在高度危險(xiǎn)的網(wǎng)絡(luò)安全攻擊發(fā)生時(shí),如對(duì)零售商Target或家得寶的攻擊,Sam Redden知道他們需要為此做好準(zhǔn)備了。這讓Brazos高等教育服務(wù)公司首席安全官Redden不得不召開一個(gè)會(huì)議向董事會(huì)匯報(bào)了他的擔(dān)憂。Brazos高等教育服務(wù)公司負(fù)責(zé)提供數(shù)十億美元的學(xué)生貸款。
Redden稱,他已經(jīng)就所密切關(guān)注的事情,如IT部門對(duì)企業(yè)的保護(hù)和團(tuán)隊(duì)如何做好防范工作等與董事會(huì)進(jìn)行了積極溝通,為后續(xù)工作打好了基礎(chǔ)。即便這樣,Redden稱:“我們也不能說自己已經(jīng)走到了不法分子的前面,因?yàn)檫@些不法分子一直是走在所有人前面的?!?/p>
美國Computerworld的年度預(yù)測(cè)調(diào)查共采訪了182名IT專業(yè)人員,其中50%的受訪者表示他們計(jì)劃在未來12個(gè)月里增加安全技術(shù)方面的投資。此外,當(dāng)受訪者被問及當(dāng)前他們所在機(jī)構(gòu)在用的最重要的技術(shù)項(xiàng)目名稱時(shí),12%的受訪者不假思索地表示是安全,而只有2%的受訪者認(rèn)為是向云計(jì)算遷移。
Geiger公司首席信息官Dale Denham稱:“當(dāng)我們看到大型機(jī)構(gòu)花了大量的資金來阻止數(shù)據(jù)泄露,但是仍然發(fā)生了數(shù)據(jù)泄露之后,我們不得不認(rèn)為自己也將會(huì)遇到攻擊。我們必須要為此制定一個(gè)適用的計(jì)劃?!?/p>
大量攻擊者目前正在被更加有序地組織起來,他們的攻擊能力也愈發(fā)的強(qiáng)大起來。對(duì)于易受攻擊的網(wǎng)絡(luò)來說,攻擊者可利用的進(jìn)入點(diǎn)數(shù)量目前正在呈指數(shù)級(jí)增長,如具有IP連接功能的電視、打印機(jī)、攝像頭,甚至是汽車都可能成為他們的進(jìn)入點(diǎn)。市場(chǎng)研究機(jī)構(gòu)Gartner評(píng)估認(rèn)為在用的互聯(lián)物品到今年年底將增長至49億部,比2014年增長了30%,到2020年將增長至250億部。
在這類企業(yè)需要面對(duì)的不斷演進(jìn)的安全威脅中,一個(gè)典型例子是SYNful Knock持續(xù)性惡意軟件。該惡意軟件去年9月份在思科路由器上被發(fā)現(xiàn)。
愛達(dá)荷國家實(shí)驗(yàn)室網(wǎng)絡(luò)安全官Darren Van Booven稱:“這是首次發(fā)現(xiàn)利用思科路由器和交換機(jī)設(shè)備的惡意軟件。機(jī)構(gòu)必須馬上做好應(yīng)對(duì)這類嚴(yán)重威脅的準(zhǔn)備,而這需要我們不斷地調(diào)整我們的策略?!?/p>
PayPal的首席信息安全官John Nai稱,他將在2016年密切關(guān)注基礎(chǔ)設(shè)施的安全。他認(rèn)為:“基礎(chǔ)設(shè)施安全對(duì)我們非常重要?!贝送?,Nai還表示他認(rèn)為必須要以對(duì)這些基礎(chǔ)設(shè)施予以重視?!霸S多公司都將重點(diǎn)放在了更為高級(jí)的功能上,但是我們真地需要對(duì)這些基礎(chǔ)性設(shè)施保持清醒的頭腦。確保我們正在修補(bǔ)我們的基礎(chǔ)設(shè)施,為我們的臺(tái)式機(jī)打上補(bǔ)丁,獲取能夠察看網(wǎng)絡(luò)中正在發(fā)生什么事件的操作功能?!?/p>
難以留住相關(guān)的人才是另一個(gè)管理方面的擔(dān)憂。其中的道理很簡(jiǎn)單,那就是沒有足夠的安全專業(yè)人員。在求職市場(chǎng)中,這類人才的報(bào)酬非常高,已經(jīng)超出了許多公司的承受范圍。
