應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

數(shù)字化轉(zhuǎn)型,安全先行的4項(xiàng)關(guān)鍵挑戰(zhàn)

2018-10-10 09:56 安全牛 jasmine

導(dǎo)讀:根據(jù)451 Research公司去年年底進(jìn)行的一項(xiàng)調(diào)查顯示,49%的IT專業(yè)人員和業(yè)務(wù)線經(jīng)理表示,保護(hù)客戶數(shù)據(jù)是他們的主要轉(zhuǎn)型目標(biāo)之一。使用數(shù)據(jù)的同時(shí),請(qǐng)保護(hù)數(shù)據(jù)。人人有責(zé)。

改善網(wǎng)絡(luò)安全狀況正成為啟動(dòng)數(shù)字化轉(zhuǎn)型項(xiàng)目的驅(qū)動(dòng)因素。然而,實(shí)施過(guò)程中存在的錯(cuò)誤往往會(huì)釀成慘痛的后果,需要為之付出沉重的代價(jià)。

數(shù)字化轉(zhuǎn)型對(duì)于許多企業(yè)的長(zhǎng)期發(fā)展目標(biāo)而言至關(guān)重要,因?yàn)樗梢詭椭麄兊钟绱汗S般不斷涌現(xiàn)的初創(chuàng)公司,更好地滿足客戶的需求,尋找新的發(fā)展機(jī)會(huì),以及幫助企業(yè)降低成本等等。

此外,也是尤為重要的一點(diǎn)是,它還可以幫助提高企業(yè)的安全性。根據(jù)451 Research公司去年年底進(jìn)行的一項(xiàng)調(diào)查顯示,49%的IT專業(yè)人員和業(yè)務(wù)線經(jīng)理表示,保護(hù)客戶數(shù)據(jù)是他們的主要轉(zhuǎn)型目標(biāo)之一。

今年夏天,研究公司Lucid也對(duì)IT領(lǐng)導(dǎo)者進(jìn)行了一項(xiàng)調(diào)查,結(jié)果顯示49%的IT領(lǐng)導(dǎo)者認(rèn)為,更好的網(wǎng)絡(luò)安全保護(hù)是他們公司關(guān)注數(shù)字化轉(zhuǎn)型的原因之一。40%的受訪者表示,網(wǎng)絡(luò)安全是他們公司投入最多的數(shù)字化轉(zhuǎn)型領(lǐng)域。

實(shí)際上,我們正在目睹越來(lái)越多的IT領(lǐng)導(dǎo)者采取數(shù)字化轉(zhuǎn)型項(xiàng)目來(lái)支持他們的網(wǎng)絡(luò)安全戰(zhàn)略。這些項(xiàng)目涉獵極廣——小到員工入職和離職期間獲取更好的訪問(wèn)權(quán)限,大到一些大型項(xiàng)目,如跟蹤GDPR敏感數(shù)據(jù)的位置和其他合規(guī)性要求等,無(wú)一不包含在內(nèi)。

除此之外,遷移至現(xiàn)代基礎(chǔ)架構(gòu)(包括Office 365等基于云的解決方案)通常也可以單獨(dú)提高安全性。 RiskLens公司近日針對(duì)準(zhǔn)備向云供應(yīng)商遷移的大型企業(yè)進(jìn)行了風(fēng)險(xiǎn)分析研究,結(jié)果指出,由于我們的電子郵件環(huán)境不再是本地(on-premises)部署,我們將更加擔(dān)心網(wǎng)絡(luò)中斷和數(shù)據(jù)保護(hù)問(wèn)題。但是研究人員也發(fā)現(xiàn),微軟對(duì)Office 365的管理往往遠(yuǎn)遠(yuǎn)領(lǐng)先于組織自身所實(shí)現(xiàn)的管理,因此就整體而言,實(shí)際風(fēng)險(xiǎn)在遷移到云時(shí)會(huì)減少,而不是增加。

