展望2016：安全將成為企業(yè)工作重心

　　在經(jīng)歷了過去一年針對(duì)包括諸如全美第二大零售商家得寶(Home Depot)及美國(guó)塔吉特百貨公司(Target)在內(nèi)的一系列高調(diào)的網(wǎng)絡(luò)攻擊事件發(fā)生后，Sam Redden已然充分認(rèn)識(shí)到自己需要為安全問題做好萬全的準(zhǔn)備了。

　　對(duì)于這家位于德克薩斯州維科這個(gè)小城市，專業(yè)提供高達(dá)數(shù)十億美元的學(xué)生助學(xué)貸款服務(wù)的Brazos Higher Education Service公司的首席安全官Sam Redden而言，上述網(wǎng)絡(luò)攻擊事件無疑為他敲響了警鐘，并向公司董事會(huì)表達(dá)了他對(duì)于安全問題的擔(dān)憂。

　　Redden表示說，他往往通過主動(dòng)的與董事會(huì)進(jìn)行溝通，向董事會(huì)匯報(bào)企業(yè)當(dāng)前正在從事的IT項(xiàng)目的安全管理狀況以及他的IT安全團(tuán)隊(duì)為了保護(hù)企業(yè)所做的各項(xiàng)準(zhǔn)備工作。

　　“但即使這樣，我也不會(huì)蠢到足以敢擔(dān)保說：在面臨網(wǎng)絡(luò)黑客安全攻擊時(shí)，我絕對(duì)是領(lǐng)先于他們的?！盧edden說?！斑@些黑客領(lǐng)先于我們所有的人?！?/p>

　　上述現(xiàn)象可能已經(jīng)足以解釋了為什么在參與了Computerworld網(wǎng)站的預(yù)測(cè)2016年調(diào)查訪問的182 IT專業(yè)人士中，有高達(dá)50%的受訪者表示，他們所在的企業(yè)計(jì)劃在未來12個(gè)月內(nèi)增加安全技術(shù)方面的開支。

　　更重要的是，當(dāng)受訪者們被問及其所在企業(yè)當(dāng)前正在進(jìn)行的最重要的技術(shù)項(xiàng)目時(shí)，安全性被排在了第二位——12%的受訪者選擇了安全性，僅落后云計(jì)算兩個(gè)百分點(diǎn)。

　　“當(dāng)看到那些大型企業(yè)動(dòng)輒花費(fèi)巨資用于防止數(shù)據(jù)泄露等安全領(lǐng)域的投入，但仍未能完全成功避免安全性攻擊事件發(fā)生時(shí)，您就必須假設(shè)這樣的情況在您自己的企業(yè)同樣無法幸免了?！蔽挥诰捯蛑輨⒁姿诡D的Geiger公司的首席信息官Dale Denham表示說。Geiger公司是一家市值達(dá)1.5億美元的促銷產(chǎn)品分銷商。他表示：“您企業(yè)必須制定一套適當(dāng)?shù)陌踩芾碛?jì)劃”。

　　網(wǎng)絡(luò)安全攻擊者越來越多，而且正開始變得更具組織性且更強(qiáng)大。而隨著現(xiàn)如今的電視機(jī)、打印機(jī)、相機(jī)，甚至是汽車均是IP聯(lián)網(wǎng)的，他們可以用于進(jìn)行安全攻擊的入口點(diǎn)來訪問網(wǎng)絡(luò)的漏洞的數(shù)量也在呈指數(shù)級(jí)上升。據(jù)Gartner估計(jì)，到今年年底，各種互聯(lián)的設(shè)備數(shù)量將達(dá)到49億，較之2014年同比增長(zhǎng)30%，并且到2020年將達(dá)到250億。

　　最近，各類企業(yè)所面臨的一個(gè)不斷變化的安全威脅的例子是一段持久的惡意軟件被稱為SYNful Knock，是去年九月從思科路由器上發(fā)現(xiàn)的。

　　“這是涉及到思科路由和交換設(shè)備漏洞的首次公開披露?！蔽挥趷圻_(dá)荷福爾斯的愛達(dá)荷國(guó)家實(shí)驗(yàn)室的網(wǎng)絡(luò)安全人員Darren Van Booven表示說?！斑@是一個(gè)企業(yè)所共同面臨的安全威脅的一個(gè)很好的例子。要求我們的安全戰(zhàn)略必須不斷的變化?！?/p>

