埃森哲:开启网络安全智能时代

随着网络应用的广泛普及,信息安全问题日益严峻,信息泄密事件更是令许多企业和组织损失惨重。索尼(Sony)、塔吉特(Target)、摩根大通银行、Anthem等公司在这方面都有过惨痛的教训。在传统网络安全防御模式下,许多企业即使投入了大量精力和资源,面对网络攻击时还是防不胜防。如今,一种全新的安全策略可帮助企业应对诸多挑战:满足全球性员工队伍的多变需求、实现主动防护、发现潜在威胁和攻击路径。

这种新策略能够与企业的云服务集群、供应商、身份识别标准和接入管理技术迅速整合在一起,并有效契合当前已实施的信息安全基本原则。这种主动性网络安全模式从自身业务目标出发,在本质上有别于以控制为核心的传统防御模式。

主动安全模式需先扫清五大障碍
障碍一:业务和安全工作脱节。
当今世界,以移动互联网、大数据、物联网、云计算为代表的数字技术正在彻底颠覆企业的业务模式。而为业务保驾护航理应是所有信息安全方案的首要目标,但许多企业并未将其化为一种核心竞争力。企业应当将安全方案、整体业务目标及当前要务三者紧密联系起来,积极与业务利益相关方展开信息安全对话,确定方针路线。

为确保安全方案与自身商业目标配套,企业要深入了解技术领域(数字技术在企业内部的部署方式)及其业务的相关性(防御方案如何支持业务战略目标)。企业CIO们应该搞清楚所提供的安全防护对客户满意度、忠诚度及业务收入的影响。只有把安全战略跟业务绩效指标挂钩,企业才能真正在业务和安全之间建立起紧密的联系。

障碍二:受困于旧有合规思维模式。
当公司数字化防线曝出新漏洞时,许多管理者都百思不得其解:企业明明已经严格遵守了业内网络安全规定,为何还会屡屡出现漏洞?实际上,合规并不能确保安全。企业应该将合规要求视为网络安全的最低标准。只关注管控或审计要求的安全方案必将失败,因为它们忽视了两大关键因素——企业业务本身以及当前的安全威胁究竟属于何种性质。

合规离安全仍然有很大的距离,过于依赖控制型方案(mandated program)的防御能力让许多企业蒙受重大损失(见图一)。合规方案常常依据审计要求,采取“一刀切”的方法,重点强调如何去落实监管要求,审计人员往往按季或逐年评估企业的合规情况,但新的威胁每天甚至每小时都在出现。

而在新的信息安全方案下,企业不再以审出问题的多少来衡量安全防护成功与否,而是看实际的损失和对业务的影响。此外,审计发现的问题并非真的是风险,只是预示或可能引发风险。合理落实安全措施的企业更有可能实现高度合规,明确风险承受能力。

障碍三:业务管理不善。
云计算、移动技术和社交网络解决方案是许多重要业务系统的基石。这些数字技术创造了一些新的业务模式,如标准化的按需付费服务。很多企业在适应这种转变的同时,未能及时建立合适的安全框架、政策和管控措施,无法为不断变化的信息技术环境提供有效的安全防护。不仅如此,业务部门如今期望能够随时随地访问系统和应用,并且允许员工除了使用企业配备的办公设备外,还可以使用个人智能手机和平板电脑。因此,IT安全团队不得不面对错综复杂的管理局面——需要保护更多的接入点和外部托管服务,而这些接入点和外部托管服务并非完全归企业所有。

在许多组织中,延伸性企业(extended enterprise)典型性日常工作包括:实时调用多台服务器,支持云端CRM系统测试;帮助现场工作人员通过移动端接入新功能;建立促进销售、产品和营销协作的业务社交网络。

这些工作是业务部门不断探索、创新的结果,安全高管应当特别注意避免因缺乏治理和充分的数据保护而暴露出安全漏洞。

障碍四:忽视持久存在的威胁。
网络安全威胁往往有特定的意图和目标,任何组织都无法完全幸免。现在,许多精密设计的攻击都是由多方配合,以盈利、出名、市场优势和知识产权为目标的,并且这种趋势愈演愈烈。令人头疼的是,这种威胁往往很难识别。

此外,网络的攻击者可能是政府机构、激进组织和普通黑客,它们动机不同、目标各异。它们瞄准的可能是技术系统,也可能是企业员工——让员工在知情或不知情的情况下沦为内部帮凶。鉴于攻击者愈加精明,企业很少在自己熟知的、防卫森严的正门遭受攻击,而防御稍显薄弱的企业供应商,成为攻击开始和扩散的最佳切入点。

为了进一步强化自身防御,企业需要采用动态化手段,包括情报、数据分析和响应措施,有效应对花样翻新的攻击手段。正如合气道大师植芝盛平对弟子的教诲:“最佳战略有赖于智慧应对。”

障碍五:安全服务供需失衡。
根据最新研究 ,多数企业都缺乏足够的安全人才,难以满足当前的安全防御需求。就吸引并保留关键安全技术人才而言,各类企业也面临诸多挑战,如缺乏恰当、适量的资源组合,难以实施安全方案;存在技能缺口;员工士气消沉和专业人才流失等。

企业构建积极主动的网络安全模式,安全团队需要加强自身适应性,紧跟不断发展的业务目标。企业必须将众多差别显著且分属于不同实体的要素纳入到统一框架内,以此抵御安全威胁。如图二所示,在这个以抵御威胁为工作重心的整体化安全方案中,各个组成部分可以相互支撑,协同发挥作用。

其中,核心业务资产位于中心,由强有力的企业安全管控机制保护。位于其上的是针对延伸性企业的防御措施,主要支持云技术、移动技术和社交网络的应用。高级数据分析技术与网络威胁情报的结合有助企业更积极、快速地行动。同时,企业应当制定清晰的安全指标,以便通过量化方式评测对业务成果的影响。安全和业务管理者已认识到,需要借助新的治理战略、技术伙伴、技能和综合架构,转变自身运营模式。虽然许多企业已对分散在这些领域内的工具和技术进行了配置,但是还要将这些要素加以整合,才能充分实现可预见的价值。

推荐文章

沪公网安备 31010702002009号