您企業(yè)當(dāng)前的相關(guān)安全策略和程序是否真的有助于實(shí)現(xiàn)更好的安全，或者您企業(yè)的這些安全策略和程序只是關(guān)注于尋找已知的惡意軟件，卻忽略了某些人為因素呢?對于許多企業(yè)而言，這是一個相當(dāng)棘手的問題。

最近幾個月在美國各大機(jī)構(gòu)所發(fā)生的數(shù)據(jù)泄露事件無疑引發(fā)了人們對于當(dāng)前安全工具的有效性以及應(yīng)對和處理新興安全威脅的相關(guān)方法的關(guān)注和討論。

在過去的十年中，私營或公開上市企業(yè)已經(jīng)在加強(qiáng)安全性方面花費(fèi)了數(shù)百億美元，然而，惡意攻擊者們依然一直能夠通過各種方式成功地逃避企業(yè)所設(shè)置的重重安全防范措施。

這一趨勢已經(jīng)使得許多企業(yè)紛紛接受并采用一種回歸到基本的方法：開始將重點(diǎn)放在工作人員、流程和技術(shù)上。而不是把安全功能方面的支出視為企業(yè)經(jīng)營的一項(xiàng)麻煩的成本，越來越多的企業(yè)開始將其作為一項(xiàng)大力推動的新的戰(zhàn)略舉措。

“安全性和產(chǎn)品開發(fā)并不是相互排斥的。” 萬事達(dá)卡的首席信息安全官Ron Green表示說。“我們并不將安全性作為一項(xiàng)孤立的責(zé)任。”

相反，萬事達(dá)卡的安全專家們都在與其他專注于身份驗(yàn)證創(chuàng)新業(yè)務(wù)的團(tuán)隊(duì)合作，包括諸如萬事達(dá)實(shí)驗(yàn)室、新興的支付和企業(yè)安全解決方案團(tuán)隊(duì)，Green說。此舉的重點(diǎn)是產(chǎn)品的長期管理和使用安全，并利用安全提高持卡人的用戶體驗(yàn)。

“我們的高管團(tuán)隊(duì)期望我們能夠?qū)踩约{入到我們每一項(xiàng)標(biāo)準(zhǔn)的實(shí)踐中。” Green說。雖然這種做法可能會增加項(xiàng)目進(jìn)度的時間成本，但這些成本是值得的。 “安全性已然成為吸引客戶的一大籌碼，而每家企業(yè)都需要為其客戶提供足夠的安全性。”他說。

企業(yè)的IT領(lǐng)導(dǎo)們在戰(zhàn)略層面需要從如下五大關(guān)鍵措施入手，以加強(qiáng)安全性。而不同企業(yè)實(shí)施這些措施的方式可能會因企業(yè)具體的戰(zhàn)術(shù)和操作水平有所不同。但關(guān)鍵的是要把重點(diǎn)放在高層次的目標(biāo)上。

1、加強(qiáng)網(wǎng)絡(luò)邊界的保護(hù)

周邊技術(shù)，如防病毒工具，防火墻和入侵檢測系統(tǒng)，長久以來一直是企業(yè)安全戰(zhàn)略的支柱。這些周邊技術(shù)通過尋找特定的標(biāo)記，或簽名，已知病毒和其它類型的惡意軟件，然后阻止惡意程序。

較之其他更多安全產(chǎn)品類別的產(chǎn)品，多年來，公共和私營企業(yè)都傾向于在周邊安全工具方面花費(fèi)更多的成本。但分析師們則警告說，對于保持系統(tǒng)的安全而言，僅僅靠外圍防護(hù)是遠(yuǎn)遠(yuǎn)不夠的。

