探索中国CIO人才现状 | 第四季调研报告
保障IT安全 你需要做的不只是这些……
2015-02-04  来源:searchcio.com.cn

在2014年数据安全事故大爆发之后,企业的安全战略发生了什么变化?更多的资金投入、更严格的监控和更全面的员工培训,其实都仅仅是些规定动作而已。

J.P.摩根、Target(大型零售商)、Home Depot、EBay、索尼……在最近几个月内,以上述企业为代表,很多大公司都发生了大规模的数据安全事故,付出了昂贵的代价,并且给企业名誉带来了极大的伤害。

尽管业界对2014年发生的数据安全事故还没有很明确的统计结果(很多程度较轻的入侵和泄露事件并未被记录或报告),根据Identity Theft Resource Center的调查,2014年媒体和政府报道过的数据安全事故共有783起。相比于去年,这个数字上升了27.5%。

能安然入眠的CIO,是神一般的存在  

“每天晚上睡觉前,我都要确认下手机没有被调成震动模式。我必须保持24小时待命的状态。”Mediaocean(总部位于纽约的一家广告服务公司)的首席信息官Don Baker表示:“对于安全和数据泄露,人们的焦虑感越来越重。原因不仅是安全事故数量的上升,还因为最近这类攻击的水平也显著提升。”

当黑客们尝试一切办法突破传统的网络安全系统时,Baker和其他CIO们一样,也开始重新评估自身的安全战略,希望通过不断的改进来应对层出不穷的网络犯罪行为。“在当今这个快速变化的世界,不能因循守旧,必须主动改变。”Baker表示。

在最近由EiQ Networks所做的一个调查中,90%的来自于各行各业的CIO和IT专家们都表示,数据安全是首要需要关注的事情。同时,在145位IT决策者中,只有21%在安全事故防范上对自己的系统抱有信心,只有31%表示在网络安全方面有完善的应对流程,只有15%表示企业已经在数据安全方面有了充分的准备。

这种对于数据安全的信心缺失并不意外。如今,这方面的责任是如此重大。举例来说,单凭这几年出现的大量软件和硬件设备就足以令人头疼。丢失一个记录有1000个社会安全号的笔记本,就会引起高度的关注。

“如今,我们有了云、社交媒体、Web服务和移动技术。还有,雨后春笋般冒出来的各种设备。”Appian Corp.(业务流程管理软件开发商)的首席技术官Michael Beckley表示:“IT可能遭受的攻击点更多了,防不胜防。”

根据安全研究公司Poneman Institute的调查,令人欣慰的是,很多CEO和其他高管都意识到了这个问题,给IT组织投入了更多的资金和人力。

“Target发生的事情引起了广泛的关注,给所有IT组织敲响了警钟。”Poneman Institute的创始人Larry Ponemon说:“所有人都看到了,这类事故给客户忠诚度带来了多大的冲击。很多企业开始意识到自己做的远远不够。根据我们的调查,CIO们都已经开始行动起来加强这方面的工作。”

通过调查表明,为了保护数据安全,IT领袖们正在开始引入更多的工具并对安全流程进行改进。他们的安全战略多管齐下,包括行为数据监测系统、设备加密、用户监控、员工培训。另外,还包括研究已发生的安全事故,以此防止其他公司所犯的错误在自己身上重演。

监控用户行为  

Gartner的研究副总裁Jay Heiser表示,监控是CIO们急需加强的环节。很多企业过去只是忙着切断隐患通道,而不是去主动监测通道上发生的一切。

“传统上,人们都觉得在门上多加几把锁会更有效。但是,如果有人从窗户里进来怎么办?”Heiser举例说:“如果说2014数据安全事故的集中爆发带来了什么变化,就是人们充分认识到了主动监控的重要性。”

