如今,很多企業(yè)不得不接受的技術(shù)也在給企業(yè)帶來嚴重的安全風險。例如像Twitter、Facebook和LinkedIn等社交網(wǎng)站,一方面提高了工作效率,可以幫助企業(yè)客戶進行更密切地溝通,但另一方面,它們也更容易導致客戶數(shù)據(jù)與企業(yè)秘密的外泄。
虛擬化和云計算也一樣,一方面可以簡化企業(yè)的IT基礎設施,降低成本,但另一方面又在引入無盡的安全風險。把更多的基礎設施放入云中,就意味著你把更多的漏洞暴露給了黑客,他們可以通過發(fā)起針對Google、Yahoo和其它互聯(lián)網(wǎng)服務商的DoS攻擊而輕松地擊垮你的企業(yè)網(wǎng)絡服務。今年初,Google的大面積崩潰已經(jīng)說明,破壞云服務,就可以達到讓依靠云服務的企業(yè)受損的目的。
當然,好消息也不是沒有。盡管數(shù)十年來最嚴重的經(jīng)濟衰退迫使企業(yè)縮減外包安全服務預算,自己得做更多的事情,但是企業(yè)的整體安全預算并未出現(xiàn)大幅縮減,有的甚至出現(xiàn)了增加;而且很多企業(yè)開始招聘首席安全官(CSO)。
這些好消息來自CIO和CSO委托普華永道所做的年度《全球信息安全報告》。該報告調(diào)查了全球各行各業(yè)大約7300位組織機構(gòu)、商業(yè)企業(yè)與技術(shù)企業(yè)的高管,涉及政府、醫(yī)療、金融服務于零售業(yè)等等。
報告所顯示的一些趨勢對于企業(yè)制定信息安全規(guī)劃會有所幫助。“所有的企業(yè)都在擔憂如何保護他們的數(shù)據(jù),尤其是客戶的數(shù)據(jù),”科學應用國際公司(SAIC)的CIO Charles Beard說。“按照傳統(tǒng)的業(yè)務模式,所有人都得聚在同一地理區(qū)域內(nèi)的同一間辦公樓內(nèi)辦公。而如今,所有人都在使用互聯(lián)網(wǎng)和移動設備彼此連接。這正是社交網(wǎng)絡大顯身手的地方。然而從另一方面看,我們也被暴露在了網(wǎng)絡空間的黑暗面中。顯然,在采用社交網(wǎng)絡之前就必須保障有適當?shù)陌踩⒛軌蛴行У乜刂骑L險。”
趨勢一
社交網(wǎng)絡希望與風險
在不到兩年的時間里,社交網(wǎng)絡已經(jīng)從一種純粹好奇的事物變成了很多人的一種生活方式。如果某人想要更新他在Twitter、Facebook或LinkedIn上的狀態(tài),他一般會在工作時間進行,或者晚上回家用公司的筆記本計算機更新。
是什么讓IT管理人員感到焦灼呢?是因為用戶們在通過社交網(wǎng)絡相互告知他們午飯吃什么的時候可能會很容易地就把公司的一些敏感的活動信息透露出去了。網(wǎng)絡黑客們一旦知道了這些,就會利用社交網(wǎng)絡來發(fā)布網(wǎng)絡釣魚垃圾郵件。在一種比較流行的攻擊方式中,黑客們會給他們選定的犧牲者發(fā)送一些似乎是來自其Facebook朋友的信息。這位所謂的“朋友”可能會發(fā)送一個網(wǎng)址,還會要求你點擊該網(wǎng)址。該網(wǎng)址乍看好像只是有關(guān)某位名人,比如說邁克爾?杰克遜之死的新聞報道,或者推薦一些股票。但實際上,該鏈接卻會將犧牲者帶入一個可疑的網(wǎng)站,該網(wǎng)站會自動將惡意軟件下載到犧牲者的計算機上。然后,該惡意軟件便有可能盜走任何有價值的數(shù)據(jù),更有甚者還可能盜走企業(yè)網(wǎng)絡中的數(shù)據(jù),比如客戶的信用卡號或者某種治療癌癥的新藥物的配方。
于是我們毫不奇怪,為何所有接受調(diào)查的IT經(jīng)理們都承認,他們很擔心社交工程學類的攻擊。45%的受訪者尤其擔心針對Web 2.0應用的釣魚陰謀。
然而對于很多企業(yè)的管理者來說,封堵社交網(wǎng)絡又是不可能的,因為社交網(wǎng)絡會帶來潛在的商業(yè)利益。企業(yè)中的大多數(shù)人都在極力要求能夠讓他們透過這些網(wǎng)站進行溝通,因此對于CIO們來說,最大的挑戰(zhàn)就在于怎樣在安全與可用性之間找到平衡點。