但是，多家大型企業(yè)遭遇嚴(yán)重的數(shù)據(jù)泄露事故的殘酷現(xiàn)實(shí)已然表明，基于簽名的周邊安全工具對于應(yīng)對現(xiàn)如今惡意黑客所采用的有高度針對性的攻擊行為是無效的。少數(shù)企業(yè)似乎準(zhǔn)備完全放棄周邊安全技術(shù)，而仍有許多企業(yè)堅(jiān)持認(rèn)為這些工具對于防止惡意軟件發(fā)揮了重要作用。盡管如此，將周邊安全技術(shù)作為唯一的，甚至是主要的防線是不夠的，IBM安全研究員Marco Pistoia說。

“一系列的網(wǎng)絡(luò)安全攻擊已經(jīng)表明，現(xiàn)在的黑客們能夠繞過幾乎任何類型的物理限制。”Pistoia說。“基于周邊的安全防御技術(shù)仍然是必需的，但這些手段并不足以保證一個計(jì)算系統(tǒng)的安全性。”

從戰(zhàn)略和戰(zhàn)術(shù)的角度來看，企業(yè)將以周邊安全技術(shù)作為安全鏈的必要環(huán)節(jié)之一是很重要的。

同樣重要的是模式識別和預(yù)測性分析工具，可以幫助企業(yè)建立正常的網(wǎng)絡(luò)活動的基準(zhǔn)，然后找出行為偏差。正如在需要網(wǎng)絡(luò)防火墻以阻止已知的安全威脅一樣，企業(yè)也同樣需要Web應(yīng)用程序防火墻來防御那些設(shè)法突破周邊安全工具的惡意軟件，位于加州的法律公司Fenwick &West的CIO Matt Kesner表示說。

“在技術(shù)方面，我們?nèi)匀辉诨ㄙM(fèi)時間和金錢在周邊外圍方面。”Kesner說。但已然不再僅僅盯住更多在網(wǎng)絡(luò)邊緣基于簽名的攔截功能，Kesner已經(jīng)在網(wǎng)絡(luò)的各個層面建立了冗余惡意軟件攔截系統(tǒng)和防火墻，包括在該公司W(wǎng)eb應(yīng)用程序服務(wù)器的前面。Fenwick &West公司使用日志事件協(xié)調(diào)系統(tǒng)，使IT能夠從網(wǎng)絡(luò)上的所有設(shè)備聚合、關(guān)聯(lián)和分析日志記錄和規(guī)則信息。

Kesner還部署了幾款來自利基供應(yīng)商的產(chǎn)品，以實(shí)現(xiàn)諸如搜索可疑特權(quán)升級和尋找隱藏極深的網(wǎng)絡(luò)入侵者的證據(jù)等特殊功能。“我們花了大量的時間，以確保周邊安全技術(shù)能夠符合我們的預(yù)期。”Kesner說。“我們假設(shè)漏洞違規(guī)行為必然會發(fā)生，并希望能夠更好地對其進(jìn)行防范。”

最近幾年已經(jīng)發(fā)展出了一類專業(yè)化的新產(chǎn)品的特點(diǎn)就是所謂的“殺鏈”工具?？蓮闹T如Palo Alto Networks這樣的供應(yīng)商處購買，這些系統(tǒng)不僅能夠幫助企業(yè)尋找惡意軟件;同時還能夠監(jiān)視黑客如何利用惡意程序進(jìn)入網(wǎng)絡(luò)，而這些信息最終幫助企業(yè)用戶消除安全威脅。

許多工具都是基于個別黑客和黑客團(tuán)體通常使用相同的惡意軟件工具，并在攻擊目標(biāo)時，會遵循一套模式的前提。因此，通過確定安全攻擊背后的個體或者黑客團(tuán)隊(duì)，企業(yè)防御特定工具以及攻擊手段就會變得更容易。