有些企业已经受益于入侵行为发现技术,后者可以监测到用户带有恶意的行为。IT首先要知道什么行为模式是正常的,然后才能识别异常进而检测是否有入侵发生。

“如果通常一周有5000次用户登录,近期这个数字突然变成15000,你就应该好好调查下发生了什么。”Mediaocean的Baker解释到。

过去,正常行为模式中一个小的尖峰凸起很可能被管理员忽略。但是,现在CIO们会在远程监测这种异常。很多时候,这样做并不是为了防止或化解明显的攻击,而是为了发现潜在的高级攻击行为。

“当出现异常时,你不能就是说‘哦,看看它下次什么时候出现’。你必须要想到这可能是有人正在进行攻击,然后采取相应的措施。”Baker说。

员工培训:保持警觉、及时汇报  

根据事后排查结果,有些安全事故是由于员工的不规范或不谨慎行为导致的。企业安全措施的很大一部分就是对员工进行培训,使之对于自己在网上的行为保持足够的警觉。

专家表示,即便对一封来自于不常联系的同事或合作伙伴的电子邮件,都应该保持警惕,尤其是当对方要求打开附件或提供敏感信息时。当收到这类或其他可疑的电子邮件时,员工应主动联系IT部门。因此,需要对员工进行培训,但不要期望仅凭短期的培训就能够建立起这种警觉。

“你不可能在一个礼拜甚至一个月内就教会员工这些。但是,如果每天都被灌输一点,慢慢就会变成习惯。”一位来自于某安全公司的IT经理表示。这家公司为客户提供这方面的培训软件,帮助客户的员工建立安全的行为规范。

这些用于消减内部威胁的措施不能仅限于员工队伍。同很多CIO一样,Appian的Beckley也开始把企业顾问和合同工纳入进来 – 这些人同样能够在不同级别上对企业系统进行访问。对于那些临时性的员工(包括即将离职的员工),必须禁止他们在离开后访问系统。

“当这些人访问系统时,必须有严格的流程控制和身份认证。当他们离开后,必须废除密码,撤销访问授权。”Beckley说。

一家网络安全初创公司(专注于开发企业服务点威胁监测工具)发现,对员工进行企业安全风险培训的最佳途径是先教会他们保护自己,比如在社交网络发言、网络购物和打开电子邮件时该注意哪些事情。

“最主要的就是当你上网浏览、打开邮件和点击链接时,清楚了解自己正在做的事情,知道可能存在的安全隐患,”该公司的CIO说:“如果员工能在家里时也有保护个人隐私的概念,那么在工作中就可以自觉保护公司信息。”

远程访问和数据加密  

IT领袖们认为,员工在移动技术的使用方面也应该有足够的谨慎。比如,不要在处理公司敏感数据时通过公共WiFi访问互联网。这类警觉性对IT员工来说是应有之义,但对那些已经习惯于用智能手机来处理个人事务员工来说则需要加强。

Baker表示,他禁止员工在公司以外将数据下载到远程设备上。

“员工无法通过自己的设备直接连接到公司的系统。”Baker说:“尽管可以看到相应的界面,但是此时设备只相当于一个哑终端,无法进行数据的交互。”

对于那些有远程访问企业系统的公司来说,设备加密的办法正逐渐流行,以此保证数据内容的不可访问。而且,IT团队还能远程擦除或剔除一个遗失或被窃的设备。

Appian的Beckley认为,毫无疑问,数据加密肯定比用密码登陆更为安全,后者密码容易丢失和被复制:“个人密码就是梦魇一场,迟早要被抛弃。我们需要的是诸如指纹类的生物认证,以及对设备的加密。”

借助外部的力量  

很多公司,尤其是那些没法雇用专职IT专家的中小企业,正在从第三方安全服务提供商处寻求帮助。

Baker表示,Mediaocean引入了一家专业公司提供入侵检测和其他安全防护技术,该公司还会定期在受控模式下尝试对Mediaocean的系统进行攻击测试。

“他们会试图找到那些存在于公网上的漏洞。”Baker解释到:“我强烈认为不应该由企业自己进行测试,而是要找第三方公司来做,因为他们才是整天和数据安全打交道的人。”

