企业IT系统安全性提升困难的六个原因

简介:

企业安全性之最佳实践早已广为人知,但为什么绝大多数企业仍然无法真正实现?就在去年,Target公司CEO及CIO在遭遇到有史以来规模最大的支付卡信息窃取案件后相继宣布辞职,这也标志着又一个历史转折性时刻的到来:终于,企业中的高层管理人员意识到了安全问题的严重性与迫切性。不考虑安全保障所带来的严重后果已经昭然若揭。

企业IT系统安全性提升困难的六个原因

自那时开始,更多数据泄露事件以层出不穷之势覆盖了各大媒体的头条:Michaels、PF Cahng’s、美国社区卫生系统、UPS、Dairy Queen、Goodwill、家得宝、摩根大宝、Kmart、Staples以及广受关注的索尼已经相继被攻陷——不仅是索尼影业执行官Amy Pascal,整个索尼品牌都遭受到了灾难性的打击。

面对着这一系列冲击,相信人们对于安全问题的态度会有所变化。正如InfoWorld网站的Roger Grimes所反复强调的观点,防止攻击活动成功实施的最佳实践几乎可以说显而易见。早在2014年遭遇攻击之前,索尼公司的安全防御机制就早已饱受诟病。Roger曾经以索尼攻击案为例提醒我们,“大多数企业的计算机安全整体状况不仅仅‘堪忧’,甚至应该说‘可悲’。”

面对上述事故所带来的可怕后果,安全意识的重要性已经被提升到了前所未有的高度。但几乎可以肯定,今年年内我们还将亲眼见证更多令人心惊的灾难。为什么悲剧总会反复发生?我给出以下几点猜测。

1. 高层采取忽视态度

安全事务不仅带来额外成本,而且可能会给正常业务流程带来额外步骤、并因此影响生产力水平。没有哪位高管会因为安全事务处理得宜而备受关注,但却往往因短期盈利丰厚而得到赞誉。此外,首席执行官们往往会频繁跳槽,这更使得安全事务这类长期性工作遭到严重忽视。在几年任期之内遭遇大规模灾难性安全事故的概率有多高?也许目前的可能性确实比几年前更高,但宾州大学的Arijit Chatterjee与Donald Hambrick在2007年的研究论著《一切以我为中心》中指出,CEO们通常都会显示出强烈的自恋倾向与侥幸心理。

2. 受到供应商的错误引导

安全方案供应商们永远走在安全威胁炒作的第一线(旨在宣传自己的安全保护品牌),并致力于销售其所谓包治百病的保护妙药。从技术层面讲,这些威胁的确真实存在,但相较于这些小打小闹、为未受保护的系统安装正确补丁往往能带来更理想的保护效果。如果一味听从供应商的建议,大家很可能会把最宝贵的资源从最紧要的领域挪出来并移为它用。

3. 运营惯性导致问题拖延

假设企业管理层高度关注,并希望快速解决组织内的头号安全风险,即客户端Java。但就在这时,几位LoB经理提出了反对意见,表示几款关键性应用程序的正常运行需要以客户端Java为基础。事实上,也确实存在着一部分需要陈旧且满是安全漏洞的Java版本才能正常运行的应用方案。那么企业有可能先把运营放在一边,利用安全技术对此类应用程序进行重新创建吗?或者说,他们更倾向于先把问题搁置起来,等到明年的大规模技术更新规划上马时再一道加以解决?

4. 在最明显的问题上缺乏正确引导

管理员们往往认为只有白痴才会轻易点击某个文件附件、打开某个指向被恶意软件所感染之网站的链接,或者轻信伪造的病毒警报而安装名为杀毒软件、实乃恶意软件的程序。但事实上,钓鱼邮件的效果确实非常、非常好,而且如果普通员工从来没见过真正的反恶意木马检测软件,他们根本不可能知道如何加以分辨。用户需要系统的安全培训,并在遭遇钓鱼活动时得到正确的提示及引导。每次培训时间不需要太长,但此类活动必须长期推进。

5. 自以为安全无忧

防火墙、入侵检测系统、安全事件监控、网络监控、双因素认证、身份管理……我们的企业已经把这些方案全部部署到位,没人能够随便闯得进来!然而残酷的事实证明,如果大家已经被贼惦记上了,那么以上机制根本不足以彻底消灭数字化资产损失。要防止问题的发生,大家必须拥有审慎的心态——对闲置中的关键性信息进行加密、避免设置永久性管理员权限并通过各种举措降低恶意人士得逞后可能带来的交叉性损失。

