“我们将在海滩作战。我们将在敌人的登陆点作战。我们将在田野和街巷作战。我们将在山区作战。我们决不投降,”这是英国著名首相温斯顿·丘吉尔于1940年6月在面对纳粹德国对英国可能发动的进攻时所作的著名演讲的片段。而在此前的另一次著名演讲中,他更声称,我们的目标只有一个,那就是胜利,而“不论前路如何漫长、如何艰苦。”这对于企业所面对的安全战斗来说,可以说是一个非常适切的类比。
网络犯罪分子们如今无处不在,而且狡猾诡诈,无孔不入。所以当客户、投资人和监管者们期待安全人员能够全面保护组织和机构的宝贵资产以及隐私时,我们却很难做到像丘吉尔那样乐观,尤其是我们本应该仰仗的一些政府部门和厂商,也在私下损害着我们的数据、软件和网络。
捍卫安全的战争比以往任何时候都更加严峻。大多数组织还是在用昨天的工具和方法对抗着今天的敌人——他们徒劳地用密码和防火墻防护着企业的边界,这种做法是注定要失败的。他们过分强调了数据与系统的隔离,还在错误地认为只要边界安全就足够了。
而我们与数十位安全专家、业界专家以及企业高管们的深度交流,却揭示出了一个更适用于今日安全的架构。
聚焦风险和人 少关注设备和数据
更好的防范方法应围绕风险意识来构建。最大的风险就是关键或敏感数据的丢失,所以我们必须对数据提供充分的保护。然而除此之外,还存在着其他诸多的风险,例如业务中断、名誉受损、监管缺失、投资风险,以及知识产权被盗,等等。哪些危险对企业的伤害最大?如何评估这些威胁?怎样才能根据影响最大到最小的顺序防范这些威胁?很显然,仅仅保护边界是无法解决这些问题的。
举个例子,Visa国际要负责对其所有信用卡处理流程的风险评估,包括但不限于对这些业务流程的技术支持。Visa负责信息安全、治理、风险及合规的前任副总裁乔治·托特夫说:“所谓风险,就是薄弱之处遇到了攻击。所以,用全局观去看待风险,才能为安全防范奠定坚固基础。”
风险评估与风险防范的模式会因行业和企业的不同而有所不同。有些模式可能需要用到技术,有些可能需要改变流程,还有一些模式则有可能要求改变人的行为。出于合规性需要,有些企业除了自身的风险分析之外,还不得不处理其他一些形式的安全风险。此时的重点就成了如何才能在不会对企业的运营、财务或战略带来不必要负担的情形下,有效地满足合规性要求。
无论一家企业的风险哲学以及外部要求是什么,选择并关注最高级别的风险都是最实际的。
但是,如何才能关注这些风险呢?大多数企业,以及安全厂商们,都把安全视为一种技术上的挑战。它们一味地寻求能够降低风险的软件、硬件和服务识别功能,却忽略了对人的关注——实际上正是人在创建和使用需要受保护的信息。事实上,很多组织恰恰把人的因素排除在了安全架构之外,因为它们最不信任的就是人。
对安全而言,不存在一招制敌的技术手段。而将人的因素剔除出安全架构,也只会导致人对安全的怠惰和漠不关心。人们会很自然地认为,出了安全问题,责任全在IT。今天的安全战略为什么必须将主要的防范重点从设备转向人,这就是原因。今天,所有成功的网络攻击,不论是采用社会工程学如钓鱼手法,还是对自动售货机硬件的物理拦截,都肯定会牵扯到人。
安全其实是关乎风险的一场动态游戏——换句话说,当魔高一尺时,你能否道高一丈?“动态”和“游戏”这两个词是彼此相关联的。安全同样遵循熵的定律:如果能量无法补充,迟早都会耗尽。因此,我们需要常态化的警觉。而游戏心态对于保持主动和自适应的警觉来说至关重要。
说到底,每一个新的防范措施都会很快遭遇一轮新的攻击伎俩的挑战。这正是人类最擅长的游戏。所以企业应该鼓励自己的人员充分发挥人类的能力,而不应将他们排除在防范措施之外。
下一篇:“破壳”漏洞系列分析之二