据Beckley所称,Appian的很多客户在推进代码定制项目,同时结合其他平台技术和云计算技术,以此达成减少内部漏洞的目的。除此之外,这样做还能有效控制外部厂商和合作伙伴对敏感系统的访问。

“每当程序员完成一行代码,可能就增加了一个新的漏洞。”Beckley表示:“尽管平台并非完美无缺,但毕竟是一种简化系统、消除潜在隐患的途径。”

灾备规划  

CIO们知道完全防止攻击几乎是不可能的,因此,制定事故发生之后的应对计划是必须的。

“不要天真地以为能够完全预防事故发生,你必须假定它在某一时刻会发生。”Baker说:“于是,除了尽量预防之外,你还需要在攻击发生之后加以应对并把损失降低到最小程度。这一点与过往大不相同,以前你可能会在这方面缺乏事前的规划。如今,必须要制定事后补救的措施。”

Heiser认为,在针对数据事故做规划时,无须太在意问题发生的原因,重点要关注如何处理应对。

“业务连续性规划的好处就在于你不用去预测,不管是洪水、黑客或外星人造成了服务的中断,你的关注点始终都是评估损失以及如何让业务尽快恢复。”Heiser说。

当网络攻击发生之后,对其的清除通常会造成业务的中断,尤其是当企业不得不暂时停止运转时。

根据Ponemon Institute(专注于数据保护、隐私泄露和网络安全方面的研究机构)的评估,数据泄露所导致的损失在去年上升了23%。平均来说,每次遭受攻击之后,一个大型企业需要花31天,平均每天2万美元来清除威胁和修复系统。

“这是一个非常复杂的过程,有时不得不聘请外部的专家进行协助。”Ponemon说。

有些损失是显而易见的,比如调查事故和通知客户的成本,而且企业还让自身名誉和未来前途受损,当业务恢复时间过长时还需要对客户进行赔偿。鉴于时间也是成本之一,Ponemon的CIO建议在连续性规划中要有如下规定,哪些应用在攻击发生时必须停止,而哪些应用则可以继续运行。

“以汽车的构造为例,如果发生了车祸,前挡板可能会被撞坏,但是乘客的生命则被挽救了。同理可推,在事故发生时,你需要舍得放弃一些东西。”这位CTO解释到。他所在的企业就是这么做的,在需要时将关键的应用隔离出来,其他部分则当成汽车的前挡板即可。

“如何才能关掉部分系统,让入侵者获取控制权但无法再进一步渗透?这就看你如何进行系统分解来做到带问题运转了。”他说。

对未知的恐惧  

到底IT安全防护的难度在哪,甚至导致企业领袖都会为之焦虑。原因就在于未知性:不知道安全事故是否发生,即便近在咫尺也是如此。

“数据安全事故犹如头顶悬剑,不知道什么时候会落下来。大多数的数据泄露其实没有被发现。”Heiser表示。

根据Ponemon Institute调查,发现一个数据安全事故平均需要170天,如果有内部人员的参与,这个时间会延长到260天。

“有些内部人员会窃取数据,而你很难发现他们。”Ponemon说:“有些公司从来都没察觉信息被泄露了。”

因此,CIO和其IT团队需要花足够的资源(时间、金钱和精力)去调查其他公司发生的安全事故,从而以此为镜,清查自身的漏洞,防止自己成为下一次数据泄密新闻的主角。

CIO们都承认,新的技术和对安全行为模式的强制培养肯定能帮助保护数据安全。但是,这些IT领袖也强调,没有任何系统能够完全防止错误的发生。Appian的Beckley认为,在安全领域,没有万能的灵丹妙药。

“我们永远不能放松,这些安全事故时刻提醒我们要抱有谨慎的态度,进行持续的监控和预防。”他说:“这就是一场军备竞赛,永远没有赢家,只有尽可能不成为失败的一方。”