根據(jù)上周剛剛發(fā)布的報告稱，隨著企業(yè)內(nèi)應(yīng)用數(shù)量的增加，保持業(yè)務(wù)應(yīng)用的可訪問性和安全性變得越來越困難。該調(diào)查顯示，信息安全專業(yè)人士希望企業(yè)業(yè)務(wù)方面的管理人員更積極地參與應(yīng)用風(fēng)險管理過程。

[[112005]]

網(wǎng)絡(luò)安全政策管理服務(wù)供應(yīng)商AlgoSec公司在其2014年網(wǎng)絡(luò)安全狀態(tài)報告中，采訪了2014年RSA大會上142位安全和網(wǎng)絡(luò)運營專業(yè)人士。該調(diào)查旨在確定受訪者在平衡業(yè)務(wù)關(guān)鍵應(yīng)用的安全和訪問要求時所面臨的挑戰(zhàn)。調(diào)查發(fā)現(xiàn)，企業(yè)內(nèi)部署的應(yīng)用正在急劇增加，60%的受訪者表示他們的企業(yè)有超過50個應(yīng)用需要管理，而20%的受訪者需要負(fù)責(zé)超過500個應(yīng)用。

該報告稱，這些海量應(yīng)用正在給安全和網(wǎng)絡(luò)專業(yè)人士帶來各種挑戰(zhàn)，約有一半的受訪者表示，最大的挑戰(zhàn)是簡單地識別和優(yōu)先排序關(guān)鍵漏洞。

另外，21%的受訪者指責(zé)負(fù)責(zé)這些應(yīng)用的業(yè)務(wù)部門，聲稱他們不愿意或者不能夠解決已經(jīng)發(fā)現(xiàn)的漏洞。另外24%的受訪者表示他們的企業(yè)根本不了解業(yè)務(wù)方面的安全風(fēng)險，讓他們沒有辦法及時修復(fù)漏洞。

總體而言，AlgoSec報告的受訪者中，超過90%的受訪者認(rèn)為企業(yè)利益相關(guān)者應(yīng)該承擔(dān)與應(yīng)用相關(guān)的“自己的風(fēng)險”，而不是將這種風(fēng)險全權(quán)交給安全和網(wǎng)絡(luò)團(tuán)隊負(fù)責(zé)。

AlgoSec公司營銷和戰(zhàn)略副總裁Nimmy Reichenberg同樣認(rèn)為，業(yè)務(wù)領(lǐng)導(dǎo)最終需要負(fù)責(zé)應(yīng)用風(fēng)險管理，并將這些利益相關(guān)者和戶主進(jìn)行類比。戶主可以聘請安全顧問來保護(hù)他們的家不會被盜竊，例如，安全顧問的建議可能是建造一個柵欄、安裝警報系統(tǒng)，或者甚至挖一條護(hù)城河，并在里面喂養(yǎng)鱷魚。他表示，戶主必須權(quán)衡每種安全措施的成本和優(yōu)勢，并將其與入侵實際風(fēng)險進(jìn)行對比。

同樣的道理，Reichenberg表示，“安全從業(yè)人員也應(yīng)該分析這種風(fēng)險，并回答這些問題，你的風(fēng)險的承受能力如何?為了得到更好的保護(hù)，你想要投入多少資金?最后，企業(yè)應(yīng)用所有者需要了解其應(yīng)用的風(fēng)險水平，并確定部署何種措施。”

面對Heartbleed OpenSSL漏洞，非常重要的是強(qiáng)調(diào)這個漏洞的嚴(yán)重性以及及時修復(fù)漏洞的必要性，但安全專業(yè)人員也應(yīng)該讓決策者了解該漏洞存在于業(yè)務(wù)關(guān)鍵性web服務(wù)器還是不會造成太大影響的服務(wù)器中。Reichenberg表示，由于大型企業(yè)可能會有數(shù)百臺web服務(wù)器，提供這些信息能使企業(yè)領(lǐng)導(dǎo)者做出更明智的安全決策，并且，在Heartbleed的情況下，這允許安全團(tuán)隊優(yōu)先考慮為有漏洞的服務(wù)器安裝補(bǔ)丁。

“這只是一個漏洞。如果你見過漏洞掃描儀的結(jié)果，你會看到幾十萬漏洞，幾乎超過你的能力范圍，”Reichenberg表示，“我們的想法是，拿著一個業(yè)務(wù)應(yīng)用，并說‘這個應(yīng)用存在整體水平的風(fēng)險’，如果這種風(fēng)險超過企業(yè)的承受閾值，那么，你需要采取一些行動。”