本文讲的是安全、合规、IT运营面临的5大主要挑战,鉴于如今不断进化的威胁态势,公司企业希望采取积极主动的威胁应对方式,创建持续合规的环境,拥有响应良好的IT运营过程,是无可厚非的。谁不想减小风险暴露面和攻击界面?谁不想能检测并响应高级威胁?谁不想降低安全运营开销?
现实却是:各种各样的压力阻碍着公司企业实现这些目标,而且这些压力还不会很快消失。多家商业及公共机构的安全实践负责人和高管,就最优化安全及合规项目,综合出了5条必须应对的挑战。
挑战 #1:数据泄露那为人所知的影响
看起来无穷无尽不断登上新闻头条的数据泄露事件,让公司企业,包括高管和董事管理层,都意识到了安全的重要性,也感受到了可能成为下一个受害者的恐惧。
去年,《Tripwire》调查中82%的受访者认为自家公司会遭遇数据泄露。ISACA和RSA的联合调查也表明,78%的董事会如今对计算机安全十分在意。
这种高度关注,部分是由于计算机犯罪造成的损失。据美国战略与国际问题研究中心估计,计算机犯罪每年造成的损失高达4450亿美元。很不幸,随着公司企业处理和存储更多的信息,随着网络犯罪愈加流行且影响越来越大,这个数字也会水涨船高。
网络犯罪在频度、影响和复杂性上持续升级,公司企业无论规模和产业,均受其威胁。一起数据泄露或网络入侵事件,就可以致使公司企业损失客户、利润和信誉,遭遇运营持续性的伤害和数据完整性质疑。对某些公司而言,这些损失的程度可以从惨痛到完全不可恢复。
挑战 #2:技术缺口
引发数据泄露损失上升的驱动因素之一,就是持续升温的信息安全技术缺口问题。
上文提及的ISACA/RSA调查中,52.44%的受访者觉得自家公司员工中只有不到1/4是称职的。这些受访者同时指出,安全实践者理解业务的能力是最大的技术缺口。
该问题给公司企业带来了很严重的风险。如果安全实践者不能完全理解他们业务的本质,安全和业务负责人就无法看清每个资产在支持公司使命方面所起的作用。这意味着他们领会不到保护每个资产的相关业务重要性,而这将会影响到他们减少威胁缓解风险的能力。
而且,尽管业务纯熟的专业人士如今或许炙手可热,也掩盖不了信息安全从业者人数不足这个简单而残酷的事实。2014年的一项调查估测,全球安全专业人士岗位需求425万个,但只有225万名从业者活跃在这一领域。
技术缺口还给公司企业带来了双重风险。不仅仅是信息安全从业者短缺,有经验的管理人才更是稀缺。只要还想撑住自己的数据安全,公司企业必须直面招聘和技术缺口的挑战。
挑战 #3:终端爆炸式增长
很久以前,网络设计者仔细思考过以太网连上烤箱的前景。在当时,这只能是个笑谈,但如今,技术已经证明或者即将表明,所有事物都可以通过网络来连接、访问、提供服务,或者加以控制。联网设备及资产的大爆炸,引入了增量扩张问题,让大多数早期安全和合规模型及预测难堪重任。当前比以往任何时候都需要有经验的安全人士来护卫现代IT环境中五花八门的大量终端设备,而且未来这些设备还会只多不少。
这与1992年IT从业人士可以用杀毒软件抵御大多数数字威胁的情况不是一个级别的。但根据思科的报告,如今大约有229亿台终端运行在企业网络中,到2020年该数字还会翻个倍。要保护如此之多的设备,安全运营开销和公司企业确保每台设备合乎行业标准的投入,自然也会随之直线上升。
挑战 #4:数字-物理融合
