您的位置: 网界网 > 新闻 > 正文

企业安全性难以提升的六大原因

2015年03月31日 15:13:54 | 作者:范范编译 | 来源:网界网 | 查看本文手机版

摘要:在去年发生了史上最大的银行卡信息被盗事件后,Target的首席执行官和首席信息官双双辞职。这一事件为所有的主管都敲响了警钟。不采取严格安全措施的后果也已经变得非常明朗。

标签
防火墙
网络监控
企业安全
双重认证
身份管理
数据泄露
入侵检测系统
安全事件监控

【CNW.com.cn独家译稿】在去年发生了史上最大的银行卡信息被盗事件后,Target的首席执行官和首席信息官[注]双双辞职。这一事件为所有的主管都敲响了警钟。不采取严格安全措施的后果也已经变得非常明朗。

一些家喻户晓的知名公司也都受到了数据泄露的困扰,其中包括:Michaels、PF Chang's、社区卫生系统公司、UPS、冰雪皇后、Goodwill、家得宝、摩根大通、凯马特、Staples和索尼。数据泄露事件不仅导致索尼影视娱乐公司联席主席Amy Pascal辞职,也导致公司的声誉严重受损。

面对如此严峻的形势,公司无动于衷的可能性到底有多大呢?正如美国InfoWorld网站的Roger Grimes曾经多次强调的那样,阻止成功攻击的最佳实践都是血淋淋的教训。在2014年发生数据泄露之前,索尼就因为安全措施漏洞百出而名声不佳。Roger曾经以索尼为例提醒我们“许多公司的计算机总体安全状况非常令人担忧。”

在这些数据泄露事件发生后,安全意识受到了高度关注,然而今年我们可能将会看到更大的灾难。那么怎么会造成这样的呢?以下是我的一些看法。

1.企业高层心存侥幸

在正常的操作中增加额外步骤无疑会降低生产效率,这样的安全举措也需要投入更多的资金。没有一个行业高管会因为通过降低风险而赢得赞誉,短期内的营利更受关注,高级主管也倾向于频繁改变自己的工作。在几年的任期当中发生严重数据泄露事件的风险是多大呢?虽然机率比几年前已经明显增加,但是正如Arijit Chatterjee和Donald Hambrick在2007年于宾夕法尼亚州立大学所做的里程碑式的研究《这就是我的一切》中所说的那样,首席执行官们都有自恋的倾向,而自恋者们往往甘冒这种风险。

2.对厂商言听计从

安全厂商的主要工作是炒作最新的威胁(目的是宣传自己),然后销售应对这些威胁的解决方案。虽然这些威胁在技术上都是真实存在的,但是相对于那些利用系统漏洞发起的攻击来说这类威胁的风险都很小。如果相信这些过度宣传,那么将会导致富贵的资源没有被用到最需要的地方。

3.屈服于运营阻力

当我们决定消除机构中的第一大风险——客户端Java时,就会有业务线经理说某些关键应用需要依赖于客户端Java。实际上,一些关键应用所依赖的老版本Java存在大量漏洞,并且这些漏洞都被充分地用在了攻击当中。公司是否真地希望在使用更安全的技术重建这些应用的同时让运营工作暂时让路?在规划明年的重大技术更新时,是否也会出现这种情况?

4. 未能进行针对性培训

管理员往往会被视为一名会点击随机文档附件,点击挂有恶意软件网站链接,或是安装虚假杀毒软件并对虚拟病毒警报做出反应的白痴。实际上,钓鱼邮件往往做的非常精致,当真的反恶意软件工具侦测到木马时,若是你没有看到发生了什么,你如何辨别什么是假的(+微信关注网络世界),什么不是假的呢?除了提高对网络钓鱼的警惕外,用户还需要有组织的进行安全培训。培训不需要很长时间,但是不可缺少。

5.对安全措施过于自信

公司可能设置了防火墙入侵检测系统安全事件监控网络监控双重认证身份管理等所有的安全措施。你可能会自信地认为没人能够入侵它们!然而事实是只要你有丝毫的松懈,那么你可能就已经被“黑”了。我们应当时刻牢记,在不用时对关键信息进行加密,不要设置永久性管理员特权,采取一些即便黑客入侵也能够将损失最小化的措施。

6.听天由命放任不管

许多企业都知道这些问题有多可怕。但是他们能够做些什么呢?使用高级持续性威胁(APT[注])专业家伙几乎无人能够阻止。每年的欺诈和网络盗窃都会给金融行业造成数十亿的损失,这些也是他们生意成本的一部分。许多人正在形成“不法之徒最终会有机可趁”的认识。这一点有稍许的道理,因为漏洞利用总是比防御措施要先一步。受到攻击是不可避免的。但这绝不是在出现最佳实践后仍然放任不管的借口,我们应当最大限度地缩小受到攻击的范围。

任何松懈的安全措施几乎肯定会让你成为攻击的目标。是面对危险墨守成规听之任之,还是为尽量降低风险整天绞尽脑汁?对于后者,我可能从来都没有看到他们过得到过相应的回报。对我个人来说,我更愿意每天能够安然入睡。(范范编译)

参考资料

1.APT:(Advanced Persistent Threat,高级持续性威胁),是指黑客或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为...详情>>

2.CIO:(Chief Information Officer),首席信息官,亦可称之为信息主管、信息总监等,是企业中信息化建设“统筹”人,是企业中不可或缺的高级主管职位之一,主要负责企业内部信息...详情>>

[责任编辑:文山 wen_shan@cnw.com.cn]