“很多人在到底應該與他人分享多少信息這一點上還是極其幼稚的,而我們必須要做的事情就是教育他們怎樣分享信息纔是適當?shù)模逼斩纱髮W主管信息服務的副校長Frank Cervone時候。“我們必須做的事情就是要提高人們的認識,分清楚哪些內(nèi)部信息是不能與外人分享的。”
不過Cervone也指出,在大學環(huán)境中,鼓勵人們通過社交網(wǎng)絡去進行溝通也是非常重要的。即使在商業(yè)環(huán)境下,他也不認為組織機構(gòu)應禁止人們使用社交網(wǎng)絡。
在今年的安全報告中,我們首先詢問了人們對于社交媒體的看法,只有23%的受訪者稱,他們所采取的安全措施中包括了防范Web 2.0技術(shù)的手段,并且對內(nèi)部人士在社交網(wǎng)絡所發(fā)布的內(nèi)容進行了控制。一個積極的信號是:每年都有越來越多的企業(yè)有專人負責監(jiān)測員工們使用各種在線資源的情況––今年的這一比例為57%,去年為50%,2007年為40%。有36%的受訪者會監(jiān)控其員工們在外部博客及社交網(wǎng)站上所發(fā)布的信息。
為了避免敏感信息外泄,有65%的企業(yè)使用Web內(nèi)容過濾以保障企業(yè)數(shù)據(jù)能夠不逸出防火墻之外,有62%的企業(yè)能夠確保他們所使用的瀏覽器是最安全的版本。40%的企業(yè)稱,在評估各種安全產(chǎn)品時,對于Web 2.0技術(shù)的支持及兼容性是必不可少的。
然而不幸的是,社交網(wǎng)絡的不安全性并非是一個可以用技術(shù)來解決的問題,普華永道負責安全實踐的一位合伙人Mark Lobel說。
“這一問題屬于文化層面而非技術(shù)層面。問題在于企業(yè)應教育員工如何聰明地使用這些網(wǎng)站,”他說。“從傳統(tǒng)上看,人們一般都是通過技術(shù)路徑而非社會學路徑來獲取安全的。所以要想在這一點上尋找到正確的安全均衡,還有很長的路要走。”
華盛頓州小區(qū)與技術(shù)學院的安全管理負責人Guy Pace稱,他的組織就采取了上面提到的多種安全手段。但他也同意Lobel的觀點,認為真正的安全陣地在于辦公室文化,而非技術(shù)領(lǐng)域。“最有效的緩解手段就是教育使用者,并創(chuàng)設有效的安全意識程序,”他說。
趨勢二
零計算的風險
既然維護物理的IT基礎設施是很費錢的,那么用云服務來取代機房與繁雜應用的想法就顯得非常誘人,很多企業(yè)都很難抵制住這種誘惑。然而,匆匆忙忙地闖入云中而沒有采取任何安全策略,那也是極其危險的。
根據(jù)報告,有43%的受訪者正在使用云服務,例如SaaS或者IaaS(基礎設施作為服務)。更多的企業(yè)在投資有助于云計算實施的虛擬化技術(shù)。67%的受訪者稱,他們在使用服務器虛擬化、存儲虛擬化和其它形式的IT資產(chǎn)的虛擬化。其中有48%的企業(yè)確實認為它們的信息安全狀況得到了改善,而有42%的企業(yè)認為,他們的安全狀況和以前基本一致。只有10%的企業(yè)稱,虛擬化產(chǎn)生了更多的安全漏洞。
采用云服務,安全可能會改善一些,但是像思科公司云計算與虛擬化經(jīng)理Chris Hoff這樣的專家則認為,企業(yè)和服務商都需要充分認清楚與技術(shù)、運營以及因技術(shù)而產(chǎn)生的組織變化等因素相關(guān)的各種風險。
“你可以去看看人們是怎么認識虛擬化的,他們對虛擬化的理解要么非常狹窄––基本上就是服務器的整合、應用與操作系統(tǒng)的虛擬化、把所有的東西整合到較少的物理盒子里––要么就涵蓋一切:客戶端桌面、存儲、網(wǎng)絡、安全等等,”他說。“然后還得加上云計算概念的混淆,你就是撓破頭也想不明白這一切對于企業(yè)來說意味著什么。它們到底會對企業(yè)的基礎設施造成何種影響?”
