网络安全——保护有价值的知识产权和数字形式的商业信息免遭盗窃和滥用——是一个日益严峻的管理问题。美国政府已将网络安全确定为“我们作为一个国家所面对的、对经济安全和国家安全最严峻的挑战之一。”
现在,企业必须抵御无时不在的网络攻击——网络犯罪分子乃至心怀不满的员工发布敏感信息、为竞争对手窃取知识产权,或在网上从事诈骗活动的威胁。虽然一些高技术企业最近遭到破坏其技术环境的网络攻击已广为人知,但还有许多此类事件并没有报道。事实上,企业并不愿意让公众知道它们不得不向网络罪犯“支付赎金”,或公开描述这种网络攻击所暴露出来的薄弱环节。
由于这些威胁日益增多,而且越来越复杂,企业必须采取确保网络安全的各种措施,这将需要首席执行官和其他高管人员的更多参与,在不会抑制创新和增长的前提下,保护关键的业务信息。
为什么现在网络安全问题越来越重要
在过去五年中,大部分大型企业都显著加强了自己的网络安全能力。为了甄别各种IT安全风险,对其危害性进行排序,并制定减小风险的战略,企业实施了一些正规流程。为了执行这些安全战略,已经投入了数亿美元的资金。由于采取了禁用USB端口、关闭互联网邮件服务等措施,桌面环境“门户洞开”、易受攻击的状况已比五年前大有好转。各种先进技术和措施已落实到位,以应付对外围设备的攻击。
然而,我们最近对全球25强企业的信息安全负责人进行了深入采访,并举行了如何解决网络安全问题的座谈会,结果表明,企业对网络安全问题普遍——而且越来越——感到担忧。商用技术的进步与更高效的恶意攻击者结合在一起,使保护业务流程和信息安全的任务日趋复杂化。
我们的采访进一步说明,企业利用技术方式的变化,已经使保护企业的技术环境变得更加困难,同时又增加了保护它们的重要性。有三种普遍的趋势已经形成:
- 价值不断在网络上转移,数字化数据已变得无处不在。为什么有些机构每小时遭受的网络攻击比它们仅仅几年前一个月受到的攻击还要多?借用银行大盗Willie Sutton的话来说,因为那里是放钱的地方。很简单,更多的网上交易对网络犯罪产生了更大的诱惑。此外,留心挖掘数据——例如,交易数据和客户信息、产品上市销售结果,以及市场信息——的企业也能创造出有价值的知识产权,这本身就是一个具有吸引力的目标。
- 预计企业将比以往任何时候都更加“开放”。在业务单元工作的员工正越来越多地要求通过移动设备访问企业网络,而这些移动设备正是他们在个人生活中所使用的。虽然智能手机和平板电脑提高了连通性,但它们也提出了新型的安全威胁:如果黑客“破解”了某个移动设备,它就会成为恶意软件2侵入企业网络的一个薄弱点。
- 供应链正变得越来越相互关联。为了加强与客户的联系和优化供应链,企业正在鼓励供应商和客户加入自己的网络。但是,这种参与使得用防火墙隔离一个企业的技术环境变得几乎不可能。当然,与业务伙伴更紧密的融合可以提供许多明显的好处,但这同时也意味着,一家企业抵御网络攻击的能力部分依赖于合作伙伴和客户的安全政策。正如一位高管告诉我们的,“现在,整个网络正处在从最薄弱的环节被攻破的风险之中。” 例如,一家大型企业严格禁止其员工通过Web网络,用P2P软件共享敏感的企业文件,不料却发现,现场承包商经常使用这种软件来查看相同的敏感文件。
- 恶意攻击者的技能正变得越来越高超。专业的网络犯罪组织、政治上的“黑客行动主义者”,以及一些由国家资助的团队在技术上已变得越来越先进,在某些情况下,他们掌握的技能和资源已经超过了企业的安全团队。黑客们提供“作为一种服务的网络犯罪”——为他们用恶意软件感染的每台最终用户电脑收费。其结果是,在过去五年中,出现了许多更复杂、更有针对性的网络攻击。如今的恶意软件更加难以追查,而且往往是为窃取可用于营利的数据而专门定制的。一些高管开玩笑说,有组织犯罪团伙似乎比企业自己的安全业务财力更雄厚。作为工业间谍活动的一部分,一些国家情报机构似乎承担了一些最高级的网络攻击任务。