2、建立檢測和響應(yīng)能力

現(xiàn)如今絕大多數(shù)針對企業(yè)的攻擊都是由犯罪團(tuán)伙或國家作為背后支持者針對性的策劃進(jìn)行的。過去的那些隨機(jī)性的，漫無目標(biāo)的攻擊活動都已經(jīng)由經(jīng)過精心設(shè)計(jì)，以獲取企業(yè)信息、知識產(chǎn)權(quán)、商業(yè)秘密和財(cái)務(wù)數(shù)據(jù)為目的的攻擊所取代了。相較于以往那種哪痛醫(yī)哪的思路，如今企業(yè)應(yīng)當(dāng)高度重視那些表現(xiàn)得非常低調(diào)，而且傾向于一點(diǎn)點(diǎn)慢慢獲取數(shù)據(jù)的攻擊行為。事實(shí)上這幫黑客變得極有耐心，他們可以拿出很長時間逐漸拼湊出自己想要的信息。

在這樣的環(huán)境中，任何安全策略都應(yīng)該盡可能多地強(qiáng)調(diào)將檢測和響應(yīng)納入到預(yù)防中。

“基于靜態(tài)規(guī)則和簽名的預(yù)防工具無法阻止確定的先進(jìn)的攻擊。”EMC安全部門RSA技術(shù)解決方案主管Rob Sadowski說。因此，重要的是，優(yōu)先考慮早期檢測和響應(yīng)，以確保黑客入侵不會導(dǎo)致業(yè)務(wù)受損或商業(yè)損失，他說。

為了推動這種變化，IT領(lǐng)導(dǎo)者們需要使用能夠在可視性方面提供更多細(xì)粒度的工具，以便他們更多的了解基礎(chǔ)設(shè)施的情況，Sadowski說。

這是必要的，例如，增強(qiáng)現(xiàn)有的以日志為中心的網(wǎng)絡(luò)數(shù)據(jù)包捕獲和端點(diǎn)監(jiān)測技術(shù)，使安全管理員能夠獲得對于攻擊者活動的更全面的了解。

在發(fā)現(xiàn)和限制由憑據(jù)和身份所造成損害的影響方面，利用身份管理，身份治理和行為分析工具，也同樣重要，Sadowski指出。

萬事達(dá)卡的Green說，企業(yè)需要采取一種多層的方法來確保安全。“如果你企業(yè)只是尋找一種方法，可能不能涵蓋所有需求。”他認(rèn)為企業(yè)過于依賴于基于簽名的周邊安全技術(shù)。

這種多層方法應(yīng)包括防范內(nèi)部攻擊，而不僅僅是防御外部攻擊的手段。“企業(yè)內(nèi)部的安全威脅往往更具挑戰(zhàn)性，” Green說。“所以，企業(yè)應(yīng)該有套強(qiáng)大的和分層的安全計(jì)劃，能夠解決企業(yè)內(nèi)部和外部的安全威脅，并允許您在問題出現(xiàn)的情況下，快速識別并解決。”

3、安全代碼開發(fā)

脆弱而易受攻擊的Web網(wǎng)絡(luò)應(yīng)用程序經(jīng)常會為黑客提供對于企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)相對容易的訪問，所以確保這些網(wǎng)絡(luò)應(yīng)用程序的安全是至關(guān)重要的，進(jìn)而才能確保數(shù)據(jù)的完整性和保密性。

常見的、易于理解的不足之處，如SQL注入錯誤、跨站點(diǎn)腳本缺陷、失效的驗(yàn)證和會話管理功能都難倒了許多企業(yè)。但最近一波主要針對大型企業(yè)的黑客入侵組織真正推動了對于安全代碼的需要。

“如果你企業(yè)正在開發(fā)一款應(yīng)用程序，隨之需要考慮的便是安全方面的期望。” Green說。“當(dāng)涉及到安全和隱私保護(hù)時，您肯定希望從供應(yīng)商那里購買的技術(shù)都是他們最頂尖的巔峰技術(shù)。”這同樣也適用于供應(yīng)鏈合作伙伴和產(chǎn)品服務(wù)的其他供應(yīng)商，他補(bǔ)充道。

