在2014年數(shù)據(jù)安全事故大爆發(fā)之后，企業(yè)的安全戰(zhàn)略發(fā)生了什么變化?更多的資金投入、更嚴格的監(jiān)控和更全面的員工培訓，其實都僅僅是些規(guī)定動作而已。

J.P.摩根、Target(大型零售商)、Home Depot、EBay、索尼……在最近幾個月內(nèi)，以上述企業(yè)為代表，很多大公司都發(fā)生了大規(guī)模的數(shù)據(jù)安全事故，付出了昂貴的代價，并且給企業(yè)名譽帶來了極大的傷害。

盡管業(yè)界對2014年發(fā)生的數(shù)據(jù)安全事故還沒有很明確的統(tǒng)計結(jié)果(很多程度較輕的入侵和泄露事件并未被記錄或報告)，根據(jù)Identity Theft Resource Center的調(diào)查，2014年媒體和政府報道過的數(shù)據(jù)安全事故共有783起。相比于去年，這個數(shù)字上升了27.5%。

能安然入眠的CIO，是神一般的存在

“每天晚上睡覺前，我都要確認下手機沒有被調(diào)成震動模式。我必須保持24小時待命的狀態(tài)。”Mediaocean(總部位于紐約的一家廣告服務(wù)公司)的首席信息官Don Baker表示：“對于安全和數(shù)據(jù)泄露，人們的焦慮感越來越重。原因不僅是安全事故數(shù)量的上升，還因為最近這類攻擊的水平也顯著提升。”

當黑客們嘗試一切辦法突破傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)時，Baker和其他CIO們一樣，也開始重新評估自身的安全戰(zhàn)略，希望通過不斷的改進來應對層出不窮的網(wǎng)絡(luò)犯罪行為。“在當今這個快速變化的世界，不能因循守舊，必須主動改變。”Baker表示。

在最近由EiQ Networks所做的一個調(diào)查中，90%的來自于各行各業(yè)的CIO和IT專家們都表示，數(shù)據(jù)安全是首要需要關(guān)注的事情。同時，在145位IT決策者中，只有21%在安全事故防范上對自己的系統(tǒng)抱有信心，只有31%表示在網(wǎng)絡(luò)安全方面有完善的應對流程，只有15%表示企業(yè)已經(jīng)在數(shù)據(jù)安全方面有了充分的準備。

這種對于數(shù)據(jù)安全的信心缺失并不意外。如今，這方面的責任是如此重大。舉例來說，單憑這幾年出現(xiàn)的大量軟件和硬件設(shè)備就足以令人頭疼。丟失一個記錄有1000個社會安全號的筆記本，就會引起高度的關(guān)注。

“如今，我們有了云、社交媒體、Web服務(wù)和移動技術(shù)。還有，雨后春筍般冒出來的各種設(shè)備。”Appian Corp.(業(yè)務(wù)流程管理軟件開發(fā)商)的首席技術(shù)官Michael Beckley表示：“IT可能遭受的攻擊點更多了，防不勝防。”

根據(jù)安全研究公司Poneman Institute的調(diào)查，令人欣慰的是，很多CEO和其他高管都意識到了這個問題，給IT組織投入了更多的資金和人力。

“Target發(fā)生的事情引起了廣泛的關(guān)注，給所有IT組織敲響了警鐘。”Poneman Institute的創(chuàng)始人Larry Ponemon說：“所有人都看到了，這類事故給客戶忠誠度帶來了多大的沖擊。很多企業(yè)開始意識到自己做的遠遠不夠。根據(jù)我們的調(diào)查，CIO們都已經(jīng)開始行動起來加強這方面的工作。”

通過調(diào)查表明，為了保護數(shù)據(jù)安全，IT領(lǐng)袖們正在開始引入更多的工具并對安全流程進行改進。他們的安全戰(zhàn)略多管齊下，包括行為數(shù)據(jù)監(jiān)測系統(tǒng)、設(shè)備加密、用戶監(jiān)控、員工培訓。另外，還包括研究已發(fā)生的安全事故，以此防止其他公司所犯的錯誤在自己身上重演。

監(jiān)控用戶行為

Gartner的研究副總裁Jay Heiser表示，監(jiān)控是CIO們急需加強的環(huán)節(jié)。很多企業(yè)過去只是忙著切斷隱患通道，而不是去主動監(jiān)測通道上發(fā)生的一切。

“傳統(tǒng)上，人們都覺得在門上多加幾把鎖會更有效。但是，如果有人從窗戶里進來怎么辦?”Heiser舉例說：“如果說2014數(shù)據(jù)安全事故的集中爆發(fā)帶來了什么變化，就是人們充分認識到了主動監(jiān)控的重要性。”

有些企業(yè)已經(jīng)受益于入侵行為發(fā)現(xiàn)技術(shù)，后者可以監(jiān)測到用戶帶有惡意的行為。IT首先要知道什么行為模式是正常的，然后才能識別異常進而檢測是否有入侵發(fā)生。

