安全、合規(guī)、IT運營面臨的5大主要挑戰(zhàn)

責任編輯:editor005

作者:nana

2016-06-03 14:29:17

摘自:安全牛

鑒于如今不斷進化的威脅態(tài)勢,公司企業(yè)希望采取積極主動的威脅應對方式,創(chuàng)建持續(xù)合規(guī)的環(huán)境,擁有響應良好的IT運營過程,是無可厚非的。

鑒于如今不斷進化的威脅態(tài)勢,公司企業(yè)希望采取積極主動的威脅應對方式,創(chuàng)建持續(xù)合規(guī)的環(huán)境,擁有響應良好的IT運營過程,是無可厚非的。誰不想減小風險暴露面和攻擊界面?誰不想能檢測并響應高級威脅?誰不想降低安全運營開銷?

現(xiàn)實卻是:各種各樣的壓力阻礙著公司企業(yè)實現(xiàn)這些目標,而且這些壓力還不會很快消失。多家商業(yè)及公共機構的安全實踐負責人和高管,就最優(yōu)化安全及合規(guī)項目,綜合出了5條必須應對的挑戰(zhàn)。

挑戰(zhàn) #1:數(shù)據(jù)泄露那為人所知的影響

看起來無窮無盡不斷登上新聞頭條的數(shù)據(jù)泄露事件,讓公司企業(yè),包括高管和董事管理層,都意識到了安全的重要性,也感受到了可能成為下一個受害者的恐懼。

去年,《Tripwire》調查中82%的受訪者認為自家公司會遭遇數(shù)據(jù)泄露。ISACA和RSA的聯(lián)合調查也表明,78%的董事會如今對計算機安全十分在意。

這種高度關注,部分是由于計算機犯罪造成的損失。據(jù)美國戰(zhàn)略與國際問題研究中心估計,計算機犯罪每年造成的損失高達4450億美元。很不幸,隨著公司企業(yè)處理和存儲更多的信息,隨著網絡犯罪愈加流行且影響越來越大,這個數(shù)字也會水漲船高。

網絡犯罪在頻度、影響和復雜性上持續(xù)升級,公司企業(yè)無論規(guī)模和產業(yè),均受其威脅。一起數(shù)據(jù)泄露或網絡入侵事件,就可以致使公司企業(yè)損失客戶、利潤和信譽,遭遇運營持續(xù)性的傷害和數(shù)據(jù)完整性質疑。對某些公司而言,這些損失的程度可以從慘痛到完全不可恢復。

挑戰(zhàn) #2:技術缺口

引發(fā)數(shù)據(jù)泄露損失上升的驅動因素之一,就是持續(xù)升溫的信息安全技術缺口問題。

上文提及的ISACA/RSA調查中,52.44%的受訪者覺得自家公司員工中只有不到1/4是稱職的。這些受訪者同時指出,安全實踐者理解業(yè)務的能力是最大的技術缺口。

該問題給公司企業(yè)帶來了很嚴重的風險。如果安全實踐者不能完全理解他們業(yè)務的本質,安全和業(yè)務負責人就無法看清每個資產在支持公司使命方面所起的作用。這意味著他們領會不到保護每個資產的相關業(yè)務重要性,而這將會影響到他們減少威脅緩解風險的能力。

而且,盡管業(yè)務純熟的專業(yè)人士如今或許炙手可熱,也掩蓋不了信息安全從業(yè)者人數(shù)不足這個簡單而殘酷的事實。2014年的一項調查估測,全球安全專業(yè)人士崗位需求425萬個,但只有225萬名從業(yè)者活躍在這一領域。

技術缺口還給公司企業(yè)帶來了雙重風險。不僅僅是信息安全從業(yè)者短缺,有經驗的管理人才更是稀缺。只要還想撐住自己的數(shù)據(jù)安全,公司企業(yè)必須直面招聘和技術缺口的挑戰(zhàn)。

挑戰(zhàn) #3:終端爆炸式增長

很久以前,網絡設計者仔細思考過以太網連上烤箱的前景。在當時,這只能是個笑談,但如今,技術已經證明或者即將表明,所有事物都可以通過網絡來連接、訪問、提供服務,或者加以控制。聯(lián)網設備及資產的大爆炸,引入了增量擴張問題,讓大多數(shù)早期安全和合規(guī)模型及預測難堪重任。當前比以往任何時候都需要有經驗的安全人士來護衛(wèi)現(xiàn)代IT環(huán)境中五花八門的大量終端設備,而且未來這些設備還會只多不少。

這與1992年IT從業(yè)人士可以用殺毒軟件抵御大多數(shù)數(shù)字威脅的情況不是一個級別的。但根據(jù)思科的報告,如今大約有229億臺終端運行在企業(yè)網絡中,到2020年該數(shù)字還會翻個倍。要保護如此之多的設備,安全運營開銷和公司企業(yè)確保每臺設備合乎行業(yè)標準的投入,自然也會隨之直線上升。

