2009年網(wǎng)絡(luò)安全四大趨勢亦喜亦憂
虛擬化和云計算也一樣,一方面可以簡化企業(yè)的IT基礎(chǔ)設(shè)施,降低成本,但另一方面又在引入無盡的安全風險。把更多的基礎(chǔ)設(shè)施放入云中,就意味著你把更多的漏洞暴露給了黑客,他們可以通過發(fā)起針對Google、Yahoo和其他互聯(lián)網(wǎng)服務(wù)商的DoS攻擊而輕松地擊垮你的企業(yè)網(wǎng)絡(luò)服務(wù)。今年初,Google的大面積崩潰已經(jīng)說明,破壞云服務(wù),就可以達到讓依靠云服務(wù)的企業(yè)受損的目的。
當然,好消息也不是沒有。盡管數(shù)十年來最嚴重的經(jīng)濟衰退迫使企業(yè)縮減外包安全服務(wù)預(yù)算,自己得做更多的事情,但是企業(yè)的整體安全預(yù)算并未出現(xiàn)大幅縮減,有的甚至出現(xiàn)了增加;而且很多企業(yè)開始招聘首席安全官(CSO)。
這些好消息來自CIO和CSO委托普華永道所做的年度《全球信息安全報告》。該報告調(diào)查了全球各行各業(yè)大約7300位組織機構(gòu)、商業(yè)企業(yè)與技術(shù)企業(yè)的高管,涉及政府、醫(yī)療、金融服務(wù)于零售業(yè)等等。
報告所顯示的一些趨勢對于企業(yè)制定信息安全規(guī)劃會有所幫助。“所有的企業(yè)都在擔憂如何保護他們的數(shù)據(jù),尤其是客戶的數(shù)據(jù),”科學應(yīng)用國際公司(SAIC)的CIO Charles Beard說。“按照傳統(tǒng)的業(yè)務(wù)模式,所有人都得聚在同一地理區(qū)域內(nèi)的同一間辦公樓內(nèi)辦公。而如今,所有人都在使用互聯(lián)網(wǎng)和移動設(shè)備彼此連接。這正是社交網(wǎng)絡(luò)大顯身手的地方。然而從另一方面看,我們也被暴露在了網(wǎng)絡(luò)空間的黑暗面中。顯然,在采用社交網(wǎng)絡(luò)之前就必須保障有適當?shù)陌踩⒛軌蛴行У乜刂骑L險。”
趨勢一
社交網(wǎng)絡(luò)的希望與風險
在不到兩年的時間里,社交網(wǎng)絡(luò)已經(jīng)從一種純粹好奇的事物變成了很多人的一種生活方式。如果某人想要更新他在Twitter、Facebook或LinkedIn上的狀態(tài),他一般會在工作時間進行,或者晚上回家用公司的筆記本電腦更新。
是什么讓IT管理人員感到焦灼呢?是因為用戶們在通過社交網(wǎng)絡(luò)相互告知他們午飯吃什么的時候可能會很容易地就把公司的一些敏感的活動信息透露出去了。網(wǎng)絡(luò)黑客們一旦知道了這些,就會利用社交網(wǎng)絡(luò)來發(fā)布網(wǎng)絡(luò)釣魚垃圾郵件。在一種比較流行的攻擊方式中,黑客們會給他們選定的犧牲者發(fā)送一些似乎是來自其Facebook朋友的信息。這位所謂的“朋友”可能會發(fā)送一個網(wǎng)址,還會要求你點擊該網(wǎng)址。該網(wǎng)址乍看好像只是有關(guān)某位名人,比如說邁克爾·杰克遜之死的新聞報道,或者推薦一些股票。但實際上,該鏈接卻會將犧牲者帶入一個可疑的網(wǎng)站,該網(wǎng)站會自動將惡意軟件下載到犧牲者的電腦上。然后,該惡意軟件便有可能盜走任何有價值的數(shù)據(jù),更有甚者還可能盜走企業(yè)網(wǎng)絡(luò)中的數(shù)據(jù),比如客戶的信用卡號或者某種治療癌癥的新藥物的配方。
于是我們毫不奇怪,為何所有接受調(diào)查的IT經(jīng)理們都承認,他們很擔心社交工程學類的攻擊。45%的受訪者尤其擔心針對Web 2.0應(yīng)用的釣魚陰謀。
然而對于很多企業(yè)的管理者來說,封堵社交網(wǎng)絡(luò)又是不可能的,因為社交網(wǎng)絡(luò)會帶來潛在的商業(yè)利益。企業(yè)中的大多數(shù)人都在極力要求能夠讓他們透過這些網(wǎng)站進行溝通,因此對于CIO們來說,最大的挑戰(zhàn)就在于怎樣在安全與可用性之間找到平衡點。
