|
如今,很多企業并沒(méi)有把工作重點放在他們面(miàn)臨的實際安全威脅上,這(zhè)使他們的業務更加脆弱。如果他們相信事(shì)實而不是炒作的話,那麼(me)這(zhè)種(zhǒng)情況可能(néng)會(huì)改變。
人類是一種(zhǒng)有趣的生物,很多時(shí)候并不會(huì)對(duì)自己的最佳利益做出正确的反應。例如,大多數人乘坐飛機比乘坐汽車到機場要害怕得多,盡管乘車面(miàn)臨的風險是乘坐飛機的數萬倍。更多的人害怕在海邊被鲨魚襲擊,卻不擔心在家裡(lǐ)被自己的狗咬傷,即使被狗咬傷的可能(néng)性也會(huì)高出數十萬倍。人們即使知道(dào)并相信一個事(shì)件可能(néng)會(huì)發(fā)生,通常也很難對(duì)風險做出适當的反應。而這(zhè)種(zhǒng)情況同樣适用于IT安全。
IT工作人員經(jīng)常在計算機安全防禦系統花費大量的時(shí)間、費用和其他資源,而這(zhè)些安全防禦措施并不能(néng)阻止對(duì)網絡攻擊對(duì)企業的最大威脅。例如,當面(miàn)對(duì)單個未修補程序需要更新以阻止威脅的事(shì)實時(shí),大多數公司除了修補這(zhè)個程序之外,沒(méi)有做其他事(shì)情。
此外,還(hái)有很多這(zhè)樣的例子,事(shì)實上,大多數公司很容易被黑客入侵,這(zhè)足以證明威脅的嚴重性。然而即使面(miàn)對(duì)這(zhè)樣的事(shì)實,很多企業也不會(huì)做他們應該實施的一些比較簡單的措施。這(zhè)個問題帶來了很多困擾,關于爲什麼(me)這(zhè)麼(me)多的防禦者不能(néng)很好(hǎo)地采取防禦措施的原因,其答案主要是缺乏重點。許多優先考慮的事(shì)情占用著(zhe)IT人員更多的注意力,以至于他們可以做到的顯著改進(jìn)安全防禦的事(shì)情還(hái)沒(méi)有完成(chéng),即使成(chéng)本更低、速度更快、更容易實施。
那麼(me)是什麼(me)原因導緻這(zhè)種(zhǒng)情況的發(fā)生,如何將(jiāng)正确的防禦措施放在正确的位置,以正确的方式抵抗網絡威脅呢?以下了解一下企業沒(méi)有專注于IT安全威脅的6個原因:
1、絕大多數的安全威脅是壓倒性的
全球每年將(jiāng)出現5000到7000個全新的威脅,平均一天出現15個,也就(jiù)是說(shuō)人們每天都(dōu)面(miàn)臨15個全新的問題,日複一日,一直如此。IT工作人員就(jiù)像消防隊員一樣每天接到更多的緊急呼叫(jiào)求助,但并不是每個工作人員能(néng)夠充分應對(duì)這(zhè)些威脅,所以他們必須進(jìn)行分類,并排列處理的優先次序。
2、威脅炒作可能(néng)會(huì)分散對(duì)更嚴重威脅的關注
通常,媒體所報道(dào)的威脅和脆弱性往往伴随著(zhe)大量的炒作與宣傳。而一些安全防禦廠商爲了銷售自己的産品和服務,也積極參與對(duì)這(zhè)種(zhǒng)威脅的炒作,一些威脅往往會(huì)以令人毛骨悚然的名字命名。這(zhè)并不能(néng)把所有的責任都(dōu)推到計算機防禦廠商身上,因爲銷售軟件或服務是他們的工作。這(zhè)將(jiāng)由消費者決定哪些事(shì)物值得他們關注,而當每天面(miàn)臨15個新的威脅時(shí),安全人員保持關注是非常困難的。
即使威脅和風險很大,每一次威脅的過(guò)度報道(dào)都(dōu)會(huì)讓人很難注意到真正的威脅。例如,Meltdown(熔毀)和Spectre(幽靈)實際上是計算機世界所面(miàn)臨的最大威脅之一。它們幾乎影響到所有主流的微處理器,這(zhè)將(jiāng)會(huì)讓攻擊者無形中利用計算機,通常需要采用多個軟件和固件補丁來保護,而在解決問題時(shí)可能(néng)會(huì)顯著降低計算機處理速度。在許多情況下,唯一的好(hǎo)辦法是購買一台新電腦。Meltdown(熔毀)和Spectre(幽靈)是很大的威脅,但專家表示,無需對(duì)其大肆炒作。
