改善網(wǎng)絡(luò)安全狀況正成為啟動數(shù)字化轉(zhuǎn)型項目的驅(qū)動因素��。然而�����,實施過程中存在的錯誤往往會釀成慘痛的后果��,需要為之付出沉重的代價��。
數(shù)字化轉(zhuǎn)型對于許多企業(yè)的長期發(fā)展目標(biāo)而言至關(guān)重要���,因為它可以幫助他們抵御如春筍般不斷涌現(xiàn)的初創(chuàng)公司�,更好地滿足客戶的需求����,尋找新的發(fā)展機會,以及幫助企業(yè)降低成本等等�����。
此外�����,也是尤為重要的一點是�,它還可以幫助提高企業(yè)的安全性。根據(jù)451
Research公司去年年底進行的一項調(diào)查顯示���,49%的IT專業(yè)人員和業(yè)務(wù)線經(jīng)理表示����,保護客戶數(shù)據(jù)是他們的主要轉(zhuǎn)型目標(biāo)之一���。
今年夏天��,研究公司Lucid也對IT領(lǐng)導(dǎo)者進行了一項調(diào)查����,結(jié)果顯示49%的IT領(lǐng)導(dǎo)者認為,更好的網(wǎng)絡(luò)安全保護是他們公司關(guān)注數(shù)字化轉(zhuǎn)型的原因之一���。40%的受訪者表示�,網(wǎng)絡(luò)安全是他們公司投入最多的數(shù)字化轉(zhuǎn)型領(lǐng)域�。
實際上,我們正在目睹越來越多的IT領(lǐng)導(dǎo)者采取數(shù)字化轉(zhuǎn)型項目來支持他們的網(wǎng)絡(luò)安全戰(zhàn)略��。這些項目涉獵極廣——小到員工入職和離職期間獲取更好的訪問權(quán)限���,大到一些大型項目,如跟蹤GDPR敏感數(shù)據(jù)的位置和其他合規(guī)性要求等��,無一不包含在內(nèi)�����。
除此之外����,遷移至現(xiàn)代基礎(chǔ)架構(gòu)(包括Office
365等基于云的解決方案)通常也可以單獨提高安全性���。 RiskLens公司近日針對準(zhǔn)備向云供應(yīng)商遷移的大型企業(yè)進行了風(fēng)險分析研究,結(jié)果指出���,由于我們的電子郵件環(huán)境不再是本地(on-premises)部署�����,我們將更加擔(dān)心網(wǎng)絡(luò)中斷和數(shù)據(jù)保護問題����。但是研究人員也發(fā)現(xiàn)��,微軟對Office
365的管理往往遠遠領(lǐng)先于組織自身所實現(xiàn)的管理�����,因此就整體而言�����,實際風(fēng)險在遷移到云時會減少�,而不是增加。
專家表示����,數(shù)字化轉(zhuǎn)型項目還可能導(dǎo)致企業(yè)環(huán)境的可見性降低���,人力檢查點減少,以及面臨新的安全威脅���。 事實上�,根據(jù)Fortinet最近進行的一項調(diào)查顯示���,安全性是迄今為止數(shù)字化轉(zhuǎn)型工作面臨的最大挑戰(zhàn)�,85%的首席安全官(CSO)和首席信息安全官(CISO)表示�����,安全性對于數(shù)字化轉(zhuǎn)型工作而言一個巨大的難題��。
普華永道在最新發(fā)布的一份報告中表示���,很少有公司正在將網(wǎng)絡(luò)和隱私風(fēng)險管理正確地納入其數(shù)字化轉(zhuǎn)型中。未來的贏家將屬于那些自設(shè)計階段開始就在構(gòu)建風(fēng)險管理的企業(yè)所有�����。能否在數(shù)字化轉(zhuǎn)型過程中正確建立網(wǎng)絡(luò)和隱私風(fēng)險管理,將成為企業(yè)確立品牌形象的關(guān)鍵一戰(zhàn)�����。
以下是企業(yè)組織在將安全性納入數(shù)字化轉(zhuǎn)型過程中將面臨的4大主要挑戰(zhàn):
1. 對數(shù)據(jù)和流程的可視性降低