目前許多與安全相關(guān)的問題讓IT領(lǐng)導(dǎo)者寢食難安。他們中的許多人不會(huì)這么拖下去,他們會(huì)制訂行動(dòng)計(jì)劃。目前他們正在準(zhǔn)備反入侵策略,培訓(xùn)人員或是對(duì)人員進(jìn)行再培訓(xùn),為已知的數(shù)據(jù)泄露和攻擊制訂災(zāi)難恢復(fù)計(jì)劃。
更多的預(yù)算
安全專業(yè)人員可能會(huì)更為頻繁的召集董事會(huì)議,以進(jìn)行解釋。他們會(huì)讓這些會(huì)議討論提供更多的資源以保護(hù)企業(yè)系統(tǒng)和數(shù)據(jù)。受到高度關(guān)注的數(shù)據(jù)泄露事件會(huì)讓即便是技術(shù)出身的董事會(huì)成員也會(huì)關(guān)注安全的重要性。
一名不愿意透露姓名的中型制造企業(yè)的首席信息安全官稱:“與其去找董事會(huì)或首席信息官,與他們爭(zhēng)論所有安全開支的正確性,我會(huì)等著讓董事會(huì)和首席信息官來找我。”
他稱“在某種程度上,這些受到高度關(guān)注的數(shù)據(jù)泄露事件會(huì)為我做宣傳。它們幾乎成為了我們的支票本?!辈贿^,他指出:“不要誤解,這些威脅仍然存在,并且非??膳隆!?/p>
安全經(jīng)理稱,他們會(huì)在安全預(yù)算中增加部分資金以便用于增強(qiáng)安全意識(shí)和相關(guān)的培訓(xùn)項(xiàng)目。
Redden稱:“最大的挑戰(zhàn)在于員工。許多問題源自于員工打開了隱藏有木馬和惡意軟件的電子郵件?!彼Q:“現(xiàn)在我們應(yīng)該回過頭去對(duì)用戶進(jìn)行培訓(xùn)。在Brazos高等教育服務(wù)公司,我們會(huì)對(duì)大多數(shù)遠(yuǎn)程用戶進(jìn)行額外的培訓(xùn)。我們會(huì)討論如何阻止其他人訪問他們的筆記本電腦。這些筆記本電腦并不是個(gè)人設(shè)備。我們會(huì)對(duì)此進(jìn)行著重強(qiáng)調(diào)。端點(diǎn)保護(hù)是首要的問題?!?/p>
美國馬里蘭州羅耀拉大學(xué)也非常重視用戶的培訓(xùn)工作。負(fù)責(zé)技術(shù)服務(wù)的助理副校長兼首席信息官Louise Finn稱:“我們面臨的最大挑戰(zhàn)是我們的終端用戶,因此我們正在提升網(wǎng)絡(luò)意識(shí)培訓(xùn)?!?/p>
該校近期聘用的安全運(yùn)營主管Patricia Malek稱,他們?cè)?016年將對(duì)所有業(yè)務(wù)部門的員工展開面對(duì)面的基于場(chǎng)景的培訓(xùn)。Finn稱:“我們并不是在大學(xué)的策略方面對(duì)他們展開培訓(xùn),而是在個(gè)人使用方面對(duì)他們進(jìn)行培訓(xùn),強(qiáng)調(diào)個(gè)人對(duì)數(shù)據(jù)的控制和數(shù)據(jù)泄露防護(hù)?!?/p>
堪薩斯市勞工銀行要求員工們每年必須要增加安全意識(shí)培訓(xùn)項(xiàng)目。該銀行的信息安全官 Shaun Miller稱,這一培訓(xùn)計(jì)劃放棄了一些沒有意義的項(xiàng)目,因?yàn)橥{變化實(shí)在是太快。
為了幫助員工們保持警惕性,Miller會(huì)像網(wǎng)絡(luò)上的不法分子那樣發(fā)送一些釣魚郵件。如果用戶點(diǎn)擊了這些郵件中的鏈接,他們會(huì)被轉(zhuǎn)鏈接至一個(gè)登錄頁面,并且告訴他們應(yīng)該如何進(jìn)行防范。Miller稱:“我不會(huì)為員工找麻煩的。我只是做了與審計(jì)公司相同的事情。員工會(huì)從他們的錯(cuò)誤行為中學(xué)到一些教訓(xùn)?!?/p>
自營還是轉(zhuǎn)包?
