新一代安全架构战略

日期: 2016-02-21 作者:Sue Troy翻译:陈晓诚 来源:TechTarget中国 英文

Nemertes Research公司的CEO, Johna Till Johnson认为企业们需要重新思考他们的网络安全架构。因为基于网络边界架构已经不起作用了,而专业的网络犯罪经济正在兴起,并且受到黑客攻击所带来的后果也更严重。在本期问答中,Johnson解释了这一转变涉及的各个方面,包括可以使安全团队工作更便捷的技术,创建新的预算模型,改变组织架构以应对更高级别的网络威胁。

你认为现在就需要新一代的安全架构。为什么是现在?

Johna Till Johnson:有几个原因。第一基于网络边界的架构已经失效。我的意思是,在过去的15年或20年内,有一个非常安全的方式来构建安全基础设施,在很大程度上依赖于内部互联网与外部互联网的概念。因此,在90年代,有了防火墙概念,同时以最原始的形式,引入了安全Web网关。

原理就是你可以保护你的基础设施不受攻击,只要将防火墙设立在内外互联网之间的边界上。假设攻击来自于外部,内部是安全的;如果你是网络军团的话,这是相当正确的假设。你认为你的团队和外部威胁互相作战。但是,你没有考虑两件事。一个是内部威胁,来自于内部的破坏,第二,(我认为这更重要)是外界入侵的能力,破坏防火墙,进入网络内部,造成各种破坏。

基于网络边界的架构,也没有考虑到大规模向云和移动化的转移,这就将网络资产置于边界之外。所有这些原因,基于网络边界的架构已经不起作用了,必须考虑无边界的架构。

另一大因素,外部黑客能够感染电脑,侵入内部网络:这就是专业的网络犯罪经济的兴起,这听起来也许不太现实,但本质上意味着在经济中,每位玩家都可以在他或她的领域拥有专长,而从历史对比来看,这类专业化的经济发展规模更大。原始的狩猎/采集经济,所有劳动过程都由个人完成,经济规模无法超越部落范围。你可以有很多的小部落,但本质上你只能支撑部落范围内的人。

人类经济快速发展,分工劳动逐渐兴起:有人推磨、有人种地、有人打猎、有人编织等等。实际上在网络犯罪经济中也是如此,有些人精通创建僵尸网络,有些人精通洗钱,还有些人精通漏洞探测,而这些事情也可以进行交易和出售。所以你花一笔钱,就可以打造一个僵尸网络,找出一系列漏洞,发现一系列攻击目标,寻找你可以攻击的信息列表,实现黑客攻击。这一切只需要你购买这些预制的模块。这让网络犯罪更危险。

最后,之所以要重新考虑架构,是因为受到攻击的后果日益严重。我们不仅看到,因为黑客攻击,CEO辞职,董事会下台,我们也看到,法律法规也逐渐实施,并且,如果外界认为公司存在漏洞,却没有采取措施,公司本身也会面对巨大压力。所以在过去的10年,15年内,一直都认为如果你设置了防火墙,和安全Web网关,你就能够防止恶意软件。你已经做了你所能做的一切,如果攻击发生,只能说明黑客太厉害了。

而现在不再是这样。你必须对任何漏洞负责,如果你是一个企业高层,你也许不得不承担网络攻击的后果。这也给企业带来很大的压力,必须重新思考他们的安全性。总结起来,原因就是,无网络边界架构的失效;专业的网络犯罪经济的兴起;以及受到攻击后,对于个人职业生涯的影响,以及法律法规的角度考虑。

除了专业的网络犯罪经济以外,你会发现会有专业人员开发这些模块,而脑力劳动和某些犯罪行为之间成负相关。例如,洗钱显然是违法行为,但是并不需要高智商人员就能完成;一直以来,都有洗钱行为。

发现某些漏洞,并进行黑客攻击是非常危险的,但不一定违法,而且事实上,要视其为违法也是非常危险的。不仅仅是专业化分工,还有风险的分布,会带来可以随意雇佣网络恐怖团队,进行攻击的可能性,随着国家之间相互对抗,我们仿佛进入了科幻小说的世界。

在这一切变好之前,会先变得更糟,因为涉及的利益很高。金钱利益很大。显然,黑客愿意承担更高的风险,因为有更大的金钱利益,同时也值得花时间和精力培养这样的技能。

所以,这比大多数人想象的还要严重。每个人都仍然停留在过去,认为,“哦,黑客都是那些住在父母客厅里的十几岁的孩子。”他们不是。我不会指名道姓,但我知道,在有些国家,会大规模的训练和付钱给那些能够善于发现漏洞的人,有相当于一个制造工厂的面积,大楼里的房间内都是聪明的年轻人,操作计算机,寻找漏洞,不断的扫描,因为涉及的利益很高。

你刚才说,“在这一切变好之前,会先变得更糟。”这说明,一切还是会变好的。

Johnson:我们建议实施新一代安全架构的一个原因,就是我们正处于重大改革的边缘,几乎所有和软件有关的一切都会涉及到自动化。因此,有很多过去都是通过手工完成的工作,将会用更自动化的方式实现,这对于机械制造工厂也会带来类似的影响。

我观察到使用起重机自动化进行装卸集装箱的船舶作业。整件过程是由一个在控制塔里的员工,操作计算机程序,确定这些巨型集装箱装卸的地点和时间,然后起重机会将它们抬起和移动。不再是成千上万的码头工人做这些了。

在软件世界里,同样的事情也即将发生,这就意味着当你开始建立这个无边界的架构时,你可以自动化很多以前是手动的防御措施,改善它的可扩展性,最高程度上提高它的坚固性。这并不意味着你就一定是安全的,因为任何你能够访问的,黑客也可以。但是至少,会使攻击更困难。

CISO和CIO们能做些什么,才能构建新一代的安全架构呢?

