2016年:安全將成為重中之重 2015-12-30在高度危險的網絡安全攻擊發生時,如對零售商Target或家得寶的攻擊,Sam Redden知道他們需要為此做好準備了。這讓Brazos高等教育服務公司首席安全官Redden不得不召開一個會議向董事會匯報了他的擔憂。Brazos高等教育服務公司負責提供數十億美元的學生貸款。
Redden稱,他已經就所密切關注的事情,如IT部門對企業的保護和團隊如何做好防范工作等與董事會進行了積極溝通,為后續工作打好了基礎。即便這樣,Redden稱:“我們也不能說自己已經走到了不法分子的前面,因為這些不法分子一直是走在所有人前面的。”
美國Computerworld的年度預測調查共采訪了182名IT專業人員,其中50%的受訪者表示他們計劃在未來12個月里增加安全技術方面的投資。此外,當受訪者被問及當前他們所在機構在用的最重要的技術項目名稱時,12%的受訪者不假思索地表示是安全,而只有2%的受訪者認為是向云計算遷移。
Geiger公司首席信息官Dale Denham稱:“當我們看到大型機構花了大量的資金來阻止數據泄露,但是仍然發生了數據泄露之后,我們不得不認為自己也將會遇到攻擊。我們必須要為此制定一個適用的計劃。”
大量攻擊者目前正在被更加有序地組織起來,他們的攻擊能力也愈發的強大起來。對于易受攻擊的網絡來說,攻擊者可利用的進入點數量目前正在呈指數級增長,如具有IP連接功能的電視、打印機、攝像頭,甚至是汽車都可能成為他們的進入點。市場研究機構Gartner評估認為在用的互聯物品到今年年底將增長至49億部,比2014年增長了30%,到2020年將增長至250億部。
在這類企業需要面對的不斷演進的安全威脅中,一個典型例子是SYNful Knock持續性惡意軟件。該惡意軟件去年9月份在思科路由器上被發現。
愛達荷國家實驗室網絡安全官Darren Van Booven稱:“這是首次發現利用思科路由器和交換機設備的惡意軟件。機構必須馬上做好應對這類嚴重威脅的準備,而這需要我們不斷地調整我們的策略。”
PayPal的首席信息安全官John Nai稱,他將在2016年密切關注基礎設施的安全。他認為:“基礎設施安全對我們非常重要。”此外,Nai還表示他認為必須要以對這些基礎設施予以重視。“許多公司都將重點放在了更為高級的功能上,但是我們真地需要對這些基礎性設施保持清醒的頭腦。確保我們正在修補我們的基礎設施,為我們的臺式機打上補丁,獲取能夠察看網絡中正在發生什么事件的操作功能。”
難以留住相關的人才是另一個管理方面的擔憂。其中的道理很簡單,那就是沒有足夠的安全專業人員。在求職市場中,這類人才的報酬非常高,已經超出了許多公司的承受范圍。
目前許多與安全相關的問題讓IT領導者寢食難安。他們中的許多人不會這么拖下去,他們會制訂行動計劃。目前他們正在準備反入侵策略,培訓人員或是對人員進行再培訓,為已知的數據泄露和攻擊制訂災難恢復計劃。
更多的預算
安全專業人員可能會更為頻繁的召集董事會議,以進行解釋。他們會讓這些會議討論提供更多的資源以保護企業系統和數據。受到高度關注的數據泄露事件會讓即便是技術出身的董事會成員也會關注安全的重要性。
一名不愿意透露姓名的中型制造企業的首席信息安全官稱:“與其去找董事會或首席信息官,與他們爭論所有安全開支的正確性,我會等著讓董事會和首席信息官來找我。”
他稱“在某種程度上,這些受到高度關注的數據泄露事件會為我做宣傳。它們幾乎成為了我們的支票本。”不過,他指出:“不要誤解,這些威脅仍然存在,并且非常可怕。”
