2016年:安全将成为重中之重 2015-12-30在高度危险的网络安全攻击发生时,如对零售商Target或家得宝的攻击,Sam Redden知道他们需要为此做好准备了。这让Brazos高等教育服务公司首席安全官Redden不得不召开一个会议向董事会汇报了他的担忧。Brazos高等教育服务公司负责提供数十亿美元的学生贷款。
Redden称,他已经就所密切关注的事情,如IT部门对企业的保护和团队如何做好防范工作等与董事会进行了积极沟通,为后续工作打好了基础。即便这样,Redden称:“我们也不能说自己已经走到了不法分子的前面,因为这些不法分子一直是走在所有人前面的。”
美国Computerworld的年度预测调查共采访了182名IT专业人员,其中50%的受访者表示他们计划在未来12个月里增加安全技术方面的投资。此外,当受访者被问及当前他们所在机构在用的最重要的技术项目名称时,12%的受访者不假思索地表示是安全,而只有2%的受访者认为是向云计算迁移。
Geiger公司首席信息官Dale Denham称:“当我们看到大型机构花了大量的资金来阻止数据泄露,但是仍然发生了数据泄露之后,我们不得不认为自己也将会遇到攻击。我们必须要为此制定一个适用的计划。”
大量攻击者目前正在被更加有序地组织起来,他们的攻击能力也愈发的强大起来。对于易受攻击的网络来说,攻击者可利用的进入点数量目前正在呈指数级增长,如具有IP连接功能的电视、打印机、摄像头,甚至是汽车都可能成为他们的进入点。市场研究机构Gartner评估认为在用的互联物品到今年年底将增长至49亿部,比2014年增长了30%,到2020年将增长至250亿部。
在这类企业需要面对的不断演进的安全威胁中,一个典型例子是SYNful Knock持续性恶意软件。该恶意软件去年9月份在思科路由器上被发现。
爱达荷国家实验室网络安全官Darren Van Booven称:“这是首次发现利用思科路由器和交换机设备的恶意软件。机构必须马上做好应对这类严重威胁的准备,而这需要我们不断地调整我们的策略。”
PayPal的首席信息安全官John Nai称,他将在2016年密切关注基础设施的安全。他认为:“基础设施安全对我们非常重要。”此外,Nai还表示他认为必须要以对这些基础设施予以重视。“许多公司都将重点放在了更为高级的功能上,但是我们真地需要对这些基础性设施保持清醒的头脑。确保我们正在修补我们的基础设施,为我们的台式机打上补丁,获取能够察看网络中正在发生什么事件的操作功能。”
难以留住相关的人才是另一个管理方面的担忧。其中的道理很简单,那就是没有足够的安全专业人员。在求职市场中,这类人才的报酬非常高,已经超出了许多公司的承受范围。
目前许多与安全相关的问题让IT领导者寝食难安。他们中的许多人不会这么拖下去,他们会制订行动计划。目前他们正在准备反入侵策略,培训人员或是对人员进行再培训,为已知的数据泄露和攻击制订灾难恢复计划。
更多的预算
安全专业人员可能会更为频繁的召集董事会议,以进行解释。他们会让这些会议讨论提供更多的资源以保护企业系统和数据。受到高度关注的数据泄露事件会让即便是技术出身的董事会成员也会关注安全的重要性。
一名不愿意透露姓名的中型制造企业的首席信息安全官称:“与其去找董事会或首席信息官,与他们争论所有安全开支的正确性,我会等着让董事会和首席信息官来找我。”
他称“在某种程度上,这些受到高度关注的数据泄露事件会为我做宣传。它们几乎成为了我们的支票本。”不过,他指出:“不要误解,这些威胁仍然存在,并且非常可怕。”
安全经理称,他们会在安全预算中增加部分资金以便用于增强安全意识和相关的培训项目。
Redden称:“最大的挑战在于员工。许多问题源自于员工打开了隐藏有木马和恶意软件的电子邮件。”他称:“现在我们应该回过头去对用户进行培训。在Brazos高等教育服务公司,我们会对大多数远程用户进行额外的培训。我们会讨论如何阻止其他人访问他们的笔记本电脑。这些笔记本电脑并不是个人设备。我们会对此进行着重强调。端点保护是首要的问题。”
美国马里兰州罗耀拉大学也非常重视用户的培训工作。负责技术服务的助理副校长兼首席信息官Louise Finn称:“我们面临的最大挑战是我们的终端用户,因此我们正在提升网络意识培训。”
该校近期聘用的安全运营主管Patricia Malek称,他们在2016年将对所有业务部门的员工展开面对面的基于场景的培训。Finn称:“我们并不是在大学的策略方面对他们展开培训,而是在个人使用方面对他们进行培训,强调个人对数据的控制和数据泄露防护。”
堪萨斯市劳工银行要求员工们每年必须要增加安全意识培训项目。该银行的信息安全官 Shaun Miller称,这一培训计划放弃了一些没有意义的项目,因为威胁变化实在是太快。
为了帮助员工们保持警惕性,Miller会像网络上的不法分子那样发送一些钓鱼邮件。如果用户点击了这些邮件中的链接,他们会被转链接至一个登录页面,并且告诉他们应该如何进行防范。Miller称:“我不会为员工找麻烦的。我只是做了与审计公司相同的事情。员工会从他们的错误行为中学到一些教训。”
自营还是转包?
此次调查中,在希望2016年增加员工数量的受访者中,有25%的人将安全方案作为推动他们做出这一决定的因素。33%的受访者称,拥有他们所期望的安全技能的人才是2016年中最难以招聘到的人才。
在采访中,中小型机构的高管们称,他们会雇用那些拥有广泛IT和安全技能的人才,而不是如入侵检测或防火墙等某一特定安全领域内的经验丰富的专家。
许多公司并不是通过雇用的途径增加相关的专业知识,而是将这方面的业务外包给数量日益增加的安全服务提供商。对于首席信息安全官来说,外包的优势是回避了招聘到的安全专业人员被其他机构挖走的风险。
圣迭哥Cabrillo信用合作社的首席技术官Frankie Duenas同时也一个由6名IT专业人员组成的部门的主管。这个部门负责从安全和网络到编程和日常运营工作。在需要的时候,他还会将一些安全帮助工作进行外包。Duenas解释称:“为了应对新出现的威胁或是复杂的安全软件/服务的需求,我们还为安全工作编制了一定的预算。由于网络攻击行为发展的很快以及我们需要有足够的资金,为此我们在明年为应急预算编列了双倍的资金。”
Geiger的Denham称,他雇用了第三方来提供入侵检测和入侵防护服务。公司还将通过PCI数据安全标准与审计和合规性检查外包商展开合作。他称:“我并不希望我们在IT部门中雇用太多的安全专业人员。”为此,Geiger将继续与服务提供商合作以满足他们的新需求。
Denham称:“安全工作从来都没有结束之时。你不会做所有的工作,同时你也不会迅速地完成它们。它们总是超越了IT部门的处理能力。”
安全永远都是一个关键的企业问题。安全工作也从来不会终结,因为黑客总是在寻找新的攻击方式。PayPal的Nai称,行业在应对钓鱼攻击方面取得了很大的进步,但是这些不法分子已经将重点转移到了其它地方,如传播恶意软件上。
他称:“尽管我们在不断地增强某些领域,但是这些坏家伙并不会放弃。他们也不会转行,转而从事合法的工作。他们只是转到了另一个攻击向量上。”(范范编译)