數(shù)字化轉型，安全先行的4項關鍵挑戰(zhàn)

　　改善網(wǎng)絡安全狀況正成為啟動數(shù)字化轉型項目的驅動因素。然而，實施過程中存在的錯誤往往會釀成慘痛的后果，需要為之付出沉重的代價。

　　數(shù)字化轉型對于許多企業(yè)的長期發(fā)展目標而言至關重要，因為它可以幫助他們抵御如春筍般不斷涌現(xiàn)的初創(chuàng)公司，更好地滿足客戶的需求，尋找新的發(fā)展機會，以及幫助企業(yè)降低成本等等。

　　此外，也是尤為重要的一點是，它還可以幫助提高企業(yè)的安全性。根據(jù)451 Research公司去年年底進行的一項調查顯示，49%的IT專業(yè)人員和業(yè)務線經理表示，保護客戶數(shù)據(jù)是他們的主要轉型目標之一。

　　今年夏天，研究公司Lucid也對IT領導者進行了一項調查，結果顯示49%的IT領導者認為，更好的網(wǎng)絡安全保護是他們公司關注數(shù)字化轉型的原因之一。40%的受訪者表示，網(wǎng)絡安全是他們公司投入最多的數(shù)字化轉型領域。

　　實際上，我們正在目睹越來越多的IT領導者采取數(shù)字化轉型項目來支持他們的網(wǎng)絡安全戰(zhàn)略。這些項目涉獵極廣——小到員工入職和離職期間獲取更好的訪問權限，大到一些大型項目，如跟蹤GDPR敏感數(shù)據(jù)的位置和其他合規(guī)性要求等，無一不包含在內。

　　除此之外，遷移至現(xiàn)代基礎架構(包括Office 365等基于云的解決方案)通常也可以單獨提高安全性。 RiskLens公司近日針對準備向云供應商遷移的大型企業(yè)進行了風險分析研究，結果指出，由于我們的電子郵件環(huán)境不再是本地(on-premises)部署，我們將更加擔心網(wǎng)絡中斷和數(shù)據(jù)保護問題。但是研究人員也發(fā)現(xiàn)，微軟對Office 365的管理往往遠遠領先于組織自身所實現(xiàn)的管理，因此就整體而言，實際風險在遷移到云時會減少，而不是增加。

　　專家表示，數(shù)字化轉型項目還可能導致企業(yè)環(huán)境的可見性降低，人力檢查點減少，以及面臨新的安全威脅。 事實上，根據(jù)Fortinet最近進行的一項調查顯示，安全性是迄今為止數(shù)字化轉型工作面臨的最大挑戰(zhàn)，85%的首席安全官(CSO)和首席信息安全官(CISO)表示，安全性對于數(shù)字化轉型工作而言一個巨大的難題。

　　普華永道在最新發(fā)布的一份報告中表示，很少有公司正在將網(wǎng)絡和隱私風險管理正確地納入其數(shù)字化轉型中。未來的贏家將屬于那些自設計階段開始就在構建風險管理的企業(yè)所有。能否在數(shù)字化轉型過程中正確建立網(wǎng)絡和隱私風險管理，將成為企業(yè)確立品牌形象的關鍵一戰(zhàn)。

　　以下是企業(yè)組織在將安全性納入數(shù)字化轉型過程中將面臨的4大主要挑戰(zhàn)：

　　1. 對數(shù)據(jù)和流程的可視性降低

　　據(jù)RiskLens公司所言，當基礎設施由第三方托管時，企業(yè)對于能夠收集的數(shù)據(jù)的控制權就會降低。試想一下，如果你的基礎設施是在本地部署的，你就能夠獲取更好的可視性，可以在任何時間操控任何你想要控制的數(shù)據(jù)。當然，第三方服務供應商也會為你提供一些控制和報告，但是這與公司控制自己的基礎架構的程度明顯不同。

　　如果說公司未能提前制定好計劃來管理新基礎架構的話，那么即便是在本地安裝新系統(tǒng)，可視性也可能會成為問題。一旦你無法確定相關資產的狀態(tài)，或者將新軟件部署到該資產時，你就會面臨安全風險，無疑，你的攻擊面也將進一步擴大。

　　以容器為例，它可以在本地、混合或云環(huán)境中運行。多年來，未能妥善保管容器一直是個問題。一個問題是，安全性無法產生收益。大多數(shù)企業(yè)都沒能從安全性中獲利，因此，從歷史上看，大多數(shù)企業(yè)的主要關注點都未放在安全性上，盡管多年來它已有所改善。如此一來，從安全角度來看，基礎設施的構建、增長甚至成熟速度在很多情況下都要遠遠超過企業(yè)所能應對的程度。

　　而當業(yè)務部門在未經IT部門的批準下購買新技術時(即所謂的“影子IT”)，問題就會變得更為嚴重。特別是云服務可以在無需大量技能支持的情況下，即可快速輕松地實現(xiàn)部署和設置。如今，企業(yè)系統(tǒng)中存在越來越多的“影子IT”，業(yè)務部門已經打破舊的原則，在未經IT部門許可的情況下構建屬于自己的基礎設施，這無疑加重了安全問題。因為公司IT管理人員甚至不知道有這些系統(tǒng)的存在，談何具備對這些系統(tǒng)的可視性。