“如果通常一周有5000次用戶登錄，近期這個數(shù)字突然變成15000，你就應該好好調(diào)查下發(fā)生了什么。”Mediaocean的Baker解釋到。

過去，正常行為模式中一個小的尖峰凸起很可能被管理員忽略。但是，現(xiàn)在CIO們會在遠程監(jiān)測這種異常。很多時候，這樣做并不是為了防止或化解明顯的攻擊，而是為了發(fā)現(xiàn)潛在的高級攻擊行為。

“當出現(xiàn)異常時，你不能就是說‘哦，看看它下次什么時候出現(xiàn)’。你必須要想到這可能是有人正在進行攻擊，然后采取相應的措施。”Baker說。

員工培訓：保持警覺、及時匯報

根據(jù)事后排查結(jié)果，有些安全事故是由于員工的不規(guī)范或不謹慎行為導致的。企業(yè)安全措施的很大一部分就是對員工進行培訓，使之對于自己在網(wǎng)上的行為保持足夠的警覺。

專家表示，即便對一封來自于不常聯(lián)系的同事或合作伙伴的電子郵件，都應該保持警惕，尤其是當對方要求打開附件或提供敏感信息時。當收到這類或其他可疑的電子郵件時，員工應主動聯(lián)系IT部門。因此，需要對員工進行培訓，但不要期望僅憑短期的培訓就能夠建立起這種警覺。

“你不可能在一個禮拜甚至一個月內(nèi)就教會員工這些。但是，如果每天都被灌輸一點，慢慢就會變成習慣。”一位來自于某安全公司的IT經(jīng)理表示。這家公司為客戶提供這方面的培訓軟件，幫助客戶的員工建立安全的行為規(guī)范。

這些用于消減內(nèi)部威脅的措施不能僅限于員工隊伍。同很多CIO一樣，Appian的Beckley也開始把企業(yè)顧問和合同工納入進來 – 這些人同樣能夠在不同級別上對企業(yè)系統(tǒng)進行訪問。對于那些臨時性的員工(包括即將離職的員工)，必須禁止他們在離開后訪問系統(tǒng)。

“當這些人訪問系統(tǒng)時，必須有嚴格的流程控制和身份認證。當他們離開后，必須廢除密碼，撤銷訪問授權(quán)。”Beckley說。

一家網(wǎng)絡(luò)安全初創(chuàng)公司(專注于開發(fā)企業(yè)服務(wù)點威脅監(jiān)測工具)發(fā)現(xiàn)，對員工進行企業(yè)安全風險培訓的最佳途徑是先教會他們保護自己，比如在社交網(wǎng)絡(luò)發(fā)言、網(wǎng)絡(luò)購物和打開電子郵件時該注意哪些事情。

“最主要的就是當你上網(wǎng)瀏覽、打開郵件和點擊鏈接時，清楚了解自己正在做的事情，知道可能存在的安全隱患，”該公司的CIO說：“如果員工能在家里時也有保護個人隱私的概念，那么在工作中就可以自覺保護公司信息。”

遠程訪問和數(shù)據(jù)加密

IT領(lǐng)袖們認為，員工在移動技術(shù)的使用方面也應該有足夠的謹慎。比如，不要在處理公司敏感數(shù)據(jù)時通過公共WiFi訪問互聯(lián)網(wǎng)。這類警覺性對IT員工來說是應有之義，但對那些已經(jīng)習慣于用智能手機來處理個人事務(wù)員工來說則需要加強。

Baker表示，他禁止員工在公司以外將數(shù)據(jù)下載到遠程設(shè)備上。

“員工無法通過自己的設(shè)備直接連接到公司的系統(tǒng)。”Baker說：“盡管可以看到相應的界面，但是此時設(shè)備只相當于一個啞終端，無法進行數(shù)據(jù)的交互。”

對于那些有遠程訪問企業(yè)系統(tǒng)的公司來說，設(shè)備加密的辦法正逐漸流行，以此保證數(shù)據(jù)內(nèi)容的不可訪問。而且，IT團隊還能遠程擦除或剔除一個遺失或被竊的設(shè)備。

Appian的Beckley認為，毫無疑問，數(shù)據(jù)加密肯定比用密碼登陸更為安全，后者密碼容易丟失和被復制：“個人密碼就是夢魘一場，遲早要被拋棄。我們需要的是諸如指紋類的生物認證，以及對設(shè)備的加密。”

借助外部的力量

很多公司，尤其是那些沒法雇用專職IT專家的中小企業(yè)，正在從第三方安全服務(wù)提供商處尋求幫助。

Baker表示，Mediaocean引入了一家專業(yè)公司提供入侵檢測和其他安全防護技術(shù)，該公司還會定期在受控模式下嘗試對Mediaocean的系統(tǒng)進行攻擊測試。

“他們會試圖找到那些存在于公網(wǎng)上的漏洞。”Baker解釋到：“我強烈認為不應該由企業(yè)自己進行測試，而是要找第三方公司來做，因為他們才是整天和數(shù)據(jù)安全打交道的人。”

