Kevin Beaver是Principle Logic LLC的創(chuàng)始人和首席顧問，他有16年的IT和信息安全的工作經(jīng)驗(yàn)。在進(jìn)入信息安全服務(wù)行業(yè)前，他的工作曾經(jīng)涉及衛(wèi)生保健、電子商務(wù)、金融和教育行業(yè)的信息技術(shù)和安全。他擅長的領(lǐng)域包括網(wǎng)絡(luò)和無線網(wǎng)絡(luò)安全、信息安全評估和事故回應(yīng)。 Kevin是Technology Association of Georgia的Information Security Society創(chuàng)始人和主席，而且是幾家大學(xué)和企業(yè)的IT顧問團(tuán)成員。他在Southern Polytechnic State University獲得了計算機(jī)工程技術(shù)的碩士學(xué)位，在Georgia Tech獲得技術(shù)管理的博士學(xué)位。Kevin還獲得了CISSP、MCSE、Master CNE和IT Project+等證書。

根據(jù)最近Dimension Data的調(diào)查顯示，超過半數(shù)的網(wǎng)絡(luò)設(shè)備要么正在老化要么已經(jīng)過時，這意味著它們構(gòu)成了安全風(fēng)險。那么，企業(yè)該如何將設(shè)備的年齡(以及供應(yīng)商提供的支持水平)納入考慮范圍內(nèi)，以評估其安全性呢?

Kevin Beaver：這確實(shí)是個有意思的發(fā)現(xiàn)，而且這個數(shù)據(jù)很大，這與現(xiàn)在企業(yè)中仍然存在已不受支持的Windows XP屬于類似的情況。

我認(rèn)為現(xiàn)階段我們看到的是網(wǎng)絡(luò)和IT的成熟化，與此同時也看到了用于解決相關(guān)安全漏洞的解決方案的停滯化。這突出了信息安全面臨的兩個長期挑戰(zhàn)：

1. 缺乏基于風(fēng)險的方法

2. 管理層沒有提供足夠的支持和預(yù)算來部署必要的系統(tǒng)

有些人可能認(rèn)為，當(dāng)你從大視角來看時，這些網(wǎng)絡(luò)設(shè)備問題只是行進(jìn)道路中的小顛簸。但只有你了解自身的具體情況。這些道路顛簸不僅會讓你無法確保安全性，還可能打亂你的計劃以致其最終失敗。想想Heartbleed、拒絕服務(wù)攻擊等，當(dāng)網(wǎng)絡(luò)系統(tǒng)不安全時，會發(fā)生不好的事情。這也許不會直接導(dǎo)致信息丟失，但可能會讓你的網(wǎng)絡(luò)崩潰。

在安全風(fēng)險評估中，不僅需要考慮設(shè)備的年齡，還應(yīng)該考慮它給網(wǎng)絡(luò)和企業(yè)整體帶來的風(fēng)險水平。這應(yīng)該包括已知的和易于利用的漏洞，無論制造商是否仍然提供更新，以及你的維護(hù)協(xié)議是否已經(jīng)到期。攻擊者可能利用一切事物，包括老舊的路由器、交換機(jī)和看似牢靠的防火墻。

現(xiàn)在還存在的問題是，很多企業(yè)網(wǎng)絡(luò)中已經(jīng)過時的物理安全系統(tǒng)可能被攻擊者利用。你應(yīng)該找出安全問題，然后采取適當(dāng)?shù)拇胧﹣聿渴鹧a(bǔ)償控制，否則，你將不得不面臨相應(yīng)的風(fēng)險。當(dāng)然，這些也可能并不會成為問題，但還是要做好未雨綢繆，以確保管理層作出最后的決定。