硬化的計(jì)算系統(tǒng)的軟件組件是特別棘手的，因?yàn)槁┒纯梢员磺短自诖a深處， IBM的Pistoia說。為了防止應(yīng)用程序被攻擊，從而維護(hù)數(shù)據(jù)的完整性，企業(yè)必須讓安全管理成為軟件生命周期的所有階段的一部分，而適當(dāng)?shù)拇a審查的做法也需要到位，他說。

對于許多大型企業(yè)而言，手工進(jìn)行代碼審查的成本將是非常昂貴的。所以一個可行的選擇方案將是采用自動的方法，通過將靜態(tài)和動態(tài)程序分析相結(jié)合，并讓代碼分析處理成為應(yīng)用程序開發(fā)的一個組成部分。

“高級應(yīng)用程序開發(fā)系統(tǒng)現(xiàn)在可以在每次提交或基于一定的周期進(jìn)行應(yīng)用程序的代碼檢查。” Pistoia說。其向應(yīng)用程序開發(fā)人員們顯示了需要進(jìn)行簡潔修復(fù)和易于遵循的步驟，他補(bǔ)充道。

“應(yīng)用層已經(jīng)成為網(wǎng)絡(luò)安全最新的戰(zhàn)場，其不僅僅是安全團(tuán)隊(duì)的焦點(diǎn)，同時也是企業(yè)系統(tǒng)開發(fā)生命周期團(tuán)隊(duì)所關(guān)注的重點(diǎn)。”在線發(fā)票和支付平臺供應(yīng)商Viewpost公司的總顧問和首席安全官Chris Pierson表示說。

將重點(diǎn)聚焦在靜態(tài)和動態(tài)代碼審查已經(jīng)成為更多的產(chǎn)品開發(fā)管道，他補(bǔ)充說，IT專業(yè)人員更注重的開放Web應(yīng)用安全項(xiàng)目的前10大安全隱患。

重要的是，越來越多地采用DevOps方法給一些機(jī)構(gòu)帶來了在軟件開發(fā)生命周期的早期階段集成安全性的契機(jī)。“安全性是推動DevOps采用的一個很大的因素。” 信息安全專家兼DevOps.com網(wǎng)站主編Alan Shimel說。

開發(fā)和運(yùn)營團(tuán)隊(duì)必須認(rèn)識到，安全必須是他們共同的責(zé)任，并需要在產(chǎn)品生命周期的早期，進(jìn)行整合控制。它需要更經(jīng)常比現(xiàn)在發(fā)生了什么事情發(fā)生，他說。 “我們?nèi)匀惶幵谛枰f服大多數(shù)企業(yè)的安全團(tuán)隊(duì)DevOps可以有助于提升安全性的階段。”Shimel說。

4、關(guān)注人為因素

近年來，許多最大的攻擊在其最初都是相當(dāng)無害的，隨著 攻擊者逐步進(jìn)入網(wǎng)絡(luò)，使用合法用戶，如員工，商業(yè)伙伴或供應(yīng)商的登錄憑據(jù)進(jìn)入網(wǎng)絡(luò)。黑客利用社會工程技術(shù)和釣魚電子郵件盜取屬于別人的用戶名和密碼，進(jìn)而訪問企業(yè)網(wǎng)絡(luò)，然后借助該最初的立足點(diǎn)查找和訪問關(guān)鍵的企業(yè)系統(tǒng)和數(shù)據(jù)存儲。

這一戰(zhàn)術(shù)曾被入侵者用來攻擊過的目標(biāo)包括：Target、Home Depot、美國人事管理辦公室及其他網(wǎng)站。這些機(jī)構(gòu)現(xiàn)在已經(jīng)把注意力集中在了對員工和其他授權(quán)用戶需要更多地了解安全風(fēng)險(xiǎn)和培訓(xùn)方面，以確保用戶能夠識別和抵抗?jié)撛谕{。

