最近,美国安全公司Illumio的首席商务官阿兰·科汉发表文章呼吁美国的信息安全变革,文中的观点值得我们借鉴,现摘译整理如下:
网络安全是个国家第一厂商第二的问题。最近发生的安全事件令人惊恐地强调了从根本上重新思考我们对待信息安全的态度以防我们的经济和我们生活的方方面面不被重创的必要性。
网络事件是另一种形式的恐怖事件:它们能以本应用来保护我们的安全系统所想象不到的方式给我们那开放的数字社会予以重击。
人事管理局(OPM)信息泄露事件就是数字世界里的重大恐怖袭击。尽管2014年就是黑客年,黑客事件遍及大部分科技产业和商业新闻周期,OPM信息泄露事件还是导致了大量美国驻海外人员的召回,以致网络防御可能在短期内成为美国军事的第五个兵种。
就像我们在9/11之后重新检查和装备我们的运输系统安全一样,我们必须对数据安全采取同样的态度和方法。我们必须从零开始,全新打造一个适应当前环境动态要求的网络安全态势,而不是把精力投入到保护前一个世代的技术上。遗憾又讽刺的是,那套监视着政府部门网络流量的入侵检测系统竟然是叫“爱因斯坦”。政府的程序十年间几乎没什么变化,而真正的爱因斯坦对愚昧顽固的定义就是“同一件事重复做,一遍又一遍,却希望能得到不同的结果”。
向前看,我们必须关注当前网络威胁环境的六大原则:
1. 所有的安全问题都是网络安全问题。首席信息安全官(CISO)现在得评估IT“风险金字塔”和潜在的杀伤链来了解自己面对的网络攻击面。整个IT业务都处于攻击火力之下,需要一套全新的能将对新威胁环境的考虑融合进IT设计与使用中的信誉与安全模型。
2. 威胁绝大部分是由内而外,而不是由外而内的。80%的网络安全事件都是由内部人士教唆协助或由内部系统的漏洞引起的,然而企业绝大部分的安全支出却着眼于保护安全边界。只依赖于周边基础设施层简直就是一张通往不断失败的请柬。这种在数据中心周边与系统内部之间极不均衡的支出与关注度必须有所改变。
3. 安全系统的适应速度与其侦测与预防程度同等重要。网络安全投注在灵活性与适应性上的关注度必须与投注在侦测与预防上的一样。不是每一次攻击都能被预防,但自适应系统可以在关键数据被传出之前快速解决问题。自适应系统检测和处理安全事件的速度越快,产生的损失也就越少。
4. 什么都不能信任。今天的环境中,在用户和系统间建立可信连接时应预设的策略是“对允许说不”而不是“对拒绝说行”。这一预设在服务器间连接或用双因子身份验证登录软件即服务应用时是真实有效的。尽管这么做有可能会损失掉一些业务操作上的便捷性和一点点时间,不这么做的代价却更高昂得多。
5. 安全必须根植于信息处理的基底层。我们今天的应用开发过程是:某人创建一个应用,另一组人将之载入基础设施,第三组人决定怎样保证它的安全。则一系列传接过程无形中增加了风险,也在每次应用修改或升级时引入了官僚主义。安全必须是“自下而上”地构建和实施,而不是放马后炮。
6. 公共/私营合作关系应被重建。后NSA关系时代,华盛顿与商业之间的信任等级与我们必须配合和协作的需要成反比。由于国家安全与经济网络事件之间只有一线之隔,是时候重塑我们私营产业与公共产业的合作关系了。
如今这个网络恐怖主义时代,以上安全必须改变的6个领域还仅仅只是个开始。毫无疑问:信息安全整体都必须做出改变。
作者:nana
来源:51CTO
