鑒于如今不斷進(jìn)化的威脅態(tài)勢(shì)，公司企業(yè)希望采取積極主動(dòng)的威脅應(yīng)對(duì)方式，創(chuàng)建持續(xù)合規(guī)的環(huán)境，擁有響應(yīng)良好的IT運(yùn)營過程，是無可厚非的。誰不想減小風(fēng)險(xiǎn)暴露面和攻擊界面?誰不想能檢測(cè)并響應(yīng)高級(jí)威脅?誰不想降低安全運(yùn)營開銷?

[[170708]]

現(xiàn)實(shí)卻是：各種各樣的壓力阻礙著公司企業(yè)實(shí)現(xiàn)這些目標(biāo)，而且這些壓力還不會(huì)很快消失。多家商業(yè)及公共機(jī)構(gòu)的安全實(shí)踐負(fù)責(zé)人和高管，就最優(yōu)化安全及合規(guī)項(xiàng)目，綜合出了5條必須應(yīng)對(duì)的挑戰(zhàn)。

挑戰(zhàn) #1：數(shù)據(jù)泄露那為人所知的影響

看起來無窮無盡不斷登上新聞?lì)^條的數(shù)據(jù)泄露事件，讓公司企業(yè)，包括高管和董事管理層，都意識(shí)到了安全的重要性，也感受到了可能成為下一個(gè)受害者的恐懼。

去年，《Tripwire》調(diào)查中82%的受訪者認(rèn)為自家公司會(huì)遭遇數(shù)據(jù)泄露。ISACA和RSA的聯(lián)合調(diào)查也表明，78%的董事會(huì)如今對(duì)計(jì)算機(jī)安全十分在意。

這種高度關(guān)注，部分是由于計(jì)算機(jī)犯罪造成的損失。據(jù)美國戰(zhàn)略與國際問題研究中心估計(jì)，計(jì)算機(jī)犯罪每年造成的損失高達(dá)4450億美元。很不幸，隨著公司企業(yè)處理和存儲(chǔ)更多的信息，隨著網(wǎng)絡(luò)犯罪愈加流行且影響越來越大，這個(gè)數(shù)字也會(huì)水漲船高。

網(wǎng)絡(luò)犯罪在頻度、影響和復(fù)雜性上持續(xù)升級(jí)，公司企業(yè)無論規(guī)模和產(chǎn)業(yè)，均受其威脅。一起數(shù)據(jù)泄露或網(wǎng)絡(luò)入侵事件，就可以致使公司企業(yè)損失客戶、利潤和信譽(yù)，遭遇運(yùn)營持續(xù)性的傷害和數(shù)據(jù)完整性質(zhì)疑。對(duì)某些公司而言，這些損失的程度可以從慘痛到完全不可恢復(fù)。

挑戰(zhàn) #2：技術(shù)缺口

引發(fā)數(shù)據(jù)泄露損失上升的驅(qū)動(dòng)因素之一，就是持續(xù)升溫的信息安全技術(shù)缺口問題。

上文提及的ISACA/RSA調(diào)查中，52.44%的受訪者覺得自家公司員工中只有不到1/4是稱職的。這些受訪者同時(shí)指出，安全實(shí)踐者理解業(yè)務(wù)的能力是最大的技術(shù)缺口。

該問題給公司企業(yè)帶來了很嚴(yán)重的風(fēng)險(xiǎn)。如果安全實(shí)踐者不能完全理解他們業(yè)務(wù)的本質(zhì)，安全和業(yè)務(wù)負(fù)責(zé)人就無法看清每個(gè)資產(chǎn)在支持公司使命方面所起的作用。這意味著他們領(lǐng)會(huì)不到保護(hù)每個(gè)資產(chǎn)的相關(guān)業(yè)務(wù)重要性，而這將會(huì)影響到他們減少威脅緩解風(fēng)險(xiǎn)的能力。

而且，盡管業(yè)務(wù)純熟的專業(yè)人士如今或許炙手可熱，也掩蓋不了信息安全從業(yè)者人數(shù)不足這個(gè)簡單而殘酷的事實(shí)。2014年的一項(xiàng)調(diào)查估測(cè)，全球安全專業(yè)人士崗位需求425萬個(gè)，但只有225萬名從業(yè)者活躍在這一領(lǐng)域。

