企業安全風險評估應考慮網絡設備的年齡
責編:admin |2014-10-09 15:42:34根據最近Dimension Data的調查顯示,超過半數的網絡設備要么正在老化要么已經過時,這意味著它們構成了安全風險。那么,企業該如何將設備的年齡(以及供應商提供的支持水平)納入考慮范圍內,以評估其安全性呢?
Kevin Beaver:這確實是個有意思的發現,而且這個數據很大,這與現在企業中仍然存在已不受支持的Windows XP屬于類似的情況。
我認為現階段我們看到的是網絡和IT的成熟化,與此同時也看到了用于解決相關安全漏洞的解決方案的停滯化。這突出了信息安全面臨的兩個長期挑戰:
1. 缺乏基于風險的方法
2. 管理層沒有提供足夠的支持和預算來部署必要的系統
有些人可能認為,當你從大視角來看時,這些網絡設備問題只是行進道路中的小顛簸。但只有你了解自身的具體情況。這些道路顛簸不僅會讓你無法確保安全性,還可能打亂你的計劃以致其最終失敗。想想Heartbleed、拒絕服務攻擊等,當網絡系統不安全時,會發生不好的事情。這也許不會直接導致信息丟失,但可能會讓你的網絡崩潰。
在安全風險評估中,不僅需要考慮設備的年齡,還應該考慮它給網絡和企業整體帶來的風險水平。這應該包括已知的和易于利用的漏洞,無論制造商是否仍然提供更新,以及你的維護協議是否已經到期。攻擊者可能利用一切事物,包括老舊的路由器、交換機和看似牢靠的防火墻。
現在還存在的問題是,很多企業網絡中已經過時的物理安全系統可能被攻擊者利用。你應該找出安全問題,然后采取適當的措施來部署補償控制,否則,你將不得不面臨相應的風險。當然,這些也可能并不會成為問題,但還是要做好未雨綢繆,以確保管理層作出最后的決定。