軟件資產管理(SAM)——應對超互聯時代風險的利器
責編:rhliu |2016-06-29 15:56:24Jodie L.Kelley:女士們、先生們大家下午好!我的名字是Jodie L.Kelley,我是軟件聯盟高級副總裁以及總法律顧問,首先感謝主辦方邀請,今天會議非常重要,跟大家分享對于軟件安全的看法。我是律師,所以講的不是太技術,但是我希望今天提的建議給大家帶來幫助。
一、簡介
首先簡單介紹一下我們機構。軟件聯盟非營利機構,成員是全世界優秀的軟件企業,我們主要為全球動力風范、創新具佳的企業服務,推動創業和就業、以及經濟的發展,我們希望大家建立軟件品牌。BSA有很多項目,主要是軟件合規和執行項目,包括培訓項目、網絡風險控制項目,我們和企業政府合作,幫助他們盡量控制風險,而且讓他們從廣泛緯度認識到網絡風險可能性,以及控制這些東西,幫助他們更好控制網絡系統。
今天花一點時間了解,我們技術帶來怎樣的變化?這樣的變化帶來什么影響?以及現在企業面臨怎樣的風險?這些網絡攻擊帶來什么影響?讓大家了解為什么網絡安全風險是如此重要?
二、讓大家了解如何讓企業網絡環境變著更重要。
首先談一下軟件,盡管軟件明顯提升我們工作效率,而且讓我們工作更加便利,這只是它非常局限的一個方面,它也帶來很多風險,涉及到我們生活方方面面,軟件是我們儲存獲得信息的核心,它能幫助我們溝通信息,它能幫助我們追蹤實時信息分布。此外軟件對我們生活還有更深遠的影響,它能幫運作機器、運作火星車,軟件計算能力越來越強大,現在軟件發展日新月異,它能夠幫助我們以一種難以想象的方式運輸、傳輸、儲存信息。其實我現在要跟大家分享一個數據,90%的數據都是在過去兩年創造的,大家想目前存在90%數據都是過去兩年創造的,而現在數據每年保持翻番的增長。
那我們如何處理這些數據呢?這些數據有怎樣用途呢?我們可以用這些數據預測天氣現象,幫助我們預測海嘯,挽救生命。它能夠幫助我們挽救那些早產嬰兒,例如研究人員在1000個數據點進行數據追蹤,最后發現這些預產或者早產嬰兒如果生命體態穩定,第二天通常發生發燒的情況,通過數據預測挽救早產兒。此外數據幫助我們運用農業方面,什么時候種怎樣的莊稼?怎樣適應天氣?而且它能幫助我們更好控制航天安全,能夠幫助我們減少航空當中的波動,確保安全性。如果經常坐飛機,大家一定認識到數據在航空的應用。
有好處也有壞處,總有一些人利用這些機會進行攻擊,謀求個人利益。所以要記住這些風險,現在網絡發展非常快,很多企業面臨網絡攻擊,他們發展非常快,而且影響是非凡的。2015年我們一共發現43000萬網絡攻擊,也就是每天發生100萬攻擊,在我說話同時可能你的機構遭受很多網絡攻擊,平均每一個機構每七分鐘遭受一次攻擊,雖然每次攻擊造成后果,的確造成一定的影響。2015年非法的個人信息泄露達到5億次。
而現在發生頻率很高,但是像香港和內陸發現的攻擊行為比2014年增長了5倍,這個問題十分嚴重,而更令人擔憂的,許多企業沒有復雜先進的系統,來發現追蹤這些攻擊,很多時候他們是七個月過后才發現之前系統遭到攻擊和破壞,有至少三分之一企業都是通過內部檢查最終才發現的。所以說這一系列網絡攻擊,它造成影響和損失是嚴重的,IDC預計去年很多公司在惡意攻擊和惡意軟件上損失達到4000億美元,當然它的成本是很高的,除了金錢上損失之外,也會造成企業名譽的損失,31%機構聲稱經歷網絡攻擊之后他們品牌信用受到影響。
三、面臨哪些網絡風險
我要給大家播放一個視頻,這個視頻顯示網絡攻擊出現頻率,這個是網絡攻擊機構,差不多每年造成5億美元損失,攻擊遍布90多個國家,惡意軟件能夠嵌入受害者設備,悄悄偷走銀行密碼,而且有時候截屏從而偷取個人信息。現在我們發現這個機構魔爪越來越廣泛了。通過試圖可以發現,他們攻擊總是停留西歐和中東地區,為什么在某一個邊界停止?我們發現,他們只會攻擊非俄語計算機當中,我們知道罪犯傾向性以及攻擊目標。
現在有這種豐富與日俱增,遍布全球,我們技術日新月異,但是我們消費者安全意識卻沒有趕上技術的革新,這也是我今天演講的原因。我們要做怎樣的預防措施和預防控制網絡攻擊風險呢?很多時候人們一談到風險,就想風險是外來的,如何攻擊外來的風險,其實我要告訴大家,采取控制的第一步審視企業內部,首先了解網絡環境怎樣?確保使用軟件都是經過授權。