技術(shù)缺口還給公司企業(yè)帶來了雙重風(fēng)險(xiǎn)。不僅僅是信息安全從業(yè)者短缺，有經(jīng)驗(yàn)的管理人才更是稀缺。只要還想撐住自己的數(shù)據(jù)安全，公司企業(yè)必須直面招聘和技術(shù)缺口的挑戰(zhàn)。

挑戰(zhàn) #3：終端爆炸式增長

很久以前，網(wǎng)絡(luò)設(shè)計(jì)者仔細(xì)思考過以太網(wǎng)連上烤箱的前景。在當(dāng)時(shí)，這只能是個(gè)笑談，但如今，技術(shù)已經(jīng)證明或者即將表明，所有事物都可以通過網(wǎng)絡(luò)來連接、訪問、提供服務(wù)，或者加以控制。聯(lián)網(wǎng)設(shè)備及資產(chǎn)的大爆炸，引入了增量擴(kuò)張問題，讓大多數(shù)早期安全和合規(guī)模型及預(yù)測(cè)難堪重任。當(dāng)前比以往任何時(shí)候都需要有經(jīng)驗(yàn)的安全人士來護(hù)衛(wèi)現(xiàn)代IT環(huán)境中五花八門的大量終端設(shè)備，而且未來這些設(shè)備還會(huì)只多不少。

這與1992年IT從業(yè)人士可以用殺毒軟件抵御大多數(shù)數(shù)字威脅的情況不是一個(gè)級(jí)別的。但根據(jù)思科的報(bào)告，如今大約有229億臺(tái)終端運(yùn)行在企業(yè)網(wǎng)絡(luò)中，到2020年該數(shù)字還會(huì)翻個(gè)倍。要保護(hù)如此之多的設(shè)備，安全運(yùn)營開銷和公司企業(yè)確保每臺(tái)設(shè)備合乎行業(yè)標(biāo)準(zhǔn)的投入，自然也會(huì)隨之直線上升。

挑戰(zhàn) #4：數(shù)字-物理融合

終端數(shù)量在所有經(jīng)濟(jì)領(lǐng)域增殖，包括金融服務(wù)、零售、飲食、工業(yè)、電力、油/氣、汽車、運(yùn)輸和公用事業(yè)公司。這些公司有責(zé)任維護(hù)關(guān)鍵國家基礎(chǔ)設(shè)施，比如運(yùn)輸系統(tǒng)、電站和電力輸送系統(tǒng)、耐用消費(fèi)品，以及食品生產(chǎn)、加工和配送設(shè)施。也就是說，對(duì)他們終端的任何威脅，都有可能摧毀經(jīng)濟(jì)或造成破壞，包括對(duì)市民的物理傷害。

如果一家工業(yè)公司意識(shí)到工業(yè)控制系統(tǒng)(ICS)中存在漏洞，他們將會(huì)應(yīng)用對(duì)策，進(jìn)行硬件修復(fù)，確保在進(jìn)行進(jìn)一步動(dòng)作前沒有軟件沖突。這是因?yàn)镮CS里的硬件問題是十分重大的，會(huì)在高度優(yōu)化和有限容錯(cuò)的生產(chǎn)體系中造成斷電、減少工業(yè)輸出和其他不良下游效應(yīng)。

同時(shí)，企業(yè)還極關(guān)注隱私，有一套規(guī)則限制非特權(quán)用戶訪問信息。他們的信息安全項(xiàng)目大多用在了防范數(shù)據(jù)泄露的信息保密性上。

IT和OT曾經(jīng)是分離的，但在物聯(lián)網(wǎng)(IoT)和工業(yè)物聯(lián)網(wǎng)(IIoT)背景下，我們開始見證企業(yè)和工業(yè)團(tuán)隊(duì)共同合作，無縫銜接服務(wù)的融合景象。我們有充分的理由認(rèn)定，這倆在關(guān)鍵基礎(chǔ)設(shè)施防護(hù)上也應(yīng)結(jié)成良好同盟。

展望未來，為鍛造建設(shè)性伙伴關(guān)系，在平衡優(yōu)先級(jí)和探索安全利用方式的時(shí)候，公司企業(yè)需要將IT、IoT/IIoT中的所有系統(tǒng)和終端納入考慮。

挑戰(zhàn) #5：飛速發(fā)展的安全和技術(shù)

如數(shù)字-物理融合所揭示的，威脅并不是均勻分布的。各家公司之間安全的形式和維度都不相同。這意味著“安全工具箱”式的解決方案或許是應(yīng)對(duì)的一部分，但絕不是保持系統(tǒng)和數(shù)據(jù)安全的完整答案。