　　2. 人力檢查點減少

　　人類雇員需要對企業(yè)中存在的許多甚至大多數(shù)安全問題負責：他們會在輸入交易時發(fā)生拼寫錯誤;他們會忘記啟用安全控制;他們會打開網(wǎng)絡釣魚郵件并點擊惡意鏈接;他們會陷入網(wǎng)絡騙局;他們會堅持在不同的平臺上使用相同的弱口令。

　　通常情況下，我們的網(wǎng)絡解決方案要比我們更強大，因為我們作為人類，具備情感，所以更容易被惡意行為者利用和操縱。但是值得注意的是，人類也提供了一種叫做“常識”的關鍵劑量，不過隨著流程逐漸實現(xiàn)完全自動化，人類所獨具的這種技能也在隨之消失。

　　舉個例子，有些事情就像SQL注入一樣簡單。人類可以通過代碼立即獲取想要獲取的數(shù)據(jù)，而無需人力識別和過濾。這顯然是自動化所帶來的便捷之處，但是要知道，計算機只有在經過編程之后才能執(zhí)行相應的任務。作為人類，我們能夠通過直覺或常識來判斷一些東西可能存在問題，但是計算機并不具備這種能力。它們只能依賴特定的編程來執(zhí)行任務，因此可能會存在遺漏、錯失的情況。

　　如今，越來越多的企業(yè)正在不斷增加其自動化建設，在這種高效、低成本的環(huán)境中，企業(yè)習慣將人類從控制臺中剔除，這種行為可能導致的問題值得企業(yè)深思。

　　3. 未知的“未知數(shù)”

　　數(shù)字化轉型有時可能會帶來新的、無法預料的攻擊向量。例如，Amazon S3存儲桶的使用。其價格便宜、使用便捷、易于設置，同時也易于遭受攻擊。

　　在過去一年中，包括埃森哲、道瓊斯、Verizon以及軍事情報機構INSCOM在內的多家技術精湛的公司，都將敏感數(shù)據(jù)暴露在了亞馬遜上。無獨有偶，Kenna Security公司研究人員最近也發(fā)現(xiàn)，9,600家分析機構中有31%因為Google網(wǎng)上論壇和G Suite配置出錯而泄露敏感電子郵件信息。受影響的實體包括財富500強公司、醫(yī)院、大學和學院、報紙和電視臺，甚至美國政府機構。

　　Kenna Security研究人員指出，使用G Suite的組織在創(chuàng)建郵件列表可能會配置Google Groups 界面。由于術語和組織范圍與Groups特定權限很復雜，導致列表管理員無意中可能泄露電子郵件列表的內容。據(jù)悉，造成此次事故的谷歌G Suite，正是許多正在轉型中的企業(yè)所使用的轉型產品。事實上，由于缺乏持續(xù)的警惕性而導致的錯誤配置問題，已經使全球不同行業(yè)的眾多組織遭遇了數(shù)據(jù)泄露事件。

　　4. 你需要一個網(wǎng)絡安全計劃

　　首席安全官(CSO)在確保企業(yè)的數(shù)字化轉型戰(zhàn)略(包括網(wǎng)絡安全計劃)方面發(fā)揮著重要的作用。他們發(fā)揮作用的關鍵就是要能關注那些對企業(yè)而言最重要的問題。

　　安全人員有時候習慣打啞謎，聽得人云里霧里，公司自然也就不了解安全的重要性以及如何落實安全性了。事實上，安全人員需要提供一些清晰且實實在在的案例，這些例子不僅僅是技術性的，還需要能夠清楚地說明哪些因素可能會對公司的品牌產生什么影響。

　　例如，數(shù)據(jù)泄露行為就會對公司的市值產生影響。你可以為企業(yè)繪制一個簡單的圖表，說明Equifax數(shù)據(jù)泄露事件為其帶來的成本和市值損失;Target數(shù)據(jù)泄露造成的成本損失，以及Facebook泄露客戶隱私所造成的市場成本和名譽損失。更重要的是，這種損失成本還一直在大規(guī)模的增加。

　　首席安全官也必須把握好言語的尺度，以能夠說服企業(yè)高管支持網(wǎng)絡安全舉措為宜，切勿營造一種危言聳聽的形象。例如，太多的安全專業(yè)人員只關注于將數(shù)據(jù)和流程遷移至云端的額外風險，而忽略了其優(yōu)勢。這種行為并非實際的分析工作，而是在傳播一種恐懼、不確定和懷疑的氛圍，甚至可能導致首席安全官失去信譽。

　　之后，企業(yè)可能仍然會繼續(xù)進行該項目，因為他們看到了該項目的價值、機會或成本優(yōu)勢，首席安全官也會由此受到限制，損耗企業(yè)對其的信任。

　　如果首席安全官能夠客觀地談論業(yè)務方面的風險和安全性，那么他們將更有可能在數(shù)字化轉型項目中發(fā)揮作用，樹立威信。安全專家建議稱，安全專業(yè)人員可以關注風險評估方面的一些國際標準，例如FAIR風險評估框架等等。這些標準并不是傳遞FUD(恐懼、不確定和懷疑)，或云是危險的等觀點的，而是旨在幫助企業(yè)安全人員做出更為明智的決策。