　　PayPal公司首席信息安全官John Nai說，2016年他將會(huì)密切關(guān)注“基礎(chǔ)設(shè)施安全”。他說：“其對(duì)我們來說是非常重要的?！背酥?，Nai說，他認(rèn)為需要將關(guān)注點(diǎn)持續(xù)聚焦在基本的層面上?！昂芏喙径贾皇菍Ｗ⒂谙冗M(jìn)的功能，但您真的需要特別注意的則是在基礎(chǔ)層面上：確保您企業(yè)的基礎(chǔ)設(shè)施都打了補(bǔ)丁，修補(bǔ)您的桌面臺(tái)式機(jī)，并具備正確的操作能力，讓您能夠掌握在您企業(yè)的網(wǎng)絡(luò)上都發(fā)生了什么?！?/p>

　　在勞動(dòng)力市場(chǎng)精心挑選合適的員工也是另一大管理問題：目前，根本沒有足夠的安全專業(yè)人員，而那些在就業(yè)市場(chǎng)上喊出天價(jià)薪酬的高級(jí)人才對(duì)于許多公司而言是遙不可及的。

　　而這僅僅是與安全相關(guān)的足以讓企業(yè)IT領(lǐng)導(dǎo)人們失眠問題的其中一部分。但他們中的大多數(shù)人都說他們并不熬夜，他們正在制定計(jì)劃以采取行動(dòng)。他們準(zhǔn)備微調(diào)防入侵策略，實(shí)施員工的培養(yǎng)和再培訓(xùn)計(jì)劃，為安全漏洞和攻擊制定災(zāi)難恢復(fù)計(jì)劃。

　　更多的預(yù)算，更好地培訓(xùn)用戶

　　企業(yè)的安全高管們可能會(huì)被更頻繁的被要求參與董事會(huì)會(huì)議以做出更多的解釋。而他們往往會(huì)在這些會(huì)議上要求獲得更多的資源，并把錢花在保護(hù)企業(yè)系統(tǒng)和數(shù)據(jù)方面。那些高調(diào)的違規(guī)行為有助于提高人們對(duì)安全的極端重要性的認(rèn)識(shí)，尤其是提高企業(yè)董事會(huì)成員對(duì)于最新的技術(shù)對(duì)于維護(hù)企業(yè)安全性的關(guān)鍵重要性的認(rèn)識(shí)。

　　“不用去董事會(huì)或CIO那里為爭(zhēng)取每一分錢的安全費(fèi)用而費(fèi)盡口舌，我反而是讓我企業(yè)的董事會(huì)和CIO們主動(dòng)來找我?！币患抑械纫?guī)模的制造公司的一名不愿進(jìn)一步透露相關(guān)信息的首席信息安全官表示說。

　　“在某些方面，那些頻發(fā)的高調(diào)安全違規(guī)行為已經(jīng)為我做了宣傳工作。其幾乎成為了我的一個(gè)開放的支票?！彼f。但他補(bǔ)充道：“但這些安全威脅仍然存在，其一旦發(fā)生，肯定是相當(dāng)可怕的。”

　　在企業(yè)董事會(huì)，安全管理人員說，他們會(huì)花至少一部分錢添加到他們的安全預(yù)算中，并對(duì)提升安全意識(shí)和員工培訓(xùn)計(jì)劃進(jìn)行進(jìn)一步的投資?！白畲蟮奶魬?zhàn)之一來自于我們的員工。我們大多數(shù)的問題都是來自于員工們的電子郵件，他們可能不慎打開了含有木馬或惡意軟件的電子郵件?！?Redden說。

　　“這一切都可以追溯到員工及用戶培訓(xùn)?！彼a(bǔ)充道。在Brazos Higher Education Service公司，他說，“我們已經(jīng)為更多的用戶實(shí)施了遠(yuǎn)程培訓(xùn)。我們告訴他們不要讓任何人訪問他們的筆記本電腦。我們特別強(qiáng)調(diào)這一點(diǎn)。終端保護(hù)是頭號(hào)問題?！?/p>

　　在巴爾的摩馬里蘭的洛約拉大學(xué)，也非常看重培訓(xùn)的重要性?！拔覀冏畲蟮奶魬?zhàn)來自于我們的最終用戶，所以我們真的非常注重對(duì)于網(wǎng)絡(luò)安全意識(shí)的培訓(xùn)。”技術(shù)服務(wù)助理副總裁兼首席信息官路易絲·芬恩說。