“很多人在到底應(yīng)該與他人分享多少信息這一點上還是極其幼稚的,而我們必須要做的事情就是教育他們怎樣分享信息才是適當?shù)模逼斩纱髮W主管信息服務(wù)的副校長Frank Cervone時候。“我們必須做的事情就是要提高人們的認識,分清楚哪些內(nèi)部信息是不能與外人分享的。”
不過Cervone也指出,在大學環(huán)境中,鼓勵人們通過社交網(wǎng)絡(luò)去進行溝通也是非常重要的。即使在商業(yè)環(huán)境下,他也不認為組織機構(gòu)應(yīng)禁止人們使用社交網(wǎng)絡(luò)。
在今年的安全報告中,我們首先詢問了人們對于社交媒體的看法,只有23%的受訪者稱,他們所采取的安全措施中包括了防范Web 2.0技術(shù)的手段,并且對內(nèi)部人士在社交網(wǎng)絡(luò)所發(fā)布的內(nèi)容進行了控制。一個積極的信號是:每年都有越來越多的企業(yè)有專人負責監(jiān)測員工們使用各種在線資源的情況——今年的這一比例為57%,去年為50%,2007年為40%。有36%的受訪者會監(jiān)控其員工們在外部博客及社交網(wǎng)站上所發(fā)布的信息。
為了避免敏感信息外泄,有65%的企業(yè)使用Web內(nèi)容過濾以保障企業(yè)數(shù)據(jù)能夠不逸出防火墻之外,有62%的企業(yè)能夠確保他們所使用的瀏覽器是最安全的版本。40%的企業(yè)稱,在評估各種安全產(chǎn)品時,對于Web 2.0技術(shù)的支持及兼容性是必不可少的。
然而不幸的是,社交網(wǎng)絡(luò)的不安全性并非是一個可以用技術(shù)來解決的問題,普華永道負責安全實踐的一位合伙人Mark Lobel說。
“這一問題屬于文化層面而非技術(shù)層面。問題在于企業(yè)應(yīng)教育員工如何聰明地使用這些網(wǎng)站,”他說。“從傳統(tǒng)上看,人們一般都是通過技術(shù)路徑而非社會學路徑來獲取安全的。所以要想在這一點上尋找到正確的安全均衡,還有很長的路要走。”
華盛頓州社區(qū)與技術(shù)學院的安全管理負責人Guy Pace稱,他的組織就采取了上面提到的多種安全手段。但他也同意Lobel的觀點,認為真正的安全陣地在于辦公室文化,而非技術(shù)領(lǐng)域。“最有效的緩解手段就是教育使用者,并創(chuàng)設(shè)有效的安全意識程序,”他說。
趨勢二
云計算的風險
既然維護物理的IT基礎(chǔ)設(shè)施是很費錢的,那么用云服務(wù)來取代機房與繁雜應(yīng)用的想法就顯得非常誘人,很多企業(yè)都很難抵制住這種誘惑。然而,匆匆忙忙地闖入云中而沒有采取任何安全策略,那也是極其危險的。
根據(jù)報告,有43%的受訪者正在使用云服務(wù),例如SaaS或者IaaS(基礎(chǔ)設(shè)施作為服務(wù))。更多的企業(yè)在投資有助于云計算實施的虛擬化技術(shù)。67%的受訪者稱,他們在使用服務(wù)器虛擬化、存儲虛擬化和其他形式的IT資產(chǎn)的虛擬化。其中有48%的企業(yè)確實認為它們的信息安全狀況得到了改善,而有42%的企業(yè)認為,他們的安全狀況和以前基本一致。只有10%的企業(yè)稱,虛擬化產(chǎn)生了更多的安全漏洞。
采用云服務(wù),安全可能會改善一些,但是像思科公司云計算與虛擬化經(jīng)理Chris Hoff這樣的專家則認為,企業(yè)和服務(wù)商都需要充分認清楚與技術(shù)、運營以及因技術(shù)而產(chǎn)生的組織變化等因素相關(guān)的各種風險。
“你可以去看看人們是怎么認識虛擬化的,他們對虛擬化的理解要么非常狹窄——基本上就是服務(wù)器的整合、應(yīng)用與操作系統(tǒng)的虛擬化、把所有的東西整合到較少的物理盒子里——要么就涵蓋一切:客戶端桌面、存儲、網(wǎng)絡(luò)、安全等等,”他說。“然后還得加上云計算概念的混淆,你就是撓破頭也想不明白這一切對于企業(yè)來說意味著什么。它們到底會對企業(yè)的基礎(chǔ)設(shè)施造成何種影響?”
