商界领袖没有利用能辅助维护企业网络安全的分析数据,GreyCastle Security的CEO GreyCastle Security说。
企业信息的威胁已经是老生常谈了。近来,公司转为尝试分析数据协助防止信息泄露。分析师可以帮助决定什么企业信息是最易受攻击的,哪里有安全流程漏洞,以及员工数据保护培训是如何缺乏的。
然而,尽管有这份数据财富,许多公司仍然挣扎于简单的网络安全,因为领导不会利用这些宝贵的数据,GreyCastle Security的CEO Reg Harnish说。本文问答环节,Harnish会讨论为什么面临最大网络风险的公司会是尽管存在潜在数据威胁仍忽略分析信息的领导所在的公司。
你认为,目前什么是企业商务面临的最大网络安全风险?有能证明对保护企业数据有效的、新的前沿策略吗?
Reg Harnish:我们能理解通常意义的威胁,但是大多数商界领袖、执行长官和经理还没有接受提交到他们面前的数据。从网络安全的立场来看,我们努力找寻能与发生的事情相关的数据,攻击从哪里来,追逐什么,他们窃取什么。但是即便你得到数据并把它呈到商业决策领导桌前,由于他们自己的心理、认知偏见、情绪,他们仍无法做出令人满意的网络安全决策。
我会以交流形式回答你的问题:第一,企业面临的外部威胁变的更加复杂,且增加的很快。而在企业内部,如果你是CEO,我问你“什么是你们最大的网络安全威胁”,你告诉我你认为是人,你不能阻止人点击链接,访问被感染的网站,把他们自己的闪存盘带到公司用,所有这些都是我们经历过的问题。然后,我问你怎么处理,你告诉我说“买防火墙?”猜怎么着,你瞬间从CEO变成无知的CEO。在许多方面,企业面临的最大风险是它里面的人,不过这些人是决策者。
移动数据威胁现状如何?它们还像以前一样严重吗?企业还有时间调整来对付它们吗?另外,近年来,随着物联网之类的技术激增,移动数据威胁进化到什么程度?
Harnish:目前在移动设备端,即iOS和Android设备,我们还没看到桌面系统那么多的漏洞利用和攻击。然而,这些移动设备端的威胁数量呈上升趋势,发生频率也在增加。虽然复杂度在增加,但我认为真正的故事发生在潜力和机会里。专家估计会有50~100亿的设备连接到互联网。截止2020年,会有500亿个设备接入互联网。平均下来,地球上一个人会有7个移动设备,包括婴儿和老人。现在想象一下,我们身边的每一件移动设备都携带着我们的私人数据:我们的社保号码,甚至是信用卡号码,或者医疗记录,又或者它正连接着我们其他所有设备。每一件设备都是易受攻击的。
人们容易忽略的认为iPhone只是软件。硬件与其他设备的硬件相比,没有更好也没更坏。实际上,我们正跟软件交互,而如今软件无所不在,从免下车的药房到建筑的中央空调系统,它们都被电脑控制着。接入互联网的便利是强大又刺激的,因为我们正疯狂地把设备接入互联网和物联网,我们容易忽略网络安全风险。如果我把冰箱接入互联网,会出现什么问题?直到它们变成争议,我们才会问问题。物联网不一定能改变整个威胁蓝图,但它增加了网络犯罪的机会。
公司可以使用从合规性审计结果收集来的信息支撑企业网络安全流程吗?为什么?或者为什么不行?
Harnish:如今唯一比黑客更可怕的是审计员。商业需要认清网络安全威胁来自不同的地方,他们必须理解依从性相关风险。如果你是一所医院,因为你没能保护好医疗信息导致CMS or OCR出现在你门前,那花费将会昂贵得让你头疼。,如果一些网络罪犯访问了电子病历,那或许会更贵。因为有如此多的威胁、缺陷,而我们修复不了所有的问题,所以管理风险的流程变成企业的基本需求。
如果我要对那所医院的安全负责,我有一千种方法可以处理网络安全,但问题是我应该做什么,以什么样的顺序,我应该做多少。光问这些问题是不够的。如果我们真的不懂问题所在,我们常常会往上砸各种技术----反病毒、防火墙、侵入检测系统。这些技术针对他们特定用途是有效的,但是它们无法解决所有网络安全问题。我估计所有网络安全风险的75%是与技术无关的。
什么样的员工教育和培训技术对于保护企业网络安全来讲是有益的?
Harnish:我们知道什么不管用:不教育员工很糟糕。我们认识到,强迫员工参加无价值的培训也是错误的。对抗人类大脑不容易,尤其是如果文化不是有计划围绕网络安全时。你接触这些制造商、保险公司、银行或周围的企业一段时间,他们从没考虑网络安全性。如果你期望一进来,员工在一趟培训课后就变的很棒,那是不现实的。
如果你理解人类大脑如何工作,我们是如何学习和吸收信息,为什么我们能记住它,你就可以在你的教育中吸收这些,结合测验以保证教育和培训起作用,并且定期重复,这就是我们让企业现在考虑的事情。网络完全中人的问题是很大的,也在不断增长。如果你不努力去解决,那么它就真的被忽视了。数据流出,我们知道为什么企业泄露发生:人失败了。我们需要花更多的时间在人的方面。有方法改变言谈举止,但你必须长期尝试。这不是一朝一夕就能解决的。