但是,除了網絡安全行業和一些主流媒體文章報道(dào)之外,人員的集體反應是越來越沉默。通常當計算機安全發(fā)生大事(shì)時(shí),很多人都(dōu)會(huì)問應該怎麼(me)做。Meltdown(熔毀)和Spectre(幽靈)被報道(dào)之後(hòu),人們的反應不再那麼(me)強烈。因爲應對(duì)Meltdown(熔毀)和Spectre(幽靈)通常需要固件補丁,用戶幾乎很難獨自處理。在未來的很多年裡(lǐ),全球將(jiāng)有數以億計的這(zhè)樣的設備。爲什麼(me)反應并不強烈?這(zhè)是因爲炒作疲勞。每一個威脅都(dōu)被過(guò)度誇大,而當一個真正的全球性威脅出現時(shí),需要每個人都(dōu)進(jìn)行關注的時(shí)候卻并不在意,并會(huì)認爲他們的操作系統提供商或設備提供商會(huì)在适當的時(shí)候修補它。坦率地說(shuō),這(zhè)兩(liǎng)個新威脅很可能(néng)會(huì)導緻更多的微處理器錯誤,被網絡攻擊者發(fā)現和利用。
3、不良威脅情報幹擾了關注焦點
部分原因是大多數企業自己的威脅情報在提醒他們需要擔心哪些威脅。而威脅情報(TI)還(hái)應該關注數以千計的威脅,并告訴工作人員哪些威脅最可能(néng)進(jìn)行攻擊。與其相反,威脅情報(TI)的作用通常是用于進(jìn)行炒作的放大器。
想要知道(dào)大多數威脅情報部門是如何感染的?詢問對(duì)企業造成(chéng)最大的損害的威脅是什麼(me)。是惡意軟件、社交工程、密碼攻擊、配置錯誤、故意攻擊、加密不足?沒(méi)有哪一個TI團隊可以直截了當地回答,并且有數據支持其結論。如果企業無法确定最大的威脅是什麼(me),那麼(me)如何才能(néng)最有效地應對(duì)正确的威脅呢?
4、合規性問題并不總是與安全最佳實踐保持一緻
如果企業想要在計算機安全方面(miàn)快速完成(chéng)某些工作,需要了解是否符合法規要求。企業的高級管理人員需要關注合規問題。在很多情況下,他們可以承擔責任,積極彌補合規缺陷。不幸的是,合規性和安全性并不總是一緻的。例如,一年前的最好(hǎo)的密碼建議,卻違反了有關密碼的法律和監管要求。事(shì)實證明,人們所認知的密碼安全的許多事(shì)情都(dōu)在變化,例如要求密碼的複雜性,網絡威脅随時(shí)間而改變。大多數法律和法規建議的創建者和維護者似乎都(dōu)沒(méi)有注意到,即使遵循舊的密碼建議,往往也會(huì)使企業的數據容易被洩露。
在這(zhè)個問題上,很多網站不會(huì)讓人們創建一個超過(guò)16個字符的密碼(而這(zhè)樣的密碼將(jiāng)是非常強大的,無論其複雜性如何),而密碼采用“特殊”的符号在理論上會(huì)使黑客的攻擊更加困難,數據和研究顯示這(zhè)在實際應用中顯然不是這(zhè)樣。
5、太多項目分散資源
很多企業都(dōu)有幾十個正在進(jìn)行的安全項目,每個安全項目都(dōu)旨在保護企業的電腦和設備。在任何情況下,這(zhè)些項目中的一個或兩(liǎng)個如果完成(chéng),將(jiāng)提供其所需的大部分安全收益,以顯著降低安全風險。而實施數十個項目,將(jiāng)拆分有限的資源。大多數項目即使完成(chéng),也會(huì)被延遲和低效執行。而IT安全世界的軟件價格昂貴,并承諾項目不用工作人員監督持續運作。
6、寵物項目通常不是最重要的項目
更糟糕的是,大多數企業都(dōu)有一個或兩(liǎng)個寵物項目。企業不了解自己公司的數據面(miàn)臨的最大威脅是什麼(me),他們會(huì)從其他項目中選拔出最優秀、最聰明的團隊成(chéng)員來完成(chéng)他們的任務,這(zhè)其實影響了其他重要項目的實施。
|
