网络安全领域的每个人,在过去一周左右都十分紧张且忙碌。首先,是美国UPS的网络安全违规,但与摩根大通所遭遇的网络安全形势相比这简直就是小菜一碟。祸不单行,当好莱坞的明星裸照暴露在网络上时,网络安全情势明显变得更加反复无常。然而,Home Depot的严重数据泄露事件又更加引人注目,专家预测,其造成的损失将超过Target数据泄露事件。
下面将通过一些网络安全概念更加具体地阐述网络安全漏洞:
风险管理。这是一个数学公式,你可以试着从中计算出威胁的频率及你的网络面对这些威胁有多脆弱,所以你可以提出减轻风险的选择。问题在于,高管们对于网络风险依然一无所知,并仍然认为这种讨论是一个昂贵的且不必要的负担。此外,许多企业安全人员缺乏云计算和移动网络带来的风险的处理技巧。是时候把脚从油门踏板上撤出来,以确保应用程序和IT项目中的安全问题更加易懂,并确在我们将这些项目放在网络上能得到足够的保护。
预防。我们现在已经在网络攻防方面花费了大量的时间和资源。这本身并没有错,但我们的预防方法太通用和死板。换言之,我们在所有行业按照标准配置部署防火墙、IDS / IPS和端点安全软件,但黑客针对不同行业的攻击方式却各异。进一步来讲, 当网络攻击链跨越多种技术时,我们需要对单个技术实施预防控制。高于标准的最佳实践就像SANS排名前20的安全控制,我们需要为我们的应用程序、业务流程、网络流和行业用户定制预防。这些对于每个行业来说将是独一无二的,需要仔细的研究和规划。
检测。安全行业警告说,所有的企业或组织都会有违规的风险,因此威胁检测工具和技术的投入显得必不可少。这确实是个好的建议,但检测的主要问题是,它需要一个具备安全分析和检测技术的强有力的团队。不幸的是,网络安全人才短缺已成为一个全球性问题。环境、社会和治理(ESG)的研究报告表明,25%的企业和组织都面临网络安全技能短缺。为了让我们的可用资源迎合目前的安全需求,我们必须找到一个让安全专家工作更智能的方法。而这就需要对海量安全数据进行全面的收集、处理和分析。这个领域有许多技术工具(如Blue Coat/ Solera, Click Security、惠普、IBM、ISC8,Narus,RSA,Splunk等等),但如果许多企业能将其安全分析业务交给有良好信誉的服务提供者(例如戴尔、Sumo Logic、赛门铁克等等)的话,他们的安全将更有保障。
响应。对于一个大型的企业组织来说,每天收到成千上万的安全警报是非同寻常的。哪些是最重要的呢?哪些是真实的?什么类型的补救活动最应优先?根据我的经验,许多企业和组织解决这些关键问题时有一个共同的策略:做好准备。所以我们究竟需要什么?更好的可视性,数据关联性,算法,和情报,这样一来,我们使用技术来回答这些问题时,会有高度的准确性。当我们对我们的安全技术情报信心倍增时,我们可以将我们的响应自动化。在我看来,我们必须这样做,因为即使是最好的安全专家也不能与当今网络威胁的规模和复杂性同日而语。
最后一点,也许有争议——对于网络安全,我们要担负起更多的责任。例如,消费者应该停止信用卡支付。同时,当更多的网络安全违规发生时,任期内的公司董事会和首席执行官应该失去工作。