此次調(diào)查中,在希望2016年增加員工數(shù)量的受訪者中,有25%的人將安全方案作為推動(dòng)他們做出這一決定的因素。33%的受訪者稱,擁有他們所期望的安全技能的人才是2016年中最難以招聘到的人才。
在采訪中,中小型機(jī)構(gòu)的高管們稱,他們會(huì)雇用那些擁有廣泛IT和安全技能的人才,而不是如入侵檢測(cè)或防火墻等某一特定安全領(lǐng)域內(nèi)的經(jīng)驗(yàn)豐富的專家。
許多公司并不是通過雇用的途徑增加相關(guān)的專業(yè)知識(shí),而是將這方面的業(yè)務(wù)外包給數(shù)量日益增加的安全服務(wù)提供商。對(duì)于首席信息安全官來說,外包的優(yōu)勢(shì)是回避了招聘到的安全專業(yè)人員被其他機(jī)構(gòu)挖走的風(fēng)險(xiǎn)。
圣迭哥Cabrillo信用合作社的首席技術(shù)官Frankie Duenas同時(shí)也一個(gè)由6名IT專業(yè)人員組成的部門的主管。這個(gè)部門負(fù)責(zé)從安全和網(wǎng)絡(luò)到編程和日常運(yùn)營工作。在需要的時(shí)候,他還會(huì)將一些安全幫助工作進(jìn)行外包。Duenas解釋稱:“為了應(yīng)對(duì)新出現(xiàn)的威脅或是復(fù)雜的安全軟件/服務(wù)的需求,我們還為安全工作編制了一定的預(yù)算。由于網(wǎng)絡(luò)攻擊行為發(fā)展的很快以及我們需要有足夠的資金,為此我們?cè)诿髂隇閼?yīng)急預(yù)算編列了雙倍的資金?!?/p>
Geiger的Denham稱,他雇用了第三方來提供入侵檢測(cè)和入侵防護(hù)服務(wù)。公司還將通過PCI數(shù)據(jù)安全標(biāo)準(zhǔn)與審計(jì)和合規(guī)性檢查外包商展開合作。他稱:“我并不希望我們?cè)贗T部門中雇用太多的安全專業(yè)人員?!睘榇?,Geiger將繼續(xù)與服務(wù)提供商合作以滿足他們的新需求。
Denham稱:“安全工作從來都沒有結(jié)束之時(shí)。你不會(huì)做所有的工作,同時(shí)你也不會(huì)迅速地完成它們。它們總是超越了IT部門的處理能力?!?/p>
安全永遠(yuǎn)都是一個(gè)關(guān)鍵的企業(yè)問題。安全工作也從來不會(huì)終結(jié),因?yàn)楹诳涂偸窃趯ふ倚碌墓舴绞?。PayPal的Nai稱,行業(yè)在應(yīng)對(duì)釣魚攻擊方面取得了很大的進(jìn)步,但是這些不法分子已經(jīng)將重點(diǎn)轉(zhuǎn)移到了其它地方,如傳播惡意軟件上。
他稱:“盡管我們?cè)诓粩嗟卦鰪?qiáng)某些領(lǐng)域,但是這些壞家伙并不會(huì)放棄。他們也不會(huì)轉(zhuǎn)行,轉(zhuǎn)而從事合法的工作。他們只是轉(zhuǎn)到了另一個(gè)攻擊向量上。”(范范編譯)