專家表示,數(shù)字化轉(zhuǎn)型項(xiàng)目還可能導(dǎo)致企業(yè)環(huán)境的可見性降低,人力檢查點(diǎn)減少,以及面臨新的安全威脅。 事實(shí)上,根據(jù)Fortinet最近進(jìn)行的一項(xiàng)調(diào)查顯示,安全性是迄今為止數(shù)字化轉(zhuǎn)型工作面臨的最大挑戰(zhàn),85%的首席安全官(CSO)和首席信息安全官(CISO)表示,安全性對(duì)于數(shù)字化轉(zhuǎn)型工作而言一個(gè)巨大的難題。

普華永道在最新發(fā)布的一份報(bào)告中表示,很少有公司正在將網(wǎng)絡(luò)和隱私風(fēng)險(xiǎn)管理正確地納入其數(shù)字化轉(zhuǎn)型中。未來(lái)的贏家將屬于那些自設(shè)計(jì)階段開始就在構(gòu)建風(fēng)險(xiǎn)管理的企業(yè)所有。能否在數(shù)字化轉(zhuǎn)型過(guò)程中正確建立網(wǎng)絡(luò)和隱私風(fēng)險(xiǎn)管理,將成為企業(yè)確立品牌形象的關(guān)鍵一戰(zhàn)。

以下是企業(yè)組織在將安全性納入數(shù)字化轉(zhuǎn)型過(guò)程中將面臨的4大主要挑戰(zhàn):

1. 對(duì)數(shù)據(jù)和流程的可視性降低

據(jù)RiskLens公司所言,當(dāng)基礎(chǔ)設(shè)施由第三方托管時(shí),企業(yè)對(duì)于能夠收集的數(shù)據(jù)的控制權(quán)就會(huì)降低。試想一下,如果你的基礎(chǔ)設(shè)施是在本地部署的,你就能夠獲取更好的可視性,可以在任何時(shí)間操控任何你想要控制的數(shù)據(jù)。當(dāng)然,第三方服務(wù)供應(yīng)商也會(huì)為你提供一些控制和報(bào)告,但是這與公司控制自己的基礎(chǔ)架構(gòu)的程度明顯不同。

如果說(shuō)公司未能提前制定好計(jì)劃來(lái)管理新基礎(chǔ)架構(gòu)的話,那么即便是在本地安裝新系統(tǒng),可視性也可能會(huì)成為問(wèn)題。一旦你無(wú)法確定相關(guān)資產(chǎn)的狀態(tài),或者將新軟件部署到該資產(chǎn)時(shí),你就會(huì)面臨安全風(fēng)險(xiǎn),無(wú)疑,你的攻擊面也將進(jìn)一步擴(kuò)大。

以容器為例,它可以在本地、混合或云環(huán)境中運(yùn)行。多年來(lái),未能妥善保管容器一直是個(gè)問(wèn)題。一個(gè)問(wèn)題是,安全性無(wú)法產(chǎn)生收益。大多數(shù)企業(yè)都沒能從安全性中獲利,因此,從歷史上看,大多數(shù)企業(yè)的主要關(guān)注點(diǎn)都未放在安全性上,盡管多年來(lái)它已有所改善。如此一來(lái),從安全角度來(lái)看,基礎(chǔ)設(shè)施的構(gòu)建、增長(zhǎng)甚至成熟速度在很多情況下都要遠(yuǎn)遠(yuǎn)超過(guò)企業(yè)所能應(yīng)對(duì)的程度。

