網際網路安全現狀:企業對安全仍不夠重視
“安全沒有捷徑。”
著名電子產品企業Xerox(施樂)的首席資訊保安官艾莉莎·約翰遜(Alissa Johnson)博士,在談到企業資訊保安時表示,在未來能夠對安全帶來影響的因素,主要是人的創造力(科技的發展),不同組織間的合作能力,以及逐漸趨向自動化的辦公場景。
她認為,大資料時代已經到來,以後人們得到的資訊將會是多個數據糅合的結果,而這些資訊會受到來自多方面的干擾:例如隱私政策、安全協議、潛在威脅等等。任何小問題都有可能帶來大的影響,人們總是想要一勞永逸,防患於未然沒有錯,但是安全沒有捷徑,必須穩紮穩打。
所以,對於企業來說,多幾手準備才是正確操作。
網路安全保險?還是網路安全防禦?
隨著網路攻擊的盛行,在一些國家出現了網路安全保險,顧名思義,就是一項保險,像保險公司那樣。可以在企業遭受黑客攻擊的時候進行一定的賠償。現在已經成為企業安全的一項重要措施。網路安全保險的出現,一定程度上代表了企業安全意識的進步,算是網路安全發展良好的表現。但是治標不治本,保險並不能代替真正的安全措施而存在。
很多企業選擇花重金購買網路安全保險而不注重增強安全防禦機制,這樣做的結果是可能會招來更多的黑客攻擊。當然,更重要的是,保險的理賠並不一定能彌補攻擊帶來的損失,只是個心理安慰罷了。
當企業遭到一次網路攻擊,損失的可能不僅僅是資料,因為安全防護能力薄弱,可能會給客戶帶來不可靠的印象。當企業對自身資料安全不以為然的時候,它的品牌和聲譽也不復存在。想要再改善這個狀況可能需要非常大的時間和金錢成本,並且存在無法挽回的可能。
企業安全防護往往具備一定的複雜性,需要根據企業需求的不同來定製,通過多個模組共同協作來保障系統、資料的正常運營。當然,也存在一些想要偷工減料的例子,一些企業試圖通過簡單的部署達到全然的防範,這顯然是不可能的。各項安全措施的存在是為了相互補足。想讓其中某一項去取代或填補另一項的空缺都是不切實際的想法。
安全帶來的收益
以施樂公司為例,由於主要業務的獨特性,因此非常容易收到APT攻擊。為保護公司的正常執行,該公司採用了時下較為先進、全面的安全防禦技術。該技術具有裝置受損檢測、文件和資料檢測等多個功能,能夠長時間持續對裝置、資料進行監控。
其中,入侵檢測技術,依賴於企業內部部署的防火牆、使用者訪問機制以及McAfee的身份驗證和白名單功能。檢測受損的裝置則是採用韌體驗證的方式。對企業資訊資料採用多種加密功能,保障個人隱私和敏感資訊的安全。同時,施樂長期與McAfee保持合作關係,也保證了裝置更新的時效性。
通過與專業的安全公司、技術團隊合作,能夠有效的提升企業安全素養。並且相對自動化的防護也為日常工作帶來了極大的便利。
約翰遜表示,長時間保持對資訊保安的關注,除了能確保第一時間處理問題之外,還對企業文化的建立帶來一定的影響。安全意識的提升,不僅對自身有益,還能增加合作伙伴的信任和好感度。
網路安全人才短缺
據統計以及預測,至2022年,網路安全領域的崗位不飽和度將達70%。也就是說,各行各業對資訊保安人才的需求量將持續增大,並且人才市場供不應求。
對此狀況,約翰遜的理解是,網路攻擊的多樣化導致安全需求擴大,同時整個市場也會面臨勞動力短缺的狀況。
未來的工作將更多的向自動化、人工智慧方面偏移,一方面能夠提高效率、精確度,另一方面也能夠降低人工帶來的風險。而這些都將依託網際網路或物聯網,這正是黑客重點關注的目標。
因此,企業之間應當進行更多的交流溝通,群策群力,互相之間取長補短。
企業仍需關注安全問題
除了人才方面的供應,企業的主觀因素也是需要考慮的問題。任何措施或行為能夠實施的先決條件都需要老闆先點頭。因此,讓企業高層意識到安全的重要性也是刻不容緩。管理層的直接對話,既能進行有效的溝通,也是計劃執行的保障。能夠讓管理者如實瞭解相關的狀況,知曉存在威脅的大小,以及可能造成的損失,對安全措施的部署也能起到一些積極作用。
當然,除非科班出身,一般的管理層不說能不能意識到安全的重要性,讓他們上手操作肯定也是一頭霧水。所以仍然需要專業人士進行相關技能的指導或合作。對企業來說,基本上有兩種選擇,一是安全外包,交給專業的來;或者是自行培養安全團隊,這可能會是一個很長的週期,但對企業未來的發展來說,是有益的。
當安全成為企業文化的一部分,也就是說當企業自身成為了安全的保障,那麼不論是對客戶還是對使用者都將是一個喜聞樂見的結果。
*參考來源: ofollow,noindex">helpnetsecurity ,Karunesh91編譯,轉載請註明來自FreeBuf.COM