改善網(wǎng)絡(luò)安全狀況正成為啟動(dòng)數(shù)字化轉(zhuǎn)型項(xiàng)目的驅(qū)動(dòng)因素����。然而��,實(shí)施過程中存在的錯(cuò)誤往往會(huì)釀成慘痛的后果�����,需要為之付出沉重的代價(jià)����。
數(shù)字化轉(zhuǎn)型對(duì)于許多企業(yè)的長(zhǎng)期發(fā)展目標(biāo)而言至關(guān)重要��,因?yàn)樗梢詭椭麄兊钟绱汗S般不斷涌現(xiàn)的初創(chuàng)公司�,更好地滿足客戶的需求,尋找新的發(fā)展機(jī)會(huì)���,以及幫助企業(yè)降低成本等等��。
此外���,也是尤為重要的一點(diǎn)是,它還可以幫助提高企業(yè)的安全性��。根據(jù)451
Research公司去年年底進(jìn)行的一項(xiàng)調(diào)查顯示��,49%的IT專業(yè)人員和業(yè)務(wù)線經(jīng)理表示���,保護(hù)客戶數(shù)據(jù)是他們的主要轉(zhuǎn)型目標(biāo)之一����。
今年夏天,研究公司Lucid也對(duì)IT領(lǐng)導(dǎo)者進(jìn)行了一項(xiàng)調(diào)查�,結(jié)果顯示49%的IT領(lǐng)導(dǎo)者認(rèn)為,更好的網(wǎng)絡(luò)安全保護(hù)是他們公司關(guān)注數(shù)字化轉(zhuǎn)型的原因之一�。40%的受訪者表示,網(wǎng)絡(luò)安全是他們公司投入最多的數(shù)字化轉(zhuǎn)型領(lǐng)域��。
實(shí)際上��,我們正在目睹越來越多的IT領(lǐng)導(dǎo)者采取數(shù)字化轉(zhuǎn)型項(xiàng)目來支持他們的網(wǎng)絡(luò)安全戰(zhàn)略�����。這些項(xiàng)目涉獵極廣——小到員工入職和離職期間獲取更好的訪問權(quán)限��,大到一些大型項(xiàng)目�����,如跟蹤GDPR敏感數(shù)據(jù)的位置和其他合規(guī)性要求等��,無一不包含在內(nèi)��。
除此之外��,遷移至現(xiàn)代基礎(chǔ)架構(gòu)(包括Office
365等基于云的解決方案)通常也可以單獨(dú)提高安全性����。 RiskLens公司近日針對(duì)準(zhǔn)備向云供應(yīng)商遷移的大型企業(yè)進(jìn)行了風(fēng)險(xiǎn)分析研究,結(jié)果指出��,由于我們的電子郵件環(huán)境不再是本地(on-premises)部署���,我們將更加擔(dān)心網(wǎng)絡(luò)中斷和數(shù)據(jù)保護(hù)問題����。但是研究人員也發(fā)現(xiàn)���,微軟對(duì)Office
365的管理往往遠(yuǎn)遠(yuǎn)領(lǐng)先于組織自身所實(shí)現(xiàn)的管理��,因此就整體而言��,實(shí)際風(fēng)險(xiǎn)在遷移到云時(shí)會(huì)減少�,而不是增加����。
專家表示�����,數(shù)字化轉(zhuǎn)型項(xiàng)目還可能導(dǎo)致企業(yè)環(huán)境的可見性降低�,人力檢查點(diǎn)減少�,以及面臨新的安全威脅。 事實(shí)上�����,根據(jù)Fortinet最近進(jìn)行的一項(xiàng)調(diào)查顯示���,安全性是迄今為止數(shù)字化轉(zhuǎn)型工作面臨的最大挑戰(zhàn)�,85%的首席安全官(CSO)和首席信息安全官(CISO)表示����,安全性對(duì)于數(shù)字化轉(zhuǎn)型工作而言一個(gè)巨大的難題����。
普華永道在最新發(fā)布的一份報(bào)告中表示,很少有公司正在將網(wǎng)絡(luò)和隱私風(fēng)險(xiǎn)管理正確地納入其數(shù)字化轉(zhuǎn)型中����。未來的贏家將屬于那些自設(shè)計(jì)階段開始就在構(gòu)建風(fēng)險(xiǎn)管理的企業(yè)所有�����。能否在數(shù)字化轉(zhuǎn)型過程中正確建立網(wǎng)絡(luò)和隱私風(fēng)險(xiǎn)管理��,將成為企業(yè)確立品牌形象的關(guān)鍵一戰(zhàn)����。
以下是企業(yè)組織在將安全性納入數(shù)字化轉(zhuǎn)型過程中將面臨的4大主要挑戰(zhàn):
1. 對(duì)數(shù)據(jù)和流程的可視性降低
