談安全:聚焦風險和人 少關注設備和數據
責編:admin |2014-10-23 15:02:13“我們將在海灘作戰。我們將在敵人的登陸點作戰。我們將在田野和街巷作戰。我們將在山區作戰。我們決不投降,”這是英國著名首相溫斯頓·丘吉爾于1940年6月在面對納粹德國對英國可能發動的進攻時所作的著名演講的片段。而在此前的另一次著名演講中,他更聲稱,我們的目標只有一個,那就是勝利,而“不論前路如何漫長、如何艱苦。”這對于企業所面對的安全戰斗來說,可以說是一個非常適切的類比。
網絡犯罪分子們如今無處不在,而且狡猾詭詐,無孔不入。所以當客戶、投資人和監管者們期待安全人員能夠全面保護組織和機構的寶貴資產以及隱私時,我們卻很難做到像丘吉爾那樣樂觀,尤其是我們本應該仰仗的一些政府部門和廠商,也在私下損害著我們的數據、軟件和網絡。
捍衛安全的戰爭比以往任何時候都更加嚴峻。大多數組織還是在用昨天的工具和方法對抗著今天的敵人——他們徒勞地用密碼和防火墻防護著企業的邊界,這種做法是注定要失敗的。他們過分強調了數據與系統的隔離,還在錯誤地認為只要邊界安全就足夠了。
而我們與數十位安全專家、業界專家以及企業高管們的深度交流,卻揭示出了一個更適用于今日安全的架構。
聚焦風險和人 少關注設備和數據
更好的防范方法應圍繞風險意識來構建。最大的風險就是關鍵或敏感數據的丟失,所以我們必須對數據提供充分的保護。然而除此之外,還存在著其他諸多的風險,例如業務中斷、名譽受損、監管缺失、投資風險,以及知識產權被盜,等等。哪些危險對企業的傷害最大?如何評估這些威脅?怎樣才能根據影響最大到最小的順序防范這些威脅?很顯然,僅僅保護邊界是無法解決這些問題的。
舉個例子,Visa國際要負責對其所有信用卡處理流程的風險評估,包括但不限于對這些業務流程的技術支持。Visa負責信息安全、治理、風險及合規的前任副總裁喬治·托特夫說:“所謂風險,就是薄弱之處遇到了攻擊。所以,用全局觀去看待風險,才能為安全防范奠定堅固基礎。”
風險評估與風險防范的模式會因行業和企業的不同而有所不同。有些模式可能需要用到技術,有些可能需要改變流程,還有一些模式則有可能要求改變人的行為。出于合規性需要,有些企業除了自身的風險分析之外,還不得不處理其他一些形式的安全風險。此時的重點就成了如何才能在不會對企業的運營、財務或戰略帶來不必要負擔的情形下,有效地滿足合規性要求。
無論一家企業的風險哲學以及外部要求是什么,選擇并關注最高級別的風險都是最實際的。
但是,如何才能關注這些風險呢?大多數企業,以及安全廠商們,都把安全視為一種技術上的挑戰。它們一味地尋求能夠降低風險的軟件、硬件和服務識別功能,卻忽略了對人的關注——實際上正是人在創建和使用需要受保護的信息。事實上,很多組織恰恰把人的因素排除在了安全架構之外,因為它們最不信任的就是人。
對安全而言,不存在一招制敵的技術手段。而將人的因素剔除出安全架構,也只會導致人對安全的怠惰和漠不關心。人們會很自然地認為,出了安全問題,責任全在IT。今天的安全戰略為什么必須將主要的防范重點從設備轉向人,這就是原因。今天,所有成功的網絡攻擊,不論是采用社會工程學如釣魚手法,還是對自動售貨機硬件的物理攔截,都肯定會牽扯到人。
安全其實是關乎風險的一場動態游戲——換句話說,當魔高一尺時,你能否道高一丈?“動態”和“游戲”這兩個詞是彼此相關聯的。安全同樣遵循熵的定律:如果能量無法補充,遲早都會耗盡。因此,我們需要常態化的警覺。而游戲心態對于保持主動和自適應的警覺來說至關重要。
說到底,每一個新的防范措施都會很快遭遇一輪新的攻擊伎倆的挑戰。這正是人類最擅長的游戲。所以企業應該鼓勵自己的人員充分發揮人類的能力,而不應將他們排除在防范措施之外。
下一篇:“破殼”漏洞系列分析之二