如果你都不知道自己網絡裝備什么設備和軟件?如何管理網絡,更談不上控制網絡風險。網絡安全不僅僅IT部門事,IT部門越來越靈活,彈性滿足客戶需求,隨著彈性發展變著越來越復雜,企業難以確定到底用什么軟件運用網絡上,通常搞不清楚自己網絡有怎樣的軟件、有怎樣的工具?其實我們全球軟件調查有了一些有意思的結果,我們今年5月做了一個研究,我們發現了39%的軟件都是悄悄裝在他們公司電腦或者網絡當中,而在很多都是假的,未經授權。即使在一些非常重要、關鍵的行業,這種未經授權的軟件安裝仍然是非常猖獗的,差不多達到25%。
顯然他們不知道這個做法的嚴重性,很多首席技術官知道,大約15%員工悄悄把一些軟件安裝他們網絡當中,這是他們不自知,而這樣現象愈演愈烈。根據一項研究,84%員工坦誠說悄悄網他們電腦和網絡當中裝了未經授權的軟件,這就是很大的問題。因為公司不知道那些軟件是授權?他們裝了什么軟件?這些問題聚合到一起就使問題變著越來越復雜,我們有很多員工使用的設備,工作和生活當中邊界越來越模糊。現在70%企業都報告,他們根本沒有相關政策、規章制度,或者沒有非正式的政策管理企業當中員工設備與企業設備的對接。
其實這些公司CIO都有擔憂,他們反饋的意見是這樣的,他們完全意識到網絡風險,尤其使用未正版的軟件或者未授權的軟件,他們理解是對的。大家會發現,這些彼此之間高度密切的聯系主要是用非正版軟件和未受許可的軟件之間,還有正因為這樣做很有可能受到惡意軟件等,其實這些軟件彼此之間互相聯系的。
大家也發現這些軟件讓我們自己,可能他不會獲得安全補丁,發布者發布到許可證上,因為安裝的錯誤,使網絡犯罪猖獗,可以抓到他們軟肋,然后進入他們系統。也就是說他們為什么這樣呢?有一個非常重要的原因,他們會用這樣的方式帶來網絡風險,很多企業非常長時間,自己疏忽的原因就玩火,用了非正版軟件。
我所了解標準化組織特定提倡或者開發這樣的程序,告訴大家這些機構應該怎么樣一步步完成,然后實施你軟件資產管理。它其實分成四個層面引導組織機構,通過這樣的程序可以應對挑戰,特別是針對軟件許可證,到底哪幾步:
1、衡量評估系統有什么,網絡裝什么軟件、用什么許可證?它是否對接、彼此對接有沒有問題?是正版軟件嗎?
2、用沒有這樣的方式對接你軟件?
3、目前系統形式和軟件是不是很好對接?
4、能夠把這些事情怎么樣放到控制領域,就是把你控制和實施確保到位。
5、怎么整合業務中?比如軟件可以驅動整個業務推動,可以發展其中,用正確的方式、有效的方式管理你的業務。
SAM跟業務有關的流程,就像審計業務一樣,所以你一定要確定這些所有員工都了解到,到底這件事情是多么重要。可能只是一個小步失足帶來很大的問題。還有大家會發現唯一能夠使你這些管理方式是有效的,就是一定確定組織和組織內部成員了解這些,其實整個全球相關機構已經意識到這一點,他們也發現用這樣的軟件進行內控、還有軟件組織方式的時候意識到這一點,他們也發現不同任務執行的時候,還有整個內控系統,還有日本公司也會發布專門的跟網絡空間安全相關的報告。
全球都積極采取一些措施,2015年關于技術的控制,如何建立內部組織架構?真正把軟件管理整合到內控系統中,然后你發現這些都是觸及、可以發現看到你的收益。我們發現一件事情,研究表示這些組織機構已經意識到,通過這樣方式把隱藏的非有效性,特別是許可證過期或者沒有許可證,或使用不應該使用的軟件導致一系列問題,應用這個方法可以降低25%。像德里機場公司用SAM軟件管理體系,在案例研究中發現,用這種方式可以節約成本15—20%,而且對他們紀律帶來更大的嚴謹性和紀律性。
大家發現所有企業用這些軟件的時候,也是不斷發展,跟電子數碼世界發展是一起的。怎么確保你把風險降到最低?同時適應機遇、挑戰帶來的方式,不僅僅IT行業或者IT部門經理確保員工安裝軟件是對的、而且是有效的方式?現在方式包括CEO、每個企業董事會、理事會詢問,到底我們做什么事情降低風險,其實是比較復雜的問題。我們做很復雜的一步,如果你符合SAM軟件,恭喜大家你做到第一步,確保軟件的正確性,謝謝大家!