安全必須進(jìn)化才能應(yīng)對(duì)當(dāng)今復(fù)雜的威脅態(tài)勢(shì)。去年、前年的解決方案，需要相對(duì)于其當(dāng)前的價(jià)值主張進(jìn)行重新評(píng)估。其中一些技術(shù)和廠商伙伴關(guān)系會(huì)持續(xù)推進(jìn)到未來，并有價(jià)值主張上的改善。其他則不會(huì)那么好運(yùn)，若想繼續(xù)生存下去提供價(jià)值，就需要作出極大的改變和適應(yīng)。在提供商領(lǐng)域，我們目前正在見證滄海桑田般的轉(zhuǎn)變：領(lǐng)域內(nèi)老牌提供商已喪失了領(lǐng)頭羊地位，新提供商頂替了他們的位置。無論如何，解決方案需要適應(yīng)企業(yè)當(dāng)前和未來的需要。總的來說，安全解決方案需要讓公司企業(yè)更方便地相互共享威脅情報(bào)。

當(dāng)然，這些改變會(huì)讓公司企業(yè)難以在安全方面進(jìn)行投入。畢竟，引導(dǎo)所有這些各不相同的數(shù)據(jù)包和配置選項(xiàng)，是件令人頭疼的事。

因此，公司企業(yè)需要理清自身在安全上的具體需求，要識(shí)別出最需要保護(hù)的關(guān)鍵資產(chǎn)，找出搞定安全需求所必需的技術(shù)、人手和其他資源。

一個(gè)重要，或者說必不可少的基準(zhǔn)點(diǎn)，是安全框架。大多數(shù)公司企業(yè)都需要采納一個(gè)，就像所有商業(yè)和公共機(jī)構(gòu)都遵守標(biāo)準(zhǔn)財(cái)務(wù)報(bào)告框架和協(xié)議一樣。NIST、Gartner的PPDR、CIAS、ISO27001之類的公開安全框架都有效。框架一旦選定，根據(jù)公司及其所屬商業(yè)生態(tài)系統(tǒng)的具體需求進(jìn)行校準(zhǔn)和調(diào)整便是必不可少的。所選框架的采納應(yīng)用，需要良好的計(jì)劃、強(qiáng)力的投入(或許還有資金的重分配)、靠得住的合作伙伴、執(zhí)行，以及時(shí)間。

結(jié)論

或許各人想法有異，但這5個(gè)挑戰(zhàn)不會(huì)很快消失。公司企業(yè)需要將這些因素納入考慮，拿出一個(gè)向前看的方案。他們需要準(zhǔn)備好管理和緩解不斷升級(jí)的安全，順應(yīng)這些趨勢(shì)帶來的運(yùn)行風(fēng)險(xiǎn)。這一過程應(yīng)該包括：

• 按基于風(fēng)險(xiǎn)的定位，準(zhǔn)確評(píng)估公司IT、IoT/IIoT相關(guān)需求;
• 采納并應(yīng)用合適的基于標(biāo)準(zhǔn)的框架;
• 創(chuàng)建或調(diào)整自身安全及合規(guī)架構(gòu);
• 選擇戰(zhàn)略供應(yīng)商/合作伙伴，他們的技術(shù)能力、戰(zhàn)略愿景和商業(yè)活力要能支持你的架構(gòu)，核心能力要能解決這些趨勢(shì)帶給公司的挑戰(zhàn);
• 根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)優(yōu)先級(jí)發(fā)展和階段性實(shí)現(xiàn)及部署安全合規(guī)計(jì)劃;
• 實(shí)現(xiàn)或擴(kuò)展持續(xù)性監(jiān)測(cè)、響應(yīng)及校驗(yàn)項(xiàng)目。

最后，有鑒于這些趨勢(shì)，每家公司企業(yè)都需要擴(kuò)展對(duì)于手頭任務(wù)規(guī)模和復(fù)雜性的認(rèn)知。這一認(rèn)知會(huì)拓寬安全項(xiàng)目的范圍，使之容納進(jìn)整體環(huán)境及用以緩解所面臨風(fēng)險(xiǎn)的長期計(jì)劃。

采取務(wù)實(shí)的積極的方法態(tài)度對(duì)待網(wǎng)絡(luò)安全和合規(guī)，是當(dāng)前重中之重。