最具挑战性的网络攻击利用了人性的弱点,而不是比较容易修复的技术漏洞。网络犯罪组织越来越多地利用从社交网络网站零零星星收集到的信息,精心制定出针对性很强的“网络钓鱼”攻击计划,诱使高管人员或系统管理员点击一些链接,乘机在他们的笔记本电脑上安装间谍软件。正如零售商寻求创建一种跨电子商务和面对面互动的“多渠道”体验一样,一些网络犯罪组织也将在线和离线诈骗手段结合起来。一家机构曾经是一次共谋行动的目标,该行动的目的是窃取其高管未加以充分保护的移动设备,以便通过该企业网络获取敏感资料。
采用一种业务驱动的网络安全新模式
为了保护企业的技术资产免遭恶意破坏和不当滥用,现在比以往任何时候都需要对员工、客户和合作伙伴访问企业应用程序和数据的方式进行明智的限制。如果缺乏足够的保护,将会导致关键数据丢失,但过于严格的控制也可能会妨碍业务的开展,或产生其他不良影响。例如,在一家投资银行,运行极其缓慢的安全软件导致其并购专家放弃了企业的笔记本电脑和电子邮件服务,而使用个人移动设备和网络邮件服务。
因此,一种业务驱动的网络安全模式开始脱颖而出,即使面对技能高超和百折不挠的恶意攻击者,这种模式也能对日益灵活、开放的企业提供具有弹性的保护。
必须通过最高层解决网络安全问题
在许多企业组织中,网络安全问题主要被视为一个技术问题。大部分受访者都认为,企业高层领导人太不了解IT安全风险及其对业务的影响,以至于无法与其讨论对投资、风险和用户行为的折衷方案。
一些企业已开始将网络安全作为业务战略——而不是技术管理——的一个重要组成部分。在一家企业中,首席执行官通过与负责安全的高管一起直接参与关键决策,彰显了网络安全的重要性。一些企业在业务单元中设置了部门首席信息安全官的职位,使他们能与业务单元的高管人员紧密配合。另一些企业选择向董事会的风险委员会——而不是技术委员会——报告网络安全问题。
网络安全必须采取“业务退守”而不是“技术冲锋”的方式
为了应对网络风险,越来越多的企业必须彻底改变自己的思维方式。它们不应将修复技术上的薄弱环节(比如说,修补服务器或路由器的漏洞)放在第一位,而应该首先保护最重要的业务资产或流程(如客户的信用卡信息)——我们将其称为“业务退守”方式。许多大型企业已经实施了持续多年的企业数据分类计划,从而可以将维护网络安全的精力和策略重点放在自己最重要的信息资产上。企业已经开始评估自己在整个价值链中的网络风险状况,澄清对供应商的期望,加强与主要业务伙伴的协作。一些机构已经将网络安全作为客户价值主张的核心部分,建立起一种持续对话机制,讨论如何在既能收集足够的资料以核实客户身份,又不会迫使客户花太多时间来设立或开通自己的网上账户之间保持适当的平衡。对于这些企业来说,网络安全可能代表一个业务机会,因为它们创造了既方便又安全的端到端客户体验。
从保护外围设备转向保护数据
大多数企业组织都试图通过围绕其外围设备构建日益严密的防线,来实现网络安全。而现实情况是,一个有目的的攻击者可能会从中发现漏洞——或者一个员工可能会无意中造成一个疏漏(例如,通过偶然用电子邮件发送敏感的客户信息)。
与时俱进的企业正在重新定位网络安全架构——从设备和地点到任务和数据。最终,如果将你的笔记本电脑在企业工作场所接入该网络,可能也只是使你能够访问对公众开放的互联网站。不过,如果想要访问企业数据和应用程序,则需要对你进行身份认证。