“企業(yè)員工真的需要明白自己在保護(hù)公司資產(chǎn)中所發(fā)揮的作用”萬事達(dá)卡的Green說。

在許多情況下，對企業(yè)數(shù)據(jù)有訪問權(quán)限的員工用戶并不覺得個人有義務(wù)保護(hù)對數(shù)據(jù)的訪問。為了鼓勵這樣的用戶接受一些維護(hù)企業(yè)系統(tǒng)的責(zé)任，Green說萬事達(dá)卡公司采用的政策是“構(gòu)建學(xué)習(xí)文化，以便我們可以定期教育員工，讓他們了解如何保護(hù)我們的資產(chǎn)更安全，特別是當(dāng)新的威脅出現(xiàn)時。”

作為這方面努力的一部分，萬事達(dá)卡結(jié)合了傳統(tǒng)的訓(xùn)練方法和Green所謂的“寓教于樂的方法”來傳遞重要的信息。“因?yàn)榉缸锓肿涌偸窃絹碓铰斆?，我們必須在加?qiáng)保護(hù)的意識方面必須領(lǐng)先他們一步。”他說。這個想法是為了給員工留下深刻印象：他們是安全團(tuán)隊(duì)的一部分，即使他們可能不會向安全團(tuán)隊(duì)報(bào)告工作。

“正因?yàn)槿绱?，現(xiàn)在已出現(xiàn)了創(chuàng)造性的方式來加強(qiáng)我們的安全。”Green說，并介紹了一項(xiàng)安全倡議呼吁保護(hù)持卡人數(shù)據(jù)，成為安全網(wǎng)，該安全倡議是由萬事達(dá)卡于去年十月發(fā)起的。

5、保護(hù)您的業(yè)務(wù)流程

一家擁有最好的安全技術(shù)的企業(yè)，仍然可能會被壞的實(shí)踐操作方法和流程所絆倒。這就是為什么Fenwick &West的IT部門會實(shí)施Kesner所說的針對企業(yè)涉及敏感數(shù)據(jù)處理的政策和過程需要進(jìn)行相關(guān)大大小小的改變的原因了。

例如，在過去，這家法律公司的政策是盡可能采取加密傳入和傳出的客戶端數(shù)據(jù)的方法。而現(xiàn)在，這已經(jīng)是一項(xiàng)絕對的要求。Kesner的團(tuán)隊(duì)還實(shí)施了新政策，以確保對公司存儲區(qū)域網(wǎng)絡(luò)的數(shù)據(jù)是加密的，而且在傳輸過程中也是加密的。所有公司的筆記本電腦和臺式機(jī)的敏感數(shù)據(jù)均是加密的，IT每六個月運(yùn)行審計(jì)和測試，以驗(yàn)證這些加密。

該法律公司有第三方和安全公司定期來做滲透測試和模擬攻擊，而且沒有什么禁區(qū)限制。“有了適當(dāng)?shù)谋Ｃ軈f(xié)議，我們可以讓安全工程師針對每件事情執(zhí)行滲透測試。”Kesner說。之后，IT團(tuán)隊(duì)要求安全服務(wù)公司給出一份名單，詳細(xì)列出他們需要在實(shí)際的安全政策方面需要改革的五項(xiàng)變化。

Fenwick &West公司現(xiàn)在要求所有的合作伙伴，以書面披露他們的安全實(shí)踐的完整細(xì)節(jié)，并承認(rèn)他們了解法律公司的安全政策和流程。合作伙伴必須實(shí)施雙因素身份驗(yàn)證，不再允許使用用戶名和密碼到Fenwick網(wǎng)絡(luò)進(jìn)行驗(yàn)證。

各種各樣的企業(yè)都在采取類似的方法。網(wǎng)絡(luò)安全是一項(xiàng)首要任務(wù)，而企業(yè)領(lǐng)導(dǎo)團(tuán)隊(duì)和董事會也承認(rèn)這一事實(shí)。“企業(yè)董事會希望和要求了解公司的網(wǎng)絡(luò)安全的立場是從控制、治理和運(yùn)營的角度來看的。”Viewpost的Pierson說。

“如果你想吸引并留住客戶的信任，安全和隱私必須成為你企業(yè)的文化和價(jià)值主張。”