雅虎在各市场当老大已经很长时间了,但2016年9月,它又摘得一项新“桂冠”:人类历史上最大型的公开数据泄露。
数量非常庞大,对所有类型的公司企业有着地壳板块迁移一般的潜在影响:
5亿+账户受影响
8亿美元威瑞森收购案被搁置
从雅虎开始检测到公开披露数据泄露花了2年
几乎翻倍了2016年已经创历史记录的公开承认数据泄露记录条数——540亿条
怎么发生的?
雅虎是网络安全5大致命因素(Five Killer C:Culture、Complexity、Conflict of Interest、Cash、Complacency:文化、复杂性、利益冲突、资金、自满)的绝佳案例。《纽约时报》一篇文章指称,“雅虎将防御黑客放在了次要位置”:
2012年中,玛丽莎·梅耶尔接任这家摇摇欲坠公司的CEO帅印时,安全,就是她继承的诸多问题其中之一。雅虎员工称,当务之急太多,她把重点放在了让雅虎邮箱之类服务更简洁和开发新产品上,而将改善安全位居次席。
在雅虎,文化、复杂性、利益冲突、资金、自满——这5大企业安全杀手均登场亮相,CEO、CFO、CISO、CIO都处理不了这牵涉整个企业的巨大问题。
有评估才有执行
商业领域基本真相之一——有评估才有执行。全世界的企业领袖们都想知道,自己的团队在网络安全方面都在做些什么。
如果他们确实能得到一个答案——虽然大多数情况下此题无解,那通常会是:我们正在购买/实现最新最好的反病毒引擎、防火墙、沙箱技术等等。
不过,“我们在网络安全方面在做什么?”不是一个正确的问法。正确的问题应该是:“我们当前的风险是什么?”
假如雅虎有此视角,如果网络风险被深深烙印进这个公司,那么他们可能就会做出不同的决策——那种可以减少大规模数据泄露机会,或提升检测和修复速度的决策。
但他们缺乏一种可以显示其真正持续网络风险的途径,那种在先行指标(人)和滞后指标(技术)之间取得平衡,让经理、董事、执行主管、部门负责人和高管得以做出战略决策和投资的途径。
持续性网络风险没有得到评估,于是,风险防范和缓解也就没有做到。
关注人的风险
承自信息技术、工程和计算机科学的网络安全行业中有一个偏见。这个偏见一直存在,暗中为害,有时候会被宣之于口,更多的时候是被作为一个事实深入人心:“用户很蠢,而我们修复不了蠢病。”
网络风险的根源是人,以及安全意识的缺乏。但公司、政府和个人却置这一根源问题于不顾,反而去买入不断膨胀的、又贵又难懂的大量复杂技术解决方案,真正的问题倒是被绕过了。
这并不是说在对付当前及未来网络威胁的问题上就没有安全技术的用武之地,安全技术当然有用,但我们目前对待网络安全的总体态度,是有失偏颇的。
在投资技术与投资人员本身上取得平衡
当前对网络安全的态度太过于倚重比特、字节、管道、反馈、速度、机器学习和超贵的主机。98.6%的网络安全投资都流向了预防、检测和响应工具/保险,仅1.4%用在改变员工行为上。这显然是有问题的。
我们怎么知道出了问题呢?因为全球花在以技术为中心的网络风险解决方案上的资金尽管高达数百亿美元,我们仍然一直在直接或间接地因网络犯罪而损失数千亿美元。
不改变路线,未来还将重复现在及过去的情况——更多数据泄露,更多资金流失,更多人生被影响,更多对技术的信仰与信任被侵蚀。
任何类型的企业都需要关注网络安全的人类方面——人员、过程、文化,及其在安全层次中的位置。他们需要的工具,不是绕开网络风险根源耍把式的那些,而是能直接评估、监视和管理网络风险的那种。
通过曝光不良行为和提供辅助培训,这类工具不仅仅有助于提升整个企业的安全意识,还能增强对网络不当行为的责任感。公司企业不仅需要符合各种行业标准,比如ISO 27002(信息技术—安全技术—信息安全管理实践规范)、NIST(美国国家标准)、SANS(系统管理、审计、网络与安全)、PCI-DSS(支付卡行业数据安全标准)等等,还要将安全作为重要组成部分融入公司各部门。
作者:nana
来源:51CTO
