全球性勒索軟件攻擊(如WannaCry 和Petya勒索軟件)日益猖獗,英國(guó)電信(BT)和畢馬威(KPMG)7月10日發(fā)布了一份新的網(wǎng)絡(luò)安全報(bào)告。這份報(bào)告為不同規(guī)模的企業(yè)就如何最優(yōu)化的管理網(wǎng)絡(luò)安全之路和如何將此轉(zhuǎn)化為商業(yè)機(jī)遇提供了建議。
這份名為“網(wǎng)絡(luò)安全之路——從規(guī)避風(fēng)險(xiǎn)到把握機(jī)遇”的報(bào)告指出,當(dāng)企業(yè)面臨保護(hù)一家數(shù)字企業(yè)這種復(fù)雜情況時(shí),應(yīng)該時(shí)刻注意各種危險(xiǎn)陷阱。通常企業(yè)會(huì)陷入兩個(gè)極端,有的企業(yè)可能會(huì)規(guī)避風(fēng)險(xiǎn),之后陷入恐慌,有的企業(yè)則盲目自信,最終教訓(xùn)慘痛。
該報(bào)告強(qiáng)調(diào),在踏上網(wǎng)絡(luò)安全之路時(shí),對(duì)類似防火墻和病毒防御軟件這樣的技術(shù)投資是極為保守的嘗試,公司應(yīng)該避免采取這種應(yīng)激性的防范措施,以免浪費(fèi)過(guò)多的錢(qián)在 IT 安全產(chǎn)品上,部分公司更應(yīng)注意這個(gè)問(wèn)題,特別是一些將投資最新技術(shù)研發(fā)視為最佳解決方法的,已經(jīng)從規(guī)避階段進(jìn)入持續(xù)恐慌階段的公司。這樣下去,公司不僅會(huì)成為下一個(gè)網(wǎng)絡(luò)罪犯的目標(biāo),而且會(huì)被瘋狂的 IT 產(chǎn)品銷售人員盯上。
企業(yè)一定要首先評(píng)估他們目前對(duì)于最優(yōu)方法(例如英國(guó)國(guó)家網(wǎng)絡(luò)安全中心出具的指導(dǎo)方案)的控制程度,發(fā)現(xiàn)漏洞和可投資領(lǐng)域。此外,企業(yè)中的所有人(包括董事會(huì)以及董事會(huì)以下)必須承擔(dān)起維持高標(biāo)準(zhǔn)網(wǎng)絡(luò)清潔的責(zé)任,企業(yè)也必須培訓(xùn)員工并提升其網(wǎng)絡(luò)安全意識(shí)。這樣,本來(lái)是安全鏈上薄弱點(diǎn)的員工就可轉(zhuǎn)化為企業(yè)保護(hù)數(shù)據(jù)最大的資產(chǎn)。
英國(guó)電信的 CEO Mark Hughes 說(shuō):“最近全球范圍內(nèi)的勒索軟件攻擊顯示出驚人的傳播速度。許多機(jī)構(gòu)本能通過(guò)維持較高標(biāo)準(zhǔn)的清潔網(wǎng)絡(luò)和獲得基本權(quán)限免遭攻擊。勒索軟件攻擊告訴我們每一個(gè)企業(yè),小到專營(yíng)商、中小企業(yè),大到跨國(guó)公司,都需要管理 IT 基建安全、掌握人員和每一個(gè)運(yùn)作過(guò)程。這份報(bào)告旨在通過(guò)指引企業(yè)走正確的網(wǎng)絡(luò)安全之路,確保數(shù)字企業(yè)的安全。”
“最近網(wǎng)絡(luò)攻擊的爆發(fā)使網(wǎng)絡(luò)風(fēng)險(xiǎn)成為企業(yè)議程的重心。企業(yè)需要避免采取本能的應(yīng)對(duì)措施,因?yàn)榫W(wǎng)絡(luò)安全之路并不能一以貫之,此外獲得像是修補(bǔ)和備份這樣的基本權(quán)限也很重要。重要的是,培養(yǎng)網(wǎng)絡(luò)安全文化,提高員工安全意識(shí),并且牢記安全不能妨礙商業(yè)運(yùn)作”,畢馬威的網(wǎng)絡(luò)安全技術(shù)總監(jiān) David Ferbrache說(shuō):“網(wǎng)絡(luò)風(fēng)險(xiǎn)正在演化,企業(yè)面臨無(wú)情的罪犯,解決方法當(dāng)然不是復(fù)雜的技術(shù),而是依靠這個(gè)商業(yè)界限日益消失的世界中團(tuán)體的力量。隨著罪犯不斷發(fā)現(xiàn)網(wǎng)絡(luò)安全的薄弱點(diǎn),未來(lái)首席信息安全官應(yīng)該考慮的是數(shù)字風(fēng)險(xiǎn),幫助企業(yè)抓住機(jī)會(huì)和建立網(wǎng)絡(luò)彈性。”
盡管今天人們更多更廣泛的討論網(wǎng)絡(luò)安全問(wèn)題,該報(bào)告認(rèn)為,討論的頻次其實(shí)較少,而且它們是一個(gè)獨(dú)立于更寬泛的經(jīng)營(yíng)風(fēng)險(xiǎn)的問(wèn)題。通常情況下,網(wǎng)絡(luò)安全問(wèn)題不被計(jì)入企業(yè)總戰(zhàn)略中。
該報(bào)告也稱,過(guò)于復(fù)雜的 IT 體系會(huì)進(jìn)一步擴(kuò)大安全漏洞,特別是當(dāng)技術(shù)太難而無(wú)法使用,或者缺乏一體化時(shí)。
在網(wǎng)絡(luò)安全領(lǐng)域,為了應(yīng)對(duì)風(fēng)險(xiǎn)、獲得真正的領(lǐng)導(dǎo)地位,該報(bào)告呼吁,公司應(yīng)專注良好治理程序和正確的綜合化技術(shù),以及考慮外包一些不是很重要的公司安全模塊給一個(gè)可以信任的伙伴。雷鋒網(wǎng)(公眾號(hào):雷鋒網(wǎng))也提醒,網(wǎng)絡(luò)完全將不再被視為風(fēng)險(xiǎn),而是一個(gè)商業(yè)機(jī)會(huì),甚至?xí)俪蓴?shù)字轉(zhuǎn)型。