據(jù)RiskLens公司所言����,當(dāng)基礎(chǔ)設(shè)施由第三方托管時,企業(yè)對于能夠收集的數(shù)據(jù)的控制權(quán)就會降低����。試想一下,如果你的基礎(chǔ)設(shè)施是在本地部署的�,你就能夠獲取更好的可視性,可以在任何時間操控任何你想要控制的數(shù)據(jù)�。當(dāng)然,第三方服務(wù)供應(yīng)商也會為你提供一些控制和報告����,但是這與公司控制自己的基礎(chǔ)架構(gòu)的程度明顯不同。
如果說公司未能提前制定好計劃來管理新基礎(chǔ)架構(gòu)的話�,那么即便是在本地安裝新系統(tǒng),可視性也可能會成為問題���。一旦你無法確定相關(guān)資產(chǎn)的狀態(tài)�,或者將新軟件部署到該資產(chǎn)時,你就會面臨安全風(fēng)險�����,無疑��,你的攻擊面也將進一步擴大��。
以容器為例���,它可以在本地�����、混合或云環(huán)境中運行�����。多年來����,未能妥善保管容器一直是個問題�。一個問題是���,安全性無法產(chǎn)生收益�����。大多數(shù)企業(yè)都沒能從安全性中獲利��,因此���,從歷史上看��,大多數(shù)企業(yè)的主要關(guān)注點都未放在安全性上�,盡管多年來它已有所改善���。如此一來�,從安全角度來看���,基礎(chǔ)設(shè)施的構(gòu)建���、增長甚至成熟速度在很多情況下都要遠遠超過企業(yè)所能應(yīng)對的程度。
而當(dāng)業(yè)務(wù)部門在未經(jīng)IT部門的批準(zhǔn)下購買新技術(shù)時(即所謂的“影子IT”)�,問題就會變得更為嚴(yán)重。特別是云服務(wù)可以在無需大量技能支持的情況下,即可快速輕松地實現(xiàn)部署和設(shè)置�����。如今�,企業(yè)系統(tǒng)中存在越來越多的“影子IT”,業(yè)務(wù)部門已經(jīng)打破舊的原則�,在未經(jīng)IT部門許可的情況下構(gòu)建屬于自己的基礎(chǔ)設(shè)施,這無疑加重了安全問題���。因為公司IT管理人員甚至不知道有這些系統(tǒng)的存在��,談何具備對這些系統(tǒng)的可視性���。
2. 人力檢查點減少
人類雇員需要對企業(yè)中存在的許多甚至大多數(shù)安全問題負責(zé):他們會在輸入交易時發(fā)生拼寫錯誤;他們會忘記啟用安全控制;他們會打開網(wǎng)絡(luò)釣魚郵件并點擊惡意鏈接;他們會陷入網(wǎng)絡(luò)騙局;他們會堅持在不同的平臺上使用相同的弱口令。
通常情況下�����,我們的網(wǎng)絡(luò)解決方案要比我們更強大�����,因為我們作為人類�����,具備情感����,所以更容易被惡意行為者利用和操縱。但是值得注意的是����,人類也提供了一種叫做“常識”的關(guān)鍵劑量,不過隨著流程逐漸實現(xiàn)完全自動化����,人類所獨具的這種技能也在隨之消失。
舉個例子�,有些事情就像SQL注入一樣簡單。人類可以通過代碼立即獲取想要獲取的數(shù)據(jù)��,而無需人力識別和過濾�。這顯然是自動化所帶來的便捷之處,但是要知道�,計算機只有在經(jīng)過編程之后才能執(zhí)行相應(yīng)的任務(wù)。作為人類�����,我們能夠通過直覺或常識來判斷一些東西可能存在問題,但是計算機并不具備這種能力�。它們只能依賴特定的編程來執(zhí)行任務(wù),因此可能會存在遺漏��、錯失的情況����。
如今,越來越多的企業(yè)正在不斷增加其自動化建設(shè)�,在這種高效、低成本的環(huán)境中����,企業(yè)習(xí)慣將人類從控制臺中剔除,這種行為可能導(dǎo)致的問題值得企業(yè)深思���。
3. 未知的“未知數(shù)”
數(shù)字化轉(zhuǎn)型有時可能會帶來新的�、無法預(yù)料的攻擊向量�����。例如�,Amazon S3存儲桶的使用。其價格便宜�����、使用便捷、易于設(shè)置��,同時也易于遭受攻擊��。