據(jù)RiskLens公司所言�,當(dāng)基礎(chǔ)設(shè)施由第三方托管時(shí),企業(yè)對(duì)于能夠收集的數(shù)據(jù)的控制權(quán)就會(huì)降低����。試想一下,如果你的基礎(chǔ)設(shè)施是在本地部署的�,你就能夠獲取更好的可視性,可以在任何時(shí)間操控任何你想要控制的數(shù)據(jù)�。當(dāng)然,第三方服務(wù)供應(yīng)商也會(huì)為你提供一些控制和報(bào)告�,但是這與公司控制自己的基礎(chǔ)架構(gòu)的程度明顯不同。
如果說公司未能提前制定好計(jì)劃來管理新基礎(chǔ)架構(gòu)的話��,那么即便是在本地安裝新系統(tǒng)�����,可視性也可能會(huì)成為問題。一旦你無法確定相關(guān)資產(chǎn)的狀態(tài)����,或者將新軟件部署到該資產(chǎn)時(shí),你就會(huì)面臨安全風(fēng)險(xiǎn)�����,無疑�,你的攻擊面也將進(jìn)一步擴(kuò)大。
以容器為例��,它可以在本地���、混合或云環(huán)境中運(yùn)行����。多年來�����,未能妥善保管容器一直是個(gè)問題���。一個(gè)問題是��,安全性無法產(chǎn)生收益���。大多數(shù)企業(yè)都沒能從安全性中獲利,因此�����,從歷史上看��,大多數(shù)企業(yè)的主要關(guān)注點(diǎn)都未放在安全性上���,盡管多年來它已有所改善���。如此一來,從安全角度來看��,基礎(chǔ)設(shè)施的構(gòu)建���、增長(zhǎng)甚至成熟速度在很多情況下都要遠(yuǎn)遠(yuǎn)超過企業(yè)所能應(yīng)對(duì)的程度��。
而當(dāng)業(yè)務(wù)部門在未經(jīng)IT部門的批準(zhǔn)下購(gòu)買新技術(shù)時(shí)(即所謂的“影子IT”)���,問題就會(huì)變得更為嚴(yán)重�。特別是云服務(wù)可以在無需大量技能支持的情況下�����,即可快速輕松地實(shí)現(xiàn)部署和設(shè)置�。如今,企業(yè)系統(tǒng)中存在越來越多的“影子IT”�����,業(yè)務(wù)部門已經(jīng)打破舊的原則�,在未經(jīng)IT部門許可的情況下構(gòu)建屬于自己的基礎(chǔ)設(shè)施,這無疑加重了安全問題�����。因?yàn)楣綢T管理人員甚至不知道有這些系統(tǒng)的存在�����,談何具備對(duì)這些系統(tǒng)的可視性�。
2. 人力檢查點(diǎn)減少
人類雇員需要對(duì)企業(yè)中存在的許多甚至大多數(shù)安全問題負(fù)責(zé):他們會(huì)在輸入交易時(shí)發(fā)生拼寫錯(cuò)誤;他們會(huì)忘記啟用安全控制;他們會(huì)打開網(wǎng)絡(luò)釣魚郵件并點(diǎn)擊惡意鏈接;他們會(huì)陷入網(wǎng)絡(luò)騙局;他們會(huì)堅(jiān)持在不同的平臺(tái)上使用相同的弱口令。
通常情況下����,我們的網(wǎng)絡(luò)解決方案要比我們更強(qiáng)大,因?yàn)槲覀冏鳛槿祟?�,具備情感����,所以更容易被惡意行為者利用和操縱。但是值得注意的是����,人類也提供了一種叫做“常識(shí)”的關(guān)鍵劑量,不過隨著流程逐漸實(shí)現(xiàn)完全自動(dòng)化��,人類所獨(dú)具的這種技能也在隨之消失�。
舉個(gè)例子,有些事情就像SQL注入一樣簡(jiǎn)單�。人類可以通過代碼立即獲取想要獲取的數(shù)據(jù),而無需人力識(shí)別和過濾����。這顯然是自動(dòng)化所帶來的便捷之處,但是要知道��,計(jì)算機(jī)只有在經(jīng)過編程之后才能執(zhí)行相應(yīng)的任務(wù)��。作為人類,我們能夠通過直覺或常識(shí)來判斷一些東西可能存在問題��,但是計(jì)算機(jī)并不具備這種能力�����。它們只能依賴特定的編程來執(zhí)行任務(wù)��,因此可能會(huì)存在遺漏��、錯(cuò)失的情況�����。
如今��,越來越多的企業(yè)正在不斷增加其自動(dòng)化建設(shè)�,在這種高效、低成本的環(huán)境中���,企業(yè)習(xí)慣將人類從控制臺(tái)中剔除�,這種行為可能導(dǎo)致的問題值得企業(yè)深思����。
3. 未知的“未知數(shù)”
數(shù)字化轉(zhuǎn)型有時(shí)可能會(huì)帶來新的��、無法預(yù)料的攻擊向量�����。例如,Amazon S3存儲(chǔ)桶的使用���。其價(jià)格便宜�����、使用便捷���、易于設(shè)置,同時(shí)也易于遭受攻擊����。