Johnson:有一系列的事项,并不是针对首席信息安全官个人的——而是更广泛地应用于整个IT部门,但我必须强调预算的重要性,而CISO真正需要做的是重新配置预算,不是基于IT预算的一个固定百分比,而是基于风险所带来的影响。十年前,类似我们和Gartner这样的研究和分析公司会探讨IT预算中应该分配在安全性上的比例。也许我们会建议8%,他们会建议4%,最后你决定分配6%。我们遇到很多客户,他们会问, “嗯,Gartner向我们建议的预算是这个数额。你认为我们应该花费多少?”

事实是,这是错误的模型。如果你在安全性上的预算是整个IT预算的一个固定百分比,这样思考就不全面。你需要考虑的是,如果公司的客户信息被黑客攻击,根据风险评估,作为公司的损失有多少:包括,客户损失、利润损失,由声誉带来的市值损失? 假设这个数值对于一个大企业而言, 大约是1亿美元。那么,发生这种情况的几率是多少?无论几率是多少,那就是你必须花费的,用于防止这种风险发生的预算。你会发现的是,如果你的预算是为了避免 1亿美元或10亿美元的风险,预算以非常大的数量级开始增加,这和以往考虑IT预算的方式非常不同,我们也不要忘记,过去10年内,在大多数企业内,IT预算在不断缩减。因此,我必须强调重新评估预算配置模型的重要性。这不仅仅是你说,“CEO先生或女士,我可以有更多的钱吗?”这更像是,“我们需要重新评估安全性。”

同样,你真的应该重新审视你的组织架构。在很多企业内,CISO向CIO汇报,而CIO向CFO汇报。这完全不合理。CIO应该和CISO平级,而且我认为他们都不应该向CFO汇报。

除了汇报架构以外,CISO应该与企业风险管理团队建立一个强有力的,良好的关系,你应该在你的企业内有一个稳固的风险管理团队。 如果你的企业规模太小,不足以同时负担风险管理团队和CISO,你至少应该有一个人兼顾这两者,虽然很难找到这样的人员,但并非不可能,因为你可以寻找一位擅长风险评估的人员,在网络安全方面加以培训,然后他或她聘用适当数量的优秀的安全架构师,这样就能保护企业的安全性。如果你只是聘用一位优秀的安全人员,让他或她成为CISO,你就不会获得整体风险保护,更重要的是,无法整合入公司的风险保护战略和风险降低战略。所以,重新考虑组织架构是关键。

我还认为,未来的五到七年,你应该有一个团队,专门关注新兴的安全技术。

这一领域会有很多投资。会出现很多新兴技术,会有很多初创公司;任何人都很难一直处于技术的顶端,但你必须进行投资。(应该选择和我们这样的企业合作,因为我们善于这一领域。) 我认为,这一领域对于很多企业而言,都是全新的,因为直到三年前,安全技术才开始发展。

总结起来就是,重新审视基础设施架构,重新审视预算模式,提出倡议,以确保你关注新兴技术和重新审视你的组织架构。

IT部门还需要解决哪些与安全有关的问题?

Johnson:我不认为会有现成的云安全解决方案,无论是针对应用安全,或物联网的安全。我认为有很多很有趣的,新兴的技术,有一些供应商声称他们已经解决了主要的问题,也许他们中的一些的确做到了,但是这些都是针对终端用户企业的领域……还没有在安全性方面投入足够的资金和技术。

另外,随着企业快速引入DevOps概念,软件开发有了新模式,需要更可靠、更少的错误,而且比以前开发的速度要更快。有些人会认为“DevOps并没有真正的安全组件。”实际上,事实证明,如果你正确实施DevOps,你的软件也会更安全,但也会面临一些挑战,因为DevOps模型的概念之一就是,在每个项目中,涉及的人员和团队规模很小,而他们都有专业技能。而在这一小规模团队中,无法包含足够的安全运营人员,因此这一团队的可扩展性将是一个挑战。我认为,将SecOps引入DevOps概念中,是另一个未解决的问题。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Sue Troy
Sue Troy

相关推荐

  • 联合国的首席技术官:创新和网络犯罪

    将业务和IT目标相结合,对于任何CIO都是艰难的工作。而作为联合国的CIO,有17个目标,其中包括“结束一切贫困”,是更大的挑战。

  • 专访全英网络事务代表:规划基础架构加强网络安全

    Pauline Neville-Jones是由英国首相任命的负责网络安全事务的特别代表。她的工作就是促成英国政府机构与私人公司共同合作来保护整个英国IT关键基础构架不受网络攻击。在接受TechTarget专访时,Neville-Jones谈及了管理云服务对安全性标准的影响,以及为什么政府和企业必须更好的规划IT企业的基础架构。

  • 日志管理工具和SIM整合设备形成安全架构

    日志文件忠实地记录发生在服务器、网络设备和一些应用程序中的事情。我们面临的挑战是如何有效地解开这个信息宝库。对于Larry Whiteside来说,被迫寻找正确的日志管理工具……

  • IBM报告:企业正成为自己客户的安全威胁

    IBM公布2008年度X-Force安全趋势与风险报告,结果显示企业正无意间将自己的客户置于受到网络攻击的危险境地。网络犯罪者正利用企业来攻击其客户,从而窃取客户的个人数据。