幸運的是,有些企業(yè)在這方面還是謹慎從事的。一個例子就是Atmos能源公司,它正在使用Salesforce.com來縮短對客戶的響應(yīng)時間,幫助營銷部門管理越來越龐大的客戶池,Atmos能源的CIO Rich Gius說。
這種努力相當成功,所以Gius正在研究將公司的電子郵件系統(tǒng)放入云中的可行性。“云能夠幫助我們解決日益增加的挑戰(zhàn),比如像黑莓一類的移動設(shè)備在我們的員工中間已相當普及,而移動設(shè)備的郵件服務(wù)就成了個大問題,”他說。但他還沒有準備好邁出這樣的一大步,這就是因為風險問題,包括安全問題,使他還難以驟下決心。一個實例就是今年5月,一批云依賴的企業(yè)就因為Google的大面積斷網(wǎng)而影響到了企業(yè)的業(yè)務(wù)。一旦出現(xiàn)這種情況,很多依靠云應(yīng)用(如e-mail)的企業(yè)就得被嗆個半死。
Google今年5月的斷網(wǎng)事件并非黑客造成的,但是已有種種跡象表明,犯罪分子們正在尋找各種手段以便利用云服務(wù)來實現(xiàn)其險惡目的。就在斷網(wǎng)事件剛剛發(fā)生之后,攻擊者們就用惡意鏈接導致Google搜索結(jié)果紊亂而火上澆了一把油,結(jié)果美國計算機應(yīng)急響應(yīng)中心(U.S.CERT)不得不發(fā)出警示,提醒人們注意云服務(wù)網(wǎng)站的潛在危險。
U.S.CERT稱,這次攻擊是利用了Adobe軟件的漏洞,在肉雞上安裝惡意程序,結(jié)果波及到了數(shù)千個合法網(wǎng)站。該惡意程序會盜取肉雞上的FTP登錄證書,并利用這一證書進一步擴散。它還能劫持肉機上的瀏覽器,用攻擊者們選定的鏈接取代Google的搜索結(jié)果。
IT部門經(jīng)常會因為對物理的和基于云的IT設(shè)施配置不當,很容易留下易于找到的可利用的漏洞,而使攻擊者們更容易施展其攻擊手段。在對企業(yè)虛擬化環(huán)境的潛在弱點一項進行調(diào)查時,36%的受訪者談到了配置不當和實施不當,51%的受訪者提到缺乏訓練有素的IT人員。還有22%的受訪者認為,培訓不足和審計不足是它們公司云計算策略的最大安全危險。
正是覺察到了這一點,而讓Atmos能源的Gius不得不謹慎。“我們沒有首席安全官。假如我們是一家金融服務(wù)公司,或者有大把大把的錢,那情況可能會完全不同,”Gius說。“但我們只是一家中型企業(yè),人才的不足使得這些技術(shù)的實施變得相當困難。”
即便有了好的資源,云中的安全仍然是非常重要的,因為它必須要跨多個平臺去管理各種風險。不存在單一的云,而是“有很多個云,它們彼此之間不存在聯(lián)邦制,在應(yīng)用層上也不會天然地具有互操作性,大多數(shù)都是專屬各自平臺的專門應(yīng)用,”Hoff稱。“大家把內(nèi)容和應(yīng)用都拿出來放在某個建筑在某人的基礎(chǔ)設(shè)施上的公用倉庫里,這種想法其實很不現(xiàn)實。”
普華永道的Lobel認為,完美的安全是不存在的。“在你打算進入云服務(wù)時,就必須積極主動地去關(guān)注安全控制問題,”他說。企業(yè)如果想收回已經(jīng)放任不管的數(shù)據(jù)和應(yīng)用的話,那將是相當困難的,因為他們可能已經(jīng)扔掉了自己的硬件和人才。