在過去一年中�����,包括埃森哲�、道瓊斯����、Verizon以及軍事情報機構(gòu)INSCOM在內(nèi)的多家技術(shù)精湛的公司,都將敏感數(shù)據(jù)暴露在了亞馬遜上��。無獨有偶���,Kenna
Security公司研究人員最近也發(fā)現(xiàn)�,9,600家分析機構(gòu)中有31%因為Google網(wǎng)上論壇和G
Suite配置出錯而泄露敏感電子郵件信息����。受影響的實體包括財富500強公司����、醫(yī)院�����、大學(xué)和學(xué)院�����、報紙和電視臺�,甚至美國政府機構(gòu)。
Kenna Security研究人員指出���,使用G Suite的組織在創(chuàng)建郵件列表可能會配置Google Groups
界面�����。由于術(shù)語和組織范圍與Groups特定權(quán)限很復(fù)雜�,導(dǎo)致列表管理員無意中可能泄露電子郵件列表的內(nèi)容�����。據(jù)悉�����,造成此次事故的谷歌G
Suite,正是許多正在轉(zhuǎn)型中的企業(yè)所使用的轉(zhuǎn)型產(chǎn)品���。事實上����,由于缺乏持續(xù)的警惕性而導(dǎo)致的錯誤配置問題����,已經(jīng)使全球不同行業(yè)的眾多組織遭遇了數(shù)據(jù)泄露事件�����。
4. 你需要一個網(wǎng)絡(luò)安全計劃
首席安全官(CSO)在確保企業(yè)的數(shù)字化轉(zhuǎn)型戰(zhàn)略(包括網(wǎng)絡(luò)安全計劃)方面發(fā)揮著重要的作用����。他們發(fā)揮作用的關(guān)鍵就是要能關(guān)注那些對企業(yè)而言最重要的問題。
安全人員有時候習(xí)慣打啞謎��,聽得人云里霧里�,公司自然也就不了解安全的重要性以及如何落實安全性了。事實上��,安全人員需要提供一些清晰且實實在在的案例,這些例子不僅僅是技術(shù)性的���,還需要能夠清楚地說明哪些因素可能會對公司的品牌產(chǎn)生什么影響���。
例如,數(shù)據(jù)泄露行為就會對公司的市值產(chǎn)生影響�。你可以為企業(yè)繪制一個簡單的圖表,說明Equifax數(shù)據(jù)泄露事件為其帶來的成本和市值損失;Target數(shù)據(jù)泄露造成的成本損失�,以及Facebook泄露客戶隱私所造成的市場成本和名譽損失。更重要的是��,這種損失成本還一直在大規(guī)模的增加�。
首席安全官也必須把握好言語的尺度,以能夠說服企業(yè)高管支持網(wǎng)絡(luò)安全舉措為宜����,切勿營造一種危言聳聽的形象。例如�����,太多的安全專業(yè)人員只關(guān)注于將數(shù)據(jù)和流程遷移至云端的額外風(fēng)險��,而忽略了其優(yōu)勢。這種行為并非實際的分析工作�����,而是在傳播一種恐懼�����、不確定和懷疑的氛圍����,甚至可能導(dǎo)致首席安全官失去信譽。
之后����,企業(yè)可能仍然會繼續(xù)進行該項目,因為他們看到了該項目的價值�����、機會或成本優(yōu)勢���,首席安全官也會由此受到限制,損耗企業(yè)對其的信任���。
如果首席安全官能夠客觀地談?wù)摌I(yè)務(wù)方面的風(fēng)險和安全性��,那么他們將更有可能在數(shù)字化轉(zhuǎn)型項目中發(fā)揮作用�����,樹立威信����。安全專家建議稱,安全專業(yè)人員可以關(guān)注風(fēng)險評估方面的一些國際標(biāo)準(zhǔn)�,例如FAIR風(fēng)險評估框架等等。這些標(biāo)準(zhǔn)并不是傳遞FUD(恐懼�����、不確定和懷疑)�,或云是危險的等觀點的,而是旨在幫助企業(yè)安全人員做出更為明智的決策����。
