企业IT系统安全性提升困难的六个原因

企业安全性之最佳实践早已广为人知,但为什么绝大多数企业仍然无法真正实现?就在去年,Target公司CEO及CIO在遭遇到有史以来规模最大的支付卡信息窃取案件后相继宣布辞职,这也标志着又一个历史转折性时刻的到来:终于,企业中的高层管理人员意识到了安全问题的严重性与迫切性。不考虑安全保障所带来的严重后果已经昭然若揭。

自那时开始,更多数据泄露事件以层出不穷之势覆盖了各大媒体的头条:Michaels、PF Cahng’s、美国社区卫生系统、UPS、Dairy Queen、Goodwill、家得宝、摩根大宝、Kmart、Staples以及广受关注的索尼已经相继被攻陷——不仅是索尼影业执行官Amy Pascal,整个索尼品牌都遭受到了灾难性的打击。

面对着这一系列冲击,相信人们对于安全问题的态度会有所变化。正如InfoWorld网站的Roger Grimes所反复强调的观点,防止攻击活动成功实施的最佳实践几乎可以说显而易见。早在2014年遭遇攻击之前,索尼公司的安全防御机制就早已饱受诟病。Roger曾经以索尼攻击案为例提醒我们,“大多数企业的计算机安全整体状况不仅仅‘堪忧’,甚至应该说‘可悲’。”

面对上述事故所带来的可怕后果,安全意识的重要性已经被提升到了前所未有的高度。但几乎可以肯定,今年年内我们还将亲眼见证更多令人心惊的灾难。为什么悲剧总会反复发生?我给出以下几点猜测。

1. 高层采取忽视态度

安全事务不仅带来额外成本,而且可能会给正常业务流程带来额外步骤、并因此影响生产力水平。没有哪位高管会因为安全事务处理得宜而备受关注,但却往往因短期盈利丰厚而得到赞誉。此外,首席执行官们往往会频繁跳槽,这更使得安全事务这类长期性工作遭到严重忽视。在几年任期之内遭遇大规模灾难性安全事故的概率有多高?也许目前的可能性确实比几年前更高,但宾州大学的Arijit Chatterjee与Donald Hambrick在2007年的研究论著《一切以我为中心》中指出,CEO们通常都会显示出强烈的自恋倾向与侥幸心理。

2. 受到供应商的错误引导

安全方案供应商们永远走在安全威胁炒作的第一线(旨在宣传自己的安全保护品牌),并致力于销售其所谓包治百病的保护妙药。从技术层面讲,这些威胁的确真实存在,但相较于这些小打小闹、为未受保护的系统安装正确补丁往往能带来更理想的保护效果。如果一味听从供应商的建议,大家很可能会把最宝贵的资源从最紧要的领域挪出来并移为它用。

3. 运营惯性导致问题拖延

假设企业管理层高度关注,并希望快速解决组织内的头号安全风险,即客户端Java。但就在这时,几位LoB经理提出了反对意见,表示几款关键性应用程序的正常运行需要以客户端Java为基础。事实上,也确实存在着一部分需要陈旧且满是安全漏洞的Java版本才能正常运行的应用方案。那么企业有可能先把运营放在一边,利用安全技术对此类应用程序进行重新创建吗?或者说,他们更倾向于先把问题搁置起来,等到明年的大规模技术更新规划上马时再一道加以解决?

4. 在最明显的问题上缺乏正确引导

管理员们往往认为只有白痴才会轻易点击某个文件附件、打开某个指向被恶意软件所感染之网站的链接,或者轻信伪造的病毒警报而安装名为杀毒软件、实乃恶意软件的程序。但事实上,钓鱼邮件的效果确实非常、非常好,而且如果普通员工从来没见过真正的反恶意木马检测软件,他们根本不可能知道如何加以分辨。用户需要系统的安全培训,并在遭遇钓鱼活动时得到正确的提示及引导。每次培训时间不需要太长,但此类活动必须长期推进。

5. 自以为安全无忧

防火墙、入侵检测系统、安全事件监控、网络监控、双因素认证、身份管理……我们的企业已经把这些方案全部部署到位,没人能够随便闯得进来!然而残酷的事实证明,如果大家已经被贼惦记上了,那么以上机制根本不足以彻底消灭数字化资产损失。要防止问题的发生,大家必须拥有审慎的心态——对闲置中的关键性信息进行加密、避免设置永久性管理员权限并通过各种举措降低恶意人士得逞后可能带来的交叉性损失。

6.抱有听天由命的心态

在我看来,大多数企业都很清楚安全问题的严重性。然而面对残酷的现实,他们几乎放弃了抵抗。那些有能力组织APT(即先进持续性威胁)攻击的专业黑客几乎不可阻挡。金融行业每年遭受的欺诈与犯罪活动损失高达数十亿美元,而这已经成为其运营成本中的组成部分。走了这么多过场,笑到最后的还是那帮恶意分子。

这种心态也有其合理性,毕竟在安全对抗当中、漏洞总是抢先于防御机制出现。是的,攻击活动确实无法避免,但这并不能成为我们放弃最佳实践以显著减小攻击面的理由。

任何一种正确规程都会由于人为因素的介入而受到影响。然而马马虎虎的安全防范措施必然让大家成为攻击者眼中唾手可得的肥羊。大家更倾向于哪种处理态度?在面对安全威胁的恐惧当中形成新的生存习惯?抑或是增加开支以显著降低风险的发生可能性?也许后一种方案的支持比率远低于前者,但就个人而言,我更喜欢那种能在夜里安然入睡的感觉。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2015-03-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏镁客网

人工智能VS黑客,谁更厉害?

1813
来自专栏信安之路

这是一篇技术文

这次活动参与的同学比较多,写出的内容也参差不齐,本来打算只要分享了的小伙伴,其内容都展示一次,毕竟是自己的所知所感,但是有两个朋友对我做出了建议,建议如下:

800
来自专栏小程序

比58同城还方便的同城商圈小程序来了

2654
来自专栏镁客网

“剪掉尾巴”的PC VR,会是VR的未来吗?

1403
来自专栏云计算D1net

云计算,有时候也显得很愚蠢

关于Adobe放弃中国公司的原因众说纷纭,最近我读到了一篇很有趣的文章,这篇言之凿凿的文章认为市面上的其他说法都说不到点上,归根到底还是Adobe公司“不适应行...

2955
来自专栏PPV课数据科学社区

☞【观点】徐尽欢:我也说说大数据

一:在Oracle做了六年数据库销售的我从5月份开始内部转到新成立的大数据部门,虽然还没有转完但是已经到新部门上了一个月的班了,如果我说我是Oracle 数据...

3336
来自专栏腾讯大讲堂的专栏

腾讯正在参与制定一个国际标准,让看片儿更简单

3625
来自专栏罗超频道

百度的国防军:百度手机卫士来了!

百度今天发布“百度手机卫士”,准确地说,是将安卓优化大师加入杀毒功能后升级而成。 一年前百度收购创新工场旗下的点心,这个团队的重点产品便是点心O...

3298
来自专栏腾讯社交用户体验设计

腾云驾雾—腾讯云品牌重塑 - 腾讯ISUX

2972
来自专栏程序员互动联盟

一个Java程序员的年终总结

新的一年过去了,又到了该总结的时候。这一年可以说是很重要一年,很多事情,都阶段性的开花结果。 先是2月份,去了海辉,实在说,没有进去这前想的那么...

3666

扫码关注云+社区