而當(dāng)業(yè)務(wù)部門在未經(jīng)IT部門的批準(zhǔn)下購(gòu)買新技術(shù)時(shí)(即所謂的“影子IT”),問(wèn)題就會(huì)變得更為嚴(yán)重。特別是云服務(wù)可以在無(wú)需大量技能支持的情況下,即可快速輕松地實(shí)現(xiàn)部署和設(shè)置。如今,企業(yè)系統(tǒng)中存在越來(lái)越多的“影子IT”,業(yè)務(wù)部門已經(jīng)打破舊的原則,在未經(jīng)IT部門許可的情況下構(gòu)建屬于自己的基礎(chǔ)設(shè)施,這無(wú)疑加重了安全問(wèn)題。因?yàn)楣綢T管理人員甚至不知道有這些系統(tǒng)的存在,談何具備對(duì)這些系統(tǒng)的可視性。

2. 人力檢查點(diǎn)減少

人類雇員需要對(duì)企業(yè)中存在的許多甚至大多數(shù)安全問(wèn)題負(fù)責(zé):他們會(huì)在輸入交易時(shí)發(fā)生拼寫錯(cuò)誤;他們會(huì)忘記啟用安全控制;他們會(huì)打開網(wǎng)絡(luò)釣魚郵件并點(diǎn)擊惡意鏈接;他們會(huì)陷入網(wǎng)絡(luò)騙局;他們會(huì)堅(jiān)持在不同的平臺(tái)上使用相同的弱口令。

通常情況下,我們的網(wǎng)絡(luò)解決方案要比我們更強(qiáng)大,因?yàn)槲覀冏鳛槿祟?,具備情感,所以更容易被惡意行為者利用和操縱。但是值得注意的是,人類也提供了一種叫做“常識(shí)”的關(guān)鍵劑量,不過(guò)隨著流程逐漸實(shí)現(xiàn)完全自動(dòng)化,人類所獨(dú)具的這種技能也在隨之消失。

舉個(gè)例子,有些事情就像SQL注入一樣簡(jiǎn)單。人類可以通過(guò)代碼立即獲取想要獲取的數(shù)據(jù),而無(wú)需人力識(shí)別和過(guò)濾。這顯然是自動(dòng)化所帶來(lái)的便捷之處,但是要知道,計(jì)算機(jī)只有在經(jīng)過(guò)編程之后才能執(zhí)行相應(yīng)的任務(wù)。作為人類,我們能夠通過(guò)直覺或常識(shí)來(lái)判斷一些東西可能存在問(wèn)題,但是計(jì)算機(jī)并不具備這種能力。它們只能依賴特定的編程來(lái)執(zhí)行任務(wù),因此可能會(huì)存在遺漏、錯(cuò)失的情況。

如今,越來(lái)越多的企業(yè)正在不斷增加其自動(dòng)化建設(shè),在這種高效、低成本的環(huán)境中,企業(yè)習(xí)慣將人類從控制臺(tái)中剔除,這種行為可能導(dǎo)致的問(wèn)題值得企業(yè)深思。

3. 未知的“未知數(shù)”

數(shù)字化轉(zhuǎn)型有時(shí)可能會(huì)帶來(lái)新的、無(wú)法預(yù)料的攻擊向量。例如,Amazon S3存儲(chǔ)桶的使用。其價(jià)格便宜、使用便捷、易于設(shè)置,同時(shí)也易于遭受攻擊。

在過(guò)去一年中,包括埃森哲、道瓊斯、Verizon以及軍事情報(bào)機(jī)構(gòu)INSCOM在內(nèi)的多家技術(shù)精湛的公司,都將敏感數(shù)據(jù)暴露在了亞馬遜上。無(wú)獨(dú)有偶,Kenna Security公司研究人員最近也發(fā)現(xiàn),9,600家分析機(jī)構(gòu)中有31%因?yàn)镚oogle網(wǎng)上論壇和G Suite配置出錯(cuò)而泄露敏感電子郵件信息。受影響的實(shí)體包括財(cái)富500強(qiáng)公司、醫(yī)院、大學(xué)和學(xué)院、報(bào)紙和電視臺(tái),甚至美國(guó)政府機(jī)構(gòu)。