6.抱有听天由命的心态

在我看来,大多数企业都很清楚安全问题的严重性。然而面对残酷的现实,他们几乎放弃了抵抗。那些有能力组织APT(即先进持续性威胁)攻击的专业黑客几乎不可阻挡。金融行业每年遭受的欺诈与犯罪活动损失高达数十亿美元,而这已经成为其运营成本中的组成部分。走了这么多过场,笑到最后的还是那帮恶意分子。

这种心态也有其合理性,毕竟在安全对抗当中、漏洞总是抢先于防御机制出现。是的,攻击活动确实无法避免,但这并不能成为我们放弃最佳实践以显著减小攻击面的理由。

任何一种正确规程都会由于人为因素的介入而受到影响。然而马马虎虎的安全防范措施必然让大家成为攻击者眼中唾手可得的肥羊。大家更倾向于哪种处理态度?在面对安全威胁的恐惧当中形成新的生存习惯?抑或是增加开支以显著降低风险的发生可能性?也许后一种方案的支持比率远低于前者,但就个人而言,我更喜欢那种能在夜里安然入睡的感觉。

作者:核子


来源:51CTO

目录
打赏
0
0
0
0
15465
分享
相关文章
网络安全与信息安全:构建数字世界的防线在当今数字化时代,网络安全已成为维护个人隐私、企业机密和国家安全的重要屏障。随着网络攻击手段的不断升级,从社交工程到先进的持续性威胁(APT),我们必须采取更加严密的防护措施。本文将深入探讨网络安全漏洞的形成原因、加密技术的应用以及提高公众安全意识的重要性,旨在为读者提供一个全面的网络安全知识框架。
在这个数字信息日益膨胀的时代,网络安全问题成为了每一个网民不可忽视的重大议题。从个人信息泄露到企业数据被盗,再到国家安全受到威胁,网络安全漏洞如同隐藏在暗处的“黑洞”,时刻准备吞噬掉我们的信息安全。而加密技术作为守护网络安全的重要工具之一,其重要性不言而喻。同时,提高公众的安全意识,也是防范网络风险的关键所在。本文将从网络安全漏洞的定义及成因出发,解析当前主流的加密技术,并强调提升安全意识的必要性,为读者提供一份详尽的网络安全指南。
系统安全性的重要性体现在多个方面
【10月更文挑战第9天】系统安全性的重要性体现在多个方面
216 1
系统安全的重要性在哪里?
【10月更文挑战第9天】系统安全的重要性在哪里?
107 1
网络安全与信息安全:保护数据,从了解漏洞到强化意识
【5月更文挑战第29天】 在数字化时代,数据成为了新的货币,而网络安全和信息安全则是保护这些“货币”的保险箱。本文深入探讨了网络安全的核心议题,包括常见的安全漏洞、加密技术的基本原理以及提升个人和企业的安全意识。通过分析网络威胁的实际案例,我们强调了预防措施的重要性,并分享了如何通过教育和技术手段来构建一个更加安全的数字环境。
网络安全与信息安全:保护数据的重要性与实践措施
本文深入探讨了网络安全和信息安全领域内的关键概念,包括网络漏洞、加密技术以及安全意识的重要性。通过分析这些要素,文章提供了实用的策略来增强个人和企业的数据保护能力。我们将探讨如何识别和防范潜在的网络威胁,并强调了持续更新安全知识和采取预防措施的必要性。
《网络安全漏洞与信息安全:技术、意识和实践》
【10月更文挑战第5天】在数字化时代,网络安全和信息安全已成为保护个人隐私和组织资产的关键。本文旨在通过分析网络安全的常见漏洞,探讨加密技术的应用,并强调安全意识的重要性。我们将从技术层面深入理解网络威胁,并通过实际案例学习如何应对潜在的安全风险。文章还将分享如何提升个人和组织的安全意识,以构建更加坚固的信息安全防线。
构建坚不可摧的系统安全防线:策略、实践与未来展望
系统安全是维护社会稳定、保障企业运营和个人隐私的重要基石。构建坚不可摧的系统安全防线需要从多个维度出发制定全面的安全策略并付诸实践。未来随着技术的不断进步和应用场景的不断拓展,系统安全将面临更多的挑战和机遇。只有不断创新和完善安全技术和策略才能应对日益复杂的安全威胁和挑战确保系统的安全和稳定运行。
《网络安全0-100》前期准备
《网络安全0-100》前期准备
92 0
F5云计算调查:企业仍然担心存在风险
本文讲的是F5云计算调查:企业仍然担心存在风险,应用交付网络厂商F5发布了最新的IT经理研究调查结果。结果显示,虽然有80%的大型企业已经处于实施云计算项目的初期阶段,但是仍然存在对采用云计算的担心,并且对云计算的定义仍然比较模糊。
1045 0