安全經理稱,他們會在安全預算中增加部分資金以便用于增強安全意識和相關的培訓項目。
Redden稱:“最大的挑戰在于員工。許多問題源自于員工打開了隱藏有木馬和惡意軟件的電子郵件。”他稱:“現在我們應該回過頭去對用戶進行培訓。在Brazos高等教育服務公司,我們會對大多數遠程用戶進行額外的培訓。我們會討論如何阻止其他人訪問他們的筆記本電腦。這些筆記本電腦并不是個人設備。我們會對此進行著重強調。端點保護是首要的問題。”
美國馬里蘭州羅耀拉大學也非常重視用戶的培訓工作。負責技術服務的助理副校長兼首席信息官Louise Finn稱:“我們面臨的最大挑戰是我們的終端用戶,因此我們正在提升網絡意識培訓。”
該校近期聘用的安全運營主管Patricia Malek稱,他們在2016年將對所有業務部門的員工展開面對面的基于場景的培訓。Finn稱:“我們并不是在大學的策略方面對他們展開培訓,而是在個人使用方面對他們進行培訓,強調個人對數據的控制和數據泄露防護。”
堪薩斯市勞工銀行要求員工們每年必須要增加安全意識培訓項目。該銀行的信息安全官 Shaun Miller稱,這一培訓計劃放棄了一些沒有意義的項目,因為威脅變化實在是太快。
為了幫助員工們保持警惕性,Miller會像網絡上的不法分子那樣發送一些釣魚郵件。如果用戶點擊了這些郵件中的鏈接,他們會被轉鏈接至一個登錄頁面,并且告訴他們應該如何進行防范。Miller稱:“我不會為員工找麻煩的。我只是做了與審計公司相同的事情。員工會從他們的錯誤行為中學到一些教訓。”
自營還是轉包?
此次調查中,在希望2016年增加員工數量的受訪者中,有25%的人將安全方案作為推動他們做出這一決定的因素。33%的受訪者稱,擁有他們所期望的安全技能的人才是2016年中最難以招聘到的人才。
在采訪中,中小型機構的高管們稱,他們會雇用那些擁有廣泛IT和安全技能的人才,而不是如入侵檢測或防火墻等某一特定安全領域內的經驗豐富的專家。
許多公司并不是通過雇用的途徑增加相關的專業知識,而是將這方面的業務外包給數量日益增加的安全服務提供商。對于首席信息安全官來說,外包的優勢是回避了招聘到的安全專業人員被其他機構挖走的風險。
圣迭哥Cabrillo信用合作社的首席技術官Frankie Duenas同時也一個由6名IT專業人員組成的部門的主管。這個部門負責從安全和網絡到編程和日常運營工作。在需要的時候,他還會將一些安全幫助工作進行外包。Duenas解釋稱:“為了應對新出現的威脅或是復雜的安全軟件/服務的需求,我們還為安全工作編制了一定的預算。由于網絡攻擊行為發展的很快以及我們需要有足夠的資金,為此我們在明年為應急預算編列了雙倍的資金。”
Geiger的Denham稱,他雇用了第三方來提供入侵檢測和入侵防護服務。公司還將通過PCI數據安全標準與審計和合規性檢查外包商展開合作。他稱:“我并不希望我們在IT部門中雇用太多的安全專業人員。”為此,Geiger將繼續與服務提供商合作以滿足他們的新需求。
Denham稱:“安全工作從來都沒有結束之時。你不會做所有的工作,同時你也不會迅速地完成它們。它們總是超越了IT部門的處理能力。”
安全永遠都是一個關鍵的企業問題。安全工作也從來不會終結,因為黑客總是在尋找新的攻擊方式。PayPal的Nai稱,行業在應對釣魚攻擊方面取得了很大的進步,但是這些不法分子已經將重點轉移到了其它地方,如傳播惡意軟件上。
他稱:“盡管我們在不斷地增強某些領域,但是這些壞家伙并不會放棄。他們也不會轉行,轉而從事合法的工作。他們只是轉到了另一個攻擊向量上。”(范范編譯)