Kenna Security研究人員指出,使用G Suite的組織在創(chuàng)建郵件列表可能會(huì)配置Google Groups 界面。由于術(shù)語(yǔ)和組織范圍與Groups特定權(quán)限很復(fù)雜,導(dǎo)致列表管理員無(wú)意中可能泄露電子郵件列表的內(nèi)容。據(jù)悉,造成此次事故的谷歌G Suite,正是許多正在轉(zhuǎn)型中的企業(yè)所使用的轉(zhuǎn)型產(chǎn)品。事實(shí)上,由于缺乏持續(xù)的警惕性而導(dǎo)致的錯(cuò)誤配置問(wèn)題,已經(jīng)使全球不同行業(yè)的眾多組織遭遇了數(shù)據(jù)泄露事件。

4. 你需要一個(gè)網(wǎng)絡(luò)安全計(jì)劃

首席安全官(CSO)在確保企業(yè)的數(shù)字化轉(zhuǎn)型戰(zhàn)略(包括網(wǎng)絡(luò)安全計(jì)劃)方面發(fā)揮著重要的作用。他們發(fā)揮作用的關(guān)鍵就是要能關(guān)注那些對(duì)企業(yè)而言最重要的問(wèn)題。

安全人員有時(shí)候習(xí)慣打啞謎,聽得人云里霧里,公司自然也就不了解安全的重要性以及如何落實(shí)安全性了。事實(shí)上,安全人員需要提供一些清晰且實(shí)實(shí)在在的案例,這些例子不僅僅是技術(shù)性的,還需要能夠清楚地說(shuō)明哪些因素可能會(huì)對(duì)公司的品牌產(chǎn)生什么影響。

例如,數(shù)據(jù)泄露行為就會(huì)對(duì)公司的市值產(chǎn)生影響。你可以為企業(yè)繪制一個(gè)簡(jiǎn)單的圖表,說(shuō)明Equifax數(shù)據(jù)泄露事件為其帶來(lái)的成本和市值損失;Target數(shù)據(jù)泄露造成的成本損失,以及Facebook泄露客戶隱私所造成的市場(chǎng)成本和名譽(yù)損失。更重要的是,這種損失成本還一直在大規(guī)模的增加。

首席安全官也必須把握好言語(yǔ)的尺度,以能夠說(shuō)服企業(yè)高管支持網(wǎng)絡(luò)安全舉措為宜,切勿營(yíng)造一種危言聳聽的形象。例如,太多的安全專業(yè)人員只關(guān)注于將數(shù)據(jù)和流程遷移至云端的額外風(fēng)險(xiǎn),而忽略了其優(yōu)勢(shì)。這種行為并非實(shí)際的分析工作,而是在傳播一種恐懼、不確定和懷疑的氛圍,甚至可能導(dǎo)致首席安全官失去信譽(yù)。

之后,企業(yè)可能仍然會(huì)繼續(xù)進(jìn)行該項(xiàng)目,因?yàn)樗麄兛吹搅嗽擁?xiàng)目的價(jià)值、機(jī)會(huì)或成本優(yōu)勢(shì),首席安全官也會(huì)由此受到限制,損耗企業(yè)對(duì)其的信任。

如果首席安全官能夠客觀地談?wù)摌I(yè)務(wù)方面的風(fēng)險(xiǎn)和安全性,那么他們將更有可能在數(shù)字化轉(zhuǎn)型項(xiàng)目中發(fā)揮作用,樹立威信。安全專家建議稱,安全專業(yè)人員可以關(guān)注風(fēng)險(xiǎn)評(píng)估方面的一些國(guó)際標(biāo)準(zhǔn),例如FAIR風(fēng)險(xiǎn)評(píng)估框架等等。這些標(biāo)準(zhǔn)并不是傳遞FUD(恐懼、不確定和懷疑),或云是危險(xiǎn)的等觀點(diǎn)的,而是旨在幫助企業(yè)安全人員做出更為明智的決策。