挑戰(zhàn) #4:數(shù)字-物理融合

終端數(shù)量在所有經濟領域增殖,包括金融服務、零售、飲食、工業(yè)、電力、油/氣、汽車、運輸和公用事業(yè)公司。這些公司有責任維護關鍵國家基礎設施,比如運輸系統(tǒng)、電站和電力輸送系統(tǒng)、耐用消費品,以及食品生產、加工和配送設施。也就是說,對他們終端的任何威脅,都有可能摧毀經濟或造成破壞,包括對市民的物理傷害。

如果一家工業(yè)公司意識到工業(yè)控制系統(tǒng)(ICS)中存在漏洞,他們將會應用對策,進行硬件修復,確保在進行進一步動作前沒有軟件沖突。這是因為ICS里的硬件問題是十分重大的,會在高度優(yōu)化和有限容錯的生產體系中造成斷電、減少工業(yè)輸出和其他不良下游效應。

同時,企業(yè)還極關注隱私,有一套規(guī)則限制非特權用戶訪問信息。他們的信息安全項目大多用在了防范數(shù)據(jù)泄露的信息保密性上。

IT和OT曾經是分離的,但在物聯(lián)網(IoT)和工業(yè)物聯(lián)網(IIoT)背景下,我們開始見證企業(yè)和工業(yè)團隊共同合作,無縫銜接服務的融合景象。我們有充分的理由認定,這倆在關鍵基礎設施防護上也應結成良好同盟。

展望未來,為鍛造建設性伙伴關系,在平衡優(yōu)先級和探索安全利用方式的時候,公司企業(yè)需要將IT、IoT/IIoT中的所有系統(tǒng)和終端納入考慮。

挑戰(zhàn) #5:飛速發(fā)展的安全和技術

如數(shù)字-物理融合所揭示的,威脅并不是均勻分布的。各家公司之間安全的形式和維度都不相同。這意味著“安全工具箱”式的解決方案或許是應對的一部分,但絕不是保持系統(tǒng)和數(shù)據(jù)安全的完整答案。

安全必須進化才能應對當今復雜的威脅態(tài)勢。去年、前年的解決方案,需要相對于其當前的價值主張進行重新評估。其中一些技術和廠商伙伴關系會持續(xù)推進到未來,并有價值主張上的改善。其他則不會那么好運,若想繼續(xù)生存下去提供價值,就需要作出極大的改變和適應。在提供商領域,我們目前正在見證滄海桑田般的轉變:領域內老牌提供商已喪失了領頭羊地位,新提供商頂替了他們的位置。無論如何,解決方案需要適應企業(yè)當前和未來的需要??偟膩碚f,安全解決方案需要讓公司企業(yè)更方便地相互共享威脅情報。

當然,這些改變會讓公司企業(yè)難以在安全方面進行投入。畢竟,引導所有這些各不相同的數(shù)據(jù)包和配置選項,是件令人頭疼的事。

因此,公司企業(yè)需要理清自身在安全上的具體需求,要識別出最需要保護的關鍵資產,找出搞定安全需求所必需的技術、人手和其他資源。

一個重要,或者說必不可少的基準點,是安全框架。大多數(shù)公司企業(yè)都需要采納一個,就像所有商業(yè)和公共機構都遵守標準財務報告框架和協(xié)議一樣。NIST、Gartner的PPDR、CIAS、ISO27001之類的公開安全框架都有效??蚣芤坏┻x定,根據(jù)公司及其所屬商業(yè)生態(tài)系統(tǒng)的具體需求進行校準和調整便是必不可少的。所選框架的采納應用,需要良好的計劃、強力的投入(或許還有資金的重分配)、靠得住的合作伙伴、執(zhí)行,以及時間。

結論

或許各人想法有異,但這5個挑戰(zhàn)不會很快消失。公司企業(yè)需要將這些因素納入考慮,拿出一個向前看的方案。他們需要準備好管理和緩解不斷升級的安全,順應這些趨勢帶來的運行風險。這一過程應該包括:

按基于風險的定位,準確評估公司IT、IoT/IIoT相關需求;

采納并應用合適的基于標準的框架;

創(chuàng)建或調整自身安全及合規(guī)架構;

選擇戰(zhàn)略供應商/合作伙伴,他們的技術能力、戰(zhàn)略愿景和商業(yè)活力要能支持你的架構,核心能力要能解決這些趨勢帶給公司的挑戰(zhàn);

根據(jù)業(yè)務風險優(yōu)先級發(fā)展和階段性實現(xiàn)及部署安全合規(guī)計劃;

實現(xiàn)或擴展持續(xù)性監(jiān)測、響應及校驗項目。

最后,有鑒于這些趨勢,每家公司企業(yè)都需要擴展對于手頭任務規(guī)模和復雜性的認知。這一認知會拓寬安全項目的范圍,使之容納進整體環(huán)境及用以緩解所面臨風險的長期計劃。

采取務實的積極的方法態(tài)度對待網絡安全和合規(guī),是當前重中之重。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號