　　該大學(xué)最近聘請(qǐng)的安全運(yùn)營(yíng)總監(jiān)帕特里夏·馬利克，將在2016年對(duì)所有業(yè)務(wù)部門的員工進(jìn)行面對(duì)面的基于場(chǎng)景的培訓(xùn)。“我們不只是告訴他們關(guān)于大學(xué)的管理政策，而是提供個(gè)人方面的培訓(xùn)，強(qiáng)調(diào)個(gè)人的自主的控制和保護(hù)數(shù)據(jù)?！?芬恩說。

　　堪薩斯市的勞動(dòng)銀行要求員工每年參加一個(gè)安全意識(shí)培訓(xùn)計(jì)劃。但該銀行的信息安全官肖恩·米勒說，計(jì)劃的培訓(xùn)已經(jīng)開始變得“一文不值”了，因?yàn)榫W(wǎng)絡(luò)安全威脅的變化如此之快。

　　為了幫助人們保持警覺，米勒“以黑客同樣的方式”發(fā)送釣魚電子郵件。如果用戶點(diǎn)擊這些郵件中的鏈接，他們將進(jìn)入到登陸頁面，并獲得他們應(yīng)該怎么做的即時(shí)反饋?！拔疫@樣做不是為了讓員工有麻煩。”米勒說。“我所做的事情在一些會(huì)計(jì)師事務(wù)所也會(huì)做同樣的事情。人們往往是從自己的錯(cuò)誤中汲取經(jīng)驗(yàn)教訓(xùn)?！?/p>

　　雇傭合同工還是外包?

　　在參與此次預(yù)測(cè)調(diào)查的表示他們所在的企業(yè)預(yù)計(jì)將在2016年新增員工的受訪者中，有25%的受訪者表示企業(yè)安全方面的舉措是驅(qū)動(dòng)新增人手的決定因素。而33%的受訪者說，他們預(yù)計(jì)安全方面的技能將是他們?cè)?016年最難招聘到的人才。

　　在采訪中，有中小型企業(yè)的高管表示，他們將聘請(qǐng)具有廣泛IT和安全技能的人才，而不是在特定的安全區(qū)域經(jīng)驗(yàn)豐富的專家，如入侵檢測(cè)和防火墻領(lǐng)域。

　　許多公司都在增加專業(yè)知識(shí)，但并不是通過錄用正式的合同員工，而是越來越多的通過與安全服務(wù)供應(yīng)商簽訂合同。正如一位首席信息安全官所言，外包的優(yōu)勢(shì)之一就是其回避了優(yōu)秀的安全工作員工被其他機(jī)構(gòu)挖走的威脅。

　　位于圣迭戈的Cabrillo Credit Union公司的首席技術(shù)官Frankie Duenas負(fù)責(zé)管理者一個(gè)有6名IT專業(yè)人士組成的一個(gè)小部門，其職責(zé)范圍從安全和網(wǎng)絡(luò)規(guī)劃到日常運(yùn)營(yíng)，并將在必要時(shí)提供安全援助?！拔覀冇械轿坏陌踩A(yù)算--無論是應(yīng)對(duì)新出現(xiàn)的安全威脅或應(yīng)對(duì)更復(fù)雜的安全軟件和/或服務(wù)。明年我們預(yù)計(jì)該安全預(yù)算會(huì)翻番，因?yàn)楹诳偷目焖侔l(fā)展，我們需要有相應(yīng)的應(yīng)對(duì)措施?！?/p>

　　在Geiger公司，Denham說，他雇用第三方服務(wù)機(jī)構(gòu)來幫助處理安全入侵檢測(cè)和入侵防御服務(wù)。該公司還與外部審計(jì)人員合作，以遵守PCI數(shù)據(jù)安全標(biāo)準(zhǔn)。

　　他說：“我不希望我們的IT團(tuán)隊(duì)會(huì)雇用更多的安全專業(yè)人員。”相反，Geiger將繼續(xù)轉(zhuǎn)向服務(wù)供應(yīng)商，因?yàn)樾碌男枨髸?huì)不斷出現(xiàn)。

　　“您絕不可能完成在安全性方面的所有工作。您不能做到這一切，您永遠(yuǎn)無法足夠快的做到這一點(diǎn)?！?Denham說?！翱偸怯懈嗟氖虑镮T可以處理?！?/p>

