漏洞’之类的空话，你需要实质性的沟通。一旦他们明白‘有些人想要伤害我和企业’，就已经成功了一半，”他说。企业的安全指导方针不能太长，要便于记忆，
缩短指导方针的方法之一是为特定的工作职能或业务范围分别定制指导方针。另外他补充到，许多安全策略的书籍都是十多年前写的了，而现在需要关注的项目增加了很多，但没有一项可以删除。