據(jù)Beckley所稱，Appian的很多客戶在推進代碼定制項目，同時結(jié)合其他平臺技術(shù)和云計算技術(shù)，以此達成減少內(nèi)部漏洞的目的。除此之外，這樣做還能有效控制外部廠商和合作伙伴對敏感系統(tǒng)的訪問。

“每當程序員完成一行代碼，可能就增加了一個新的漏洞。”Beckley表示：“盡管平臺并非完美無缺，但畢竟是一種簡化系統(tǒng)、消除潛在隱患的途徑。”

災備規(guī)劃

CIO們知道完全防止攻擊幾乎是不可能的，因此，制定事故發(fā)生之后的應對計劃是必須的。

“不要天真地以為能夠完全預防事故發(fā)生，你必須假定它在某一時刻會發(fā)生。”Baker說：“于是，除了盡量預防之外，你還需要在攻擊發(fā)生之后加以應對并把損失降低到最小程度。這一點與過往大不相同，以前你可能會在這方面缺乏事前的規(guī)劃。如今，必須要制定事后補救的措施。”

Heiser認為，在針對數(shù)據(jù)事故做規(guī)劃時，無須太在意問題發(fā)生的原因，重點要關(guān)注如何處理應對。

“業(yè)務(wù)連續(xù)性規(guī)劃的好處就在于你不用去預測，不管是洪水、黑客或外星人造成了服務(wù)的中斷，你的關(guān)注點始終都是評估損失以及如何讓業(yè)務(wù)盡快恢復。”Heiser說。

當網(wǎng)絡(luò)攻擊發(fā)生之后，對其的清除通常會造成業(yè)務(wù)的中斷，尤其是當企業(yè)不得不暫時停止運轉(zhuǎn)時。

根據(jù)Ponemon Institute(專注于數(shù)據(jù)保護、隱私泄露和網(wǎng)絡(luò)安全方面的研究機構(gòu))的評估，數(shù)據(jù)泄露所導致的損失在去年上升了23%。平均來說，每次遭受攻擊之后，一個大型企業(yè)需要花31天，平均每天2萬美元來清除威脅和修復系統(tǒng)。

“這是一個非常復雜的過程，有時不得不聘請外部的專家進行協(xié)助。”Ponemon說。

有些損失是顯而易見的，比如調(diào)查事故和通知客戶的成本，而且企業(yè)還讓自身名譽和未來前途受損，當業(yè)務(wù)恢復時間過長時還需要對客戶進行賠償。鑒于時間也是成本之一，Ponemon的CIO建議在連續(xù)性規(guī)劃中要有如下規(guī)定，哪些應用在攻擊發(fā)生時必須停止，而哪些應用則可以繼續(xù)運行。

“以汽車的構(gòu)造為例，如果發(fā)生了車禍，前擋板可能會被撞壞，但是乘客的生命則被挽救了。同理可推，在事故發(fā)生時，你需要舍得放棄一些東西。”這位CTO解釋到。他所在的企業(yè)就是這么做的，在需要時將關(guān)鍵的應用隔離出來，其他部分則當成汽車的前擋板即可。

“如何才能關(guān)掉部分系統(tǒng)，讓入侵者獲取控制權(quán)但無法再進一步滲透?這就看你如何進行系統(tǒng)分解來做到帶問題運轉(zhuǎn)了。”他說。

對未知的恐懼

到底IT安全防護的難度在哪，甚至導致企業(yè)領(lǐng)袖都會為之焦慮。原因就在于未知性：不知道安全事故是否發(fā)生，即便近在咫尺也是如此。

“數(shù)據(jù)安全事故猶如頭頂懸劍，不知道什么時候會落下來。大多數(shù)的數(shù)據(jù)泄露其實沒有被發(fā)現(xiàn)。”Heiser表示。

根據(jù)Ponemon Institute調(diào)查，發(fā)現(xiàn)一個數(shù)據(jù)安全事故平均需要170天，如果有內(nèi)部人員的參與，這個時間會延長到260天。

“有些內(nèi)部人員會竊取數(shù)據(jù)，而你很難發(fā)現(xiàn)他們。”Ponemon說：“有些公司從來都沒察覺信息被泄露了。”

因此，CIO和其IT團隊需要花足夠的資源(時間、金錢和精力)去調(diào)查其他公司發(fā)生的安全事故，從而以此為鏡，清查自身的漏洞，防止自己成為下一次數(shù)據(jù)泄密新聞的主角。

CIO們都承認，新的技術(shù)和對安全行為模式的強制培養(yǎng)肯定能幫助保護數(shù)據(jù)安全。但是，這些IT領(lǐng)袖也強調(diào)，沒有任何系統(tǒng)能夠完全防止錯誤的發(fā)生。Appian的Beckley認為，在安全領(lǐng)域，沒有萬能的靈丹妙藥。

“我們永遠不能放松，這些安全事故時刻提醒我們要抱有謹慎的態(tài)度，進行持續(xù)的監(jiān)控和預防。”他說：“這就是一場軍備競賽，永遠沒有贏家，只有盡可能不成為失敗的一方。”