“你要是沒有綁一根救生索就一下子潛得很深,你就會發(fā)現(xiàn),你要的水倒是有了,但沒有了救生索你已經(jīng)不可能再浮出水面了,”他說。“一旦發(fā)生違約情況,你想要從云中撤出來該怎么辦?如果不得不撤出的話,你還能回來嗎?”
趨勢三
安全管理內(nèi)包
幾年前,技術(shù)分析師們紛紛預(yù)測說,可管理安全服務(wù)提供商(MSSP)的增長機會不可限量。于是很多企業(yè)便將安全看成為一個外包概念,然而像薩班斯法、健康保險流通與責任法和金融服務(wù)法等法案卻又迫使它們必須解決入侵防范、補丁管理、加密和登錄管理等安全問題。
很多企業(yè)認為他們自己不能做安全,所以要選擇外部企業(yè)來為他們做。Gartner曾經(jīng)在2004年做過預(yù)計,認為僅北美地區(qū)的MSSP市場就可達到9億美元,而2008年這一市場的增長率為18%。
之后,全球經(jīng)濟出現(xiàn)金融海嘯,即便在安全預(yù)算穩(wěn)步增長的情況下,企業(yè)的外包計劃也出現(xiàn)了停滯。盡管今年有31%的受訪者依靠外部企業(yè)幫助他們管理日常的一些安全功能,但卻只有18%的受訪者稱,在未來12個月內(nèi)會優(yōu)先考慮安全外包。
至于說到一些專門的安全功能,變化也已經(jīng)開始。去年,有30%的受訪者稱,他們已將應(yīng)用防火墻的管理外包出去,而今年,這一數(shù)字僅為16%。網(wǎng)絡(luò)外包和終端用戶防火墻外包的受訪者比例也有同等幅度的縮減。受訪者稱,在網(wǎng)絡(luò)互聯(lián)及補丁管理等項目上也都出現(xiàn)了相同的降幅。
與此同時,更多的企業(yè)把錢花在了這樣那樣的安全功能內(nèi)包上。有69%的受訪者稱,他們在應(yīng)用防火墻上的預(yù)算和前兩年相比略有上升。同時,有超過一半的受訪者稱,他們增加了對筆記本電腦和其他計算設(shè)備加密的投入。
Atmos能源的Gius對此現(xiàn)象提出了一個可能的解釋:企業(yè)看到安全市場由于大量的并購而出現(xiàn)了混亂和不確定。比如說,BT收購了Counterpane,IBM收購了互聯(lián)網(wǎng)安全系統(tǒng)等。所以企業(yè)的IT部門的想法很簡單,先置身局外,等整個安全行業(yè)塵埃落定再說。
Gius說,Atmos能源如今要處理大量的企業(yè)內(nèi)部的安全問題。“我們找到了很多開源軟件和低成本的解決方案來自己管理安全,”他說。“我們花錢雇了專人來管理整個網(wǎng)絡(luò)環(huán)境。”但只要資金狀況允許,他還是希望把安全外包出去。在他看來,安全正日益向由微軟、思科和Oracle等廠商,以及Comcast和Verizon等電信運營商所提供的平臺集成。讓這些提供商來管理各自系統(tǒng)的安全才是比較合理的。
SAIC的Beard說,無論是什么因素推動了安全預(yù)算的增加,企業(yè)都應(yīng)該了解各自有差異化的安全戰(zhàn)略,只有這樣,SSP才可能提供獨一無二的價值。明智的企業(yè)高管應(yīng)該明了,他們在任何時候都必須維持對整個企業(yè)的控制,即便有第三方在企業(yè)的諸多層級上進行管理也應(yīng)如此。重要的是要時刻注意SSP以及它們可能遇到的風險。“CIO和安全官員可以把不同層級的一些功能外包出去,但是他們絕不能把自己的責任也外包出去,”Beard如是忠告