在過去一年中,包括埃森哲�、道瓊斯、Verizon以及軍事情報(bào)機(jī)構(gòu)INSCOM在內(nèi)的多家技術(shù)精湛的公司�����,都將敏感數(shù)據(jù)暴露在了亞馬遜上。無獨(dú)有偶��,Kenna
Security公司研究人員最近也發(fā)現(xiàn)��,9,600家分析機(jī)構(gòu)中有31%因?yàn)镚oogle網(wǎng)上論壇和G
Suite配置出錯(cuò)而泄露敏感電子郵件信息��。受影響的實(shí)體包括財(cái)富500強(qiáng)公司�����、醫(yī)院�����、大學(xué)和學(xué)院�、報(bào)紙和電視臺(tái),甚至美國(guó)政府機(jī)構(gòu)����。
Kenna Security研究人員指出,使用G Suite的組織在創(chuàng)建郵件列表可能會(huì)配置Google Groups
界面���。由于術(shù)語(yǔ)和組織范圍與Groups特定權(quán)限很復(fù)雜����,導(dǎo)致列表管理員無意中可能泄露電子郵件列表的內(nèi)容。據(jù)悉���,造成此次事故的谷歌G
Suite���,正是許多正在轉(zhuǎn)型中的企業(yè)所使用的轉(zhuǎn)型產(chǎn)品。事實(shí)上�����,由于缺乏持續(xù)的警惕性而導(dǎo)致的錯(cuò)誤配置問題���,已經(jīng)使全球不同行業(yè)的眾多組織遭遇了數(shù)據(jù)泄露事件。
4. 你需要一個(gè)網(wǎng)絡(luò)安全計(jì)劃
首席安全官(CSO)在確保企業(yè)的數(shù)字化轉(zhuǎn)型戰(zhàn)略(包括網(wǎng)絡(luò)安全計(jì)劃)方面發(fā)揮著重要的作用���。他們發(fā)揮作用的關(guān)鍵就是要能關(guān)注那些對(duì)企業(yè)而言最重要的問題���。
安全人員有時(shí)候習(xí)慣打啞謎,聽得人云里霧里�,公司自然也就不了解安全的重要性以及如何落實(shí)安全性了。事實(shí)上�,安全人員需要提供一些清晰且實(shí)實(shí)在在的案例,這些例子不僅僅是技術(shù)性的��,還需要能夠清楚地說明哪些因素可能會(huì)對(duì)公司的品牌產(chǎn)生什么影響。
例如��,數(shù)據(jù)泄露行為就會(huì)對(duì)公司的市值產(chǎn)生影響����。你可以為企業(yè)繪制一個(gè)簡(jiǎn)單的圖表,說明Equifax數(shù)據(jù)泄露事件為其帶來的成本和市值損失;Target數(shù)據(jù)泄露造成的成本損失�,以及Facebook泄露客戶隱私所造成的市場(chǎng)成本和名譽(yù)損失。更重要的是��,這種損失成本還一直在大規(guī)模的增加���。
首席安全官也必須把握好言語(yǔ)的尺度��,以能夠說服企業(yè)高管支持網(wǎng)絡(luò)安全舉措為宜��,切勿營(yíng)造一種危言聳聽的形象�。例如��,太多的安全專業(yè)人員只關(guān)注于將數(shù)據(jù)和流程遷移至云端的額外風(fēng)險(xiǎn)�,而忽略了其優(yōu)勢(shì)。這種行為并非實(shí)際的分析工作���,而是在傳播一種恐懼��、不確定和懷疑的氛圍���,甚至可能導(dǎo)致首席安全官失去信譽(yù)���。
之后,企業(yè)可能仍然會(huì)繼續(xù)進(jìn)行該項(xiàng)目���,因?yàn)樗麄兛吹搅嗽擁?xiàng)目的價(jià)值���、機(jī)會(huì)或成本優(yōu)勢(shì),首席安全官也會(huì)由此受到限制�����,損耗企業(yè)對(duì)其的信任��。
如果首席安全官能夠客觀地談?wù)摌I(yè)務(wù)方面的風(fēng)險(xiǎn)和安全性����,那么他們將更有可能在數(shù)字化轉(zhuǎn)型項(xiàng)目中發(fā)揮作用�,樹立威信。安全專家建議稱,安全專業(yè)人員可以關(guān)注風(fēng)險(xiǎn)評(píng)估方面的一些國(guó)際標(biāo)準(zhǔn)��,例如FAIR風(fēng)險(xiǎn)評(píng)估框架等等�����。這些標(biāo)準(zhǔn)并不是傳遞FUD(恐懼�����、不確定和懷疑)��,或云是危險(xiǎn)的等觀點(diǎn)的��,而是旨在幫助企業(yè)安全人員做出更為明智的決策�����。