幸運的是,有些企業(yè)在這方面還是謹慎從事的。一個例子就是Atmos能源公司,它正在使用Salesforce.com來縮短對客戶的響應時間,幫助營銷部門管理越來越龐大的客戶池,Atmos能源的CIO Rich Gius說。
這種努力相當成功,所以Gius正在研究將公司的電子郵件系統(tǒng)放入云中的可行性。“云能夠幫助我們解決日益增加的挑戰(zhàn),比如像黑莓一類的移動設備在我們的員工中間已相當普及,而移動設備的郵件服務就成了個大問題,”他說。但他還沒有準備好邁出這樣的一大步,這就是因為風險問題,包括安全問題,使他還難以驟下決心。一個實例就是今年5月,一批云依賴的企業(yè)就因為Google的大面積斷網(wǎng)而影響到了企業(yè)的業(yè)務。一旦出現(xiàn)這種情況,很多依靠云應用(如e-mail)的企業(yè)就得被嗆個半死。
Google今年5月的斷網(wǎng)事件并非黑客造成的,但是已有種種跡像表明,犯罪分子們正在尋找各種手段以便利用云服務來實現(xiàn)其險惡目的。就在斷網(wǎng)事件剛剛發(fā)生之后,攻擊者們就用惡意鏈接導致Google搜索結(jié)果紊亂而火上澆了一把油,結(jié)果美國計算器應急響應中心(U.S.CERT)不得不發(fā)出警示,提醒人們注意云服務網(wǎng)站的潛在危險。
U.S.CERT稱,這次攻擊是利用了Adobe軟件的漏洞,在肉雞上安裝惡意程序,結(jié)果波及到了數(shù)千個合法網(wǎng)站。該惡意程序會盜取肉雞上的FTP登錄證書,并利用這一證書進一步擴散。它還能劫持肉機上的瀏覽器,用攻擊者們選定的鏈接取代Google的搜索結(jié)果。
IT部門經(jīng)常會因為對物理的和基于云的IT設施配置不當,很容易留下易于找到的可利用的漏洞,而使攻擊者們更容易施展其攻擊手段。在對企業(yè)虛擬化環(huán)境的潛在弱點一項進行調(diào)查時,36%的受訪者談到了配置不當和實施不當,51%的受訪者提到缺乏訓練有素的IT人員。還有22%的受訪者認為,培訓不足和審計不足是它們公司云計算策略的最大安全危險。
正是覺察到了這一點,而讓Atmos能源的Gius不得不謹慎。“我們沒有首席安全官。假如我們是一家金融服務公司,或者有大把大把的錢,那情況可能會完全不同,”Gius說。“但我們只是一家中型企業(yè),人纔的不足使得這些技術(shù)的實施變得相當困難。”
即便有了好的資源,云中的安全仍然是非常重要的,因為它必須要跨多個平臺去管理各種風險。不存在單一的云,而是“有很多個云,它們彼此之間不存在聯(lián)邦制,在應用層上也不會天然地具有互操作性,大多數(shù)都是專屬各自平臺的專門應用,”Hoff稱。“大家把內(nèi)容和應用都拿出來放在某個建筑在某人的基礎設施上的公用倉庫里,這種想法其實很不現(xiàn)實。”
普華永道的Lobel認為,完美的安全是不存在的。“在你打算進入云服務時,就必須積極主動地去關(guān)注安全控制問題,”他說。企業(yè)如果想收回已經(jīng)放任不管的數(shù)據(jù)和應用的話,那將是相當困難的,因為他們可能已經(jīng)扔掉了自己的硬件和人纔。
京公網(wǎng)安備 11010802036102號北京金支點技術(shù)服務有限公司保留所有權(quán)利 | Copyright ? 2005-2025 Beijing Golden Point Outsourcing Service Co., Ltd. All Rights Reserved.