终端数量在所有经济领域增殖,包括金融服务、零售、饮食、工业、电力、油/气、汽车、运输和公用事业公司。这些公司有责任维护关键国家基础设施,比如运输系统、电站和电力输送系统、耐用消费品,以及食品生产、加工和配送设施。也就是说,对他们终端的任何威胁,都有可能摧毁经济或造成破坏,包括对市民的物理伤害。
如果一家工业公司意识到工业控制系统(ICS)中存在漏洞,他们将会应用对策,进行硬件修复,确保在进行进一步动作前没有软件冲突。这是因为ICS里的硬件问题是十分重大的,会在高度优化和有限容错的生产体系中造成断电、减少工业输出和其他不良下游效应。
同时,企业还极关注隐私,有一套规则限制非特权用户访问信息。他们的信息安全项目大多用在了防范数据泄露的信息保密性上。
IT和OT曾经是分离的,但在物联网(IoT)和工业物联网(IIoT)背景下,我们开始见证企业和工业团队共同合作,无缝衔接服务的融合景象。我们有充分的理由认定,这俩在关键基础设施防护上也应结成良好同盟。
展望未来,为锻造建设性伙伴关系,在平衡优先级和探索安全利用方式的时候,公司企业需要将IT、IoT/IIoT中的所有系统和终端纳入考虑。
挑战 #5:飞速发展的安全和技术
如数字-物理融合所揭示的,威胁并不是均匀分布的。各家公司之间安全的形式和维度都不相同。这意味着“安全工具箱”式的解决方案或许是应对的一部分,但绝不是保持系统和数据安全的完整答案。
安全必须进化才能应对当今复杂的威胁态势。去年、前年的解决方案,需要相对于其当前的价值主张进行重新评估。其中一些技术和厂商伙伴关系会持续推进到未来,并有价值主张上的改善。其他则不会那么好运,若想继续生存下去提供价值,就需要作出极大的改变和适应。在提供商领域,我们目前正在见证沧海桑田般的转变:领域内老牌提供商已丧失了领头羊地位,新提供商顶替了他们的位置。无论如何,解决方案需要适应企业当前和未来的需要。总的来说,安全解决方案需要让公司企业更方便地相互共享威胁情报。
当然,这些改变会让公司企业难以在安全方面进行投入。毕竟,引导所有这些各不相同的数据包和配置选项,是件令人头疼的事。
因此,公司企业需要理清自身在安全上的具体需求,要识别出最需要保护的关键资产,找出搞定安全需求所必需的技术、人手和其他资源。
一个重要,或者说必不可少的基准点,是安全框架。大多数公司企业都需要采纳一个,就像所有商业和公共机构都遵守标准财务报告框架和协议一样。NIST、Gartner的PPDR、CIAS、ISO27001之类的公开安全框架都有效。框架一旦选定,根据公司及其所属商业生态系统的具体需求进行校准和调整便是必不可少的。所选框架的采纳应用,需要良好的计划、强力的投入(或许还有资金的重分配)、靠得住的合作伙伴、执行,以及时间。
结论
或许各人想法有异,但这5个挑战不会很快消失。公司企业需要将这些因素纳入考虑,拿出一个向前看的方案。他们需要准备好管理和缓解不断升级的安全,顺应这些趋势带来的运行风险。这一过程应该包括:
按基于风险的定位,准确评估公司IT、IoT/IIoT相关需求;
采纳并应用合适的基于标准的框架;
创建或调整自身安全及合规架构;
选择战略供应商/合作伙伴,他们的技术能力、战略愿景和商业活力要能支持你的架构,核心能力要能解决这些趋势带给公司的挑战;
根据业务风险优先级发展和阶段性实现及部署安全合规计划;
实现或扩展持续性监测、响应及校验项目。
最后,有鉴于这些趋势,每家公司企业都需要扩展对于手头任务规模和复杂性的认知。这一认知会拓宽安全项目的范围,使之容纳进整体环境及用以缓解所面临风险的长期计划。
采取务实的积极的方法态度对待网络安全和合规,是当前重中之重。