　　關(guān)鍵底線是，安全是企業(yè)的一個(gè)關(guān)鍵問題，永遠(yuǎn)不會(huì)消失，也永遠(yuǎn)不會(huì)結(jié)束，因?yàn)楹诳蛡兛偰苷业叫碌姆椒▉磉M(jìn)行破壞。

　　例如，根據(jù)PayPal的Nai說，業(yè)界已經(jīng)在打擊網(wǎng)絡(luò)釣魚攻擊方面取得了很大進(jìn)展，但正是因?yàn)槿绱?，黑客們已?jīng)重新調(diào)整了他們的攻擊方向——開始傳播惡意軟件了。

　　“當(dāng)我們?cè)谀承╊I(lǐng)域不斷改進(jìn)時(shí)，黑客們就不再繼續(xù)該領(lǐng)域的攻擊了。” Nai說。他們不是出去找合法的工作了。而只是轉(zhuǎn)移到另一個(gè)攻擊方向去了?！?/p>

　　董事會(huì)在看您

　　幾乎所有接受本文采訪的安全專家和首席信息官均表示希望在2016年把更多的重點(diǎn)放在與他們所在企業(yè)董事會(huì)的溝通交流方面。

　　“三年前，除非發(fā)生特別嚴(yán)重的安全事件，一個(gè)人在這個(gè)職位角色的人將很少有機(jī)會(huì)參與董事會(huì)的高層交流。但現(xiàn)在，CIO參與每季度一次的董事會(huì)議已經(jīng)不是什么新鮮事了?！币患抑圃旃镜囊竽涿腃IO表示說?！岸聲?huì)試圖評(píng)估風(fēng)險(xiǎn)，他們想確信我將采取的措施是符合成本效益和能夠保護(hù)公司的?！?/p>

　　愛達(dá)荷國(guó)家實(shí)驗(yàn)室的網(wǎng)絡(luò)安全人員Darren Van Booven說，風(fēng)險(xiǎn)管理和安全計(jì)劃的成功取決于IT領(lǐng)導(dǎo)者是否有機(jī)會(huì)獲得相關(guān)資源，及其與高級(jí)管理人員溝通的能力。

　　他說：“安全管理人員了解企業(yè)的業(yè)務(wù)是非常必要的。如果您不這樣，您就不能用一種領(lǐng)導(dǎo)理解的方式表達(dá)風(fēng)險(xiǎn)。而如果您聽到首席信息安全官抱怨說他們的話沒有人聽，這便是原因所在了?！?Van Booven說。

　　除了董事會(huì)成員，Van Booven還建議會(huì)見企業(yè)最高級(jí)額管理人員分享信息并提供培訓(xùn)。

　　“這樣與其他高層領(lǐng)導(dǎo)人之間對(duì)等的交流與溝通，與安全管理人員在董事會(huì)上所做出的安全承諾效果是截然不同的?！毙畔⒐芾沓绦蛘峡偙O(jiān)Hortense Nelson說?！皞€(gè)人魅力是很重要的。”

　　公司以外的安全

　　除了內(nèi)部溝通，如制造企業(yè)的CIO這樣的IT領(lǐng)導(dǎo)者會(huì)發(fā)現(xiàn)自己越來越多的工作是在公司以外——與供應(yīng)鏈合作伙伴及他們的董事會(huì)談判。該首席信息官已經(jīng)起草了一份他所提議的供應(yīng)商管理流程的常規(guī)安全調(diào)查問卷。

　　位于弗吉尼亞州雷斯頓的一家咨詢公司及軟件即服務(wù)提供商Altum公司的技術(shù)總監(jiān)戴夫·庫克表示說，采用他們服務(wù)的客戶數(shù)量正在不斷增加。Altum公司的客戶主要都是大型基金會(huì)和其他提供資助的組織，他們采用Altum的跟蹤軟件服務(wù)來實(shí)施監(jiān)控，受捐助者如何使用資金的。

　　“當(dāng)我們收到想要獲得我們服務(wù)的客戶申請(qǐng)時(shí)，他們會(huì)發(fā)送給我們一個(gè)安全軟件的問卷調(diào)查。我們必須在他們考慮正式采用我們的服務(wù)之前回答一連串的問題?！睅炜苏f。“在過去18個(gè)月我們已經(jīng)看到了客戶數(shù)量的增長(zhǎng)。他們幫助了我們，因?yàn)槿绻麄儐柫诉@些問題，我們就需要將這些問題考慮在內(nèi)。”