安全性将很快成为基础技术架构中的一项基本设计决策。例如,如果将客户的信用卡信息保存在一个单独的数据库中,网络犯罪分子就只有每次都攻破安全防线,才能从事欺诈性交易。将信用卡号码与到期日期分离开来,会大大增加攻击任务的复杂程度。由于一个具有恶意的系统或数据库管理员的危害性可能比即便是最粗心的最终用户都要大得多,因此,一些IT组织已经开始限制能够访问生产系统和数据的人数,不仅是应用程序开发者,而且还包括基础架构的设计者和工程师,都禁止接触“正在运行的机器”。
更新网络安全战略,快速应对不断变化的业务需求和安全威胁
我们曾听许多受访者说,首席执行官和其他高管人员会询问如何“彻底解决”网络安全问题。企业必须认识到,这是一场持续不断的战斗。新的数字资产以及访问这些数据的机制只不过意味着将会出现新的攻击类型。
目前,许多企业都在进行模拟的网络攻击演练,以识别一些未曾发现的漏洞,并培养管理破坏行为的组织能力。一些企业已经形成了收集和分析大量运行数据(如电子邮件标题和IP流量)的先进能力,以及时发现新出现的安全威胁。此外,企业必须将网络安全——如在进入新的地区之前必须实施的信息安全措施——作为实施重大举措或推出新产品的业务策略的一个关键部分。
为确保圆满解决网络安全问题,高管人员应当怎样做?
在一流的企业组织中,网络安全应该是首席执行官和董事会议程中一个恒久不变的主题。为了领先于各种威胁,高管们必须持续不断地进行对话,以确保其安全策略能与时俱进,并在业务机会与风险之间进行适当的折衷权衡。 我们认为,这种对话应该首先从提出以下这些重要问题开始:
- 谁负责制定和维护我们的跨职能网络安全方法?企业领导人(而不是主管IT或风险控制的高管)在多大程度上对此问题负责?
- 哪些信息资产对企业最重要,如果发生了网络攻击事件,哪些价值“面临危险”?我们对自己的客户和合作伙伴做出了哪些保护他们信息安全的承诺——无论是隐含的承诺,还是明确的承诺?
- 在我们的客户价值主张中,网络安全和信任发挥着什么样的作用——我们如何采取措施来确保数据安全,并支持端到端的客户体验?
- 我们如何使用技术、业务流程以及其他方式,来保护自己的关键信息资产?与我们同行的做法和最佳做法相比,我们的做法效果如何?
- 我们的做法在不断与时俱进,并且我们一直在相应改变自己的业务流程吗?
- 我们在有效管理自己与供应商和合作伙伴的关系,以确保对信息的相互保护吗?
- 作为一个行业,我们正在与恰当的政府机构有效合作,以减少对网络安全的威胁吗?
随着更多的价值在网上转移,以及企业采用更具创新性的方式与客户和其他合作伙伴互动,对网络安全的挑战只会与日俱增。
由于网络攻击的危害性、技术性以及IT环境的复杂性都在迅速增加,应对这种挑战需要跨越战略、运营、风险管理、法律和技术等职能的解决方案。为了在不会限制业务创新和增长的前提下保护关键的信息资产,企业需要在高层领导人的指挥下,采取这种范围广泛的管理措施。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
混合IT环境需要混合网络安全
随着越来越多的企业转向云和本地的组合系统,保护混合IT环境中的数据,需要重新审视网络安全战略。
-
公司网络安全:别忽略数据
分析师可以帮助决定什么企业信息是最易受攻击的,哪里有安全流程漏洞,以及员工数据保护培训是如何缺乏的。
-
案例:如何应对电网网络攻击
针对国家电网的网络攻击,可能会让美国人在没有电,饮用水,污水处理系统的情况下,艰难生活。除非填补相关“缺口和漏洞”,才能减轻灾难的风险。
-
互联汽车面临的网络安全问题
近年来,物联网的应用逐渐扩散到消费领域,汽车工业就是一例。汽车制造商不断改进技术,完善互联汽车的效能,并让驾驶者能够及时获知潜在的危险。