趨勢四
企業(yè)的安全意識提高
CIO們雖然仍在為數(shù)據(jù)安全的質(zhì)量不懈努力,但是對今年安全報告的回應(yīng)顯示,CIO的同級別高管們終于開始認同:安全是不能忽略的。
企業(yè)的預(yù)算計劃也說出了部分實情。不僅有更多的企業(yè)在安全技術(shù)上加大了投入,而且總的安全投入大部分都沒有因經(jīng)濟狀況而受到影響。
有12%的受訪者預(yù)計,他們的安全支出在未來12個月內(nèi)會有所縮減。但是有63%的受訪者稱,他們的預(yù)算將會持平或者增加(雖然增加的額度會小于上一年)。
對于新興企業(yè)來說,其中很多企業(yè)都雇傭了CSO或首席信息安全官(CISO)。有85%的受訪者稱,他們的企業(yè)如今都有負責安全的高管,這一比例去年只有56%。只有不到1/3的安全官向CIO報告,35%的安全官直接向CEO報告,28%的安全官直接向董事會報告。
影響企業(yè)將安全視為優(yōu)先考慮項目的因素有兩個:76%的受訪者稱,日益危險的環(huán)境提升了網(wǎng)絡(luò)安全的重要性;另有77%的受訪者稱,越來越棘手的Web監(jiān)管和行業(yè)標準也增強了安全工作的緊迫性。
在受訪者被問到,在嚴峻的經(jīng)濟背景下,各種不同的安全策略的重要性如何時,有70%的受訪者認為數(shù)據(jù)保護越來越重要,而有68%的受訪者認為需要加強公司治理、加強風險管理與合規(guī)性計劃。
奧蘭多大學負責IT安全與合規(guī)性的高級經(jīng)理兼CSO Mauricio Angée指出,“分清職責很重要,企業(yè)在招募IT安全經(jīng)理時,應(yīng)以定義更為明晰的一組原則和責任來要求應(yīng)聘者。”這些原則包括制定企業(yè)的安全策略、爭取安全預(yù)算(而不是由CIO來負責),以及為下屬的IT安全管理員及工程師們指派明確的責任,做到責任到人。
然而上述事態(tài)的發(fā)展并沒有讓企業(yè)的領(lǐng)導人更加關(guān)注信息安全。僅僅因為企業(yè)覺得必須在安全上加大投入,并不意味著管理層就真的把安全視為必要的、甚至是有益的業(yè)務(wù)流程,只是因為環(huán)境使然而不得不做罷了。
Angée說,CIO和安全負責人仍然必須為了爭取每一分錢的預(yù)算而苦苦奮斗。與此同時,安全經(jīng)理們也不像每家企業(yè)的C層領(lǐng)導人那樣有同樣的決策權(quán)。普華永道的Lobel稱,CIO可以招聘一位CSO或者CISO,但是他如果既無法制定安全戰(zhàn)略,又沒有預(yù)算決策權(quán)的話,最后可能會一事無成。Lobel得出結(jié)論說,但是一旦出了安全問題,“所有的人又都會拿CSO說事,指責和抨擊肯定還少不了。”
但是無論怎么說,嚴峻的經(jīng)濟形勢加上更為嚴峻的安全風險的威脅,很多企業(yè)對于安全的重要性,以及CSO的重要性的認識和以往相比,確實是有所提高的。
【編輯推薦】
