雖然在過(guò)去幾十年間，關(guān)于軟件和硬件的安全建議一直在迭代更新，但是仍然存在一些基本的安全建議經(jīng)受住了時(shí)間的考驗(yàn)，始終起著與其在20世界80年代同等重要的作用。

我們大家都有目共睹的一點(diǎn)是：數(shù)據(jù)安全行業(yè)在過(guò)去三十年間一直處于快速發(fā)展的狀態(tài)之中，從最初出于“炫耀目的而進(jìn)行的攻擊”(20世紀(jì)90年代和21世紀(jì)初)發(fā)展到后來(lái)出于“金錢(qián)目的”和“黑客破壞主義”的攻擊行為，再到當(dāng)前破壞力更強(qiáng)的針對(duì)政府、企業(yè)和公共基礎(chǔ)設(shè)施的民族國(guó)家黑客運(yùn)動(dòng)。

[[221753]]

伴隨著這些威脅的升級(jí)演變，企業(yè)的安全需求也開(kāi)始隨之增長(zhǎng)。我們目睹了許多新技術(shù)的涌現(xiàn)——從防病毒軟件和防火墻到數(shù)據(jù)丟失防護(hù)和日志管理，再到下一代SIEM(安全信息和事件管理)和威脅情報(bào)，所有這些新技術(shù)都有望幫助我們解決當(dāng)前的網(wǎng)絡(luò)安全困境。

過(guò)去幾年中，我們經(jīng)歷過(guò)基礎(chǔ)的客戶端-服務(wù)器方案，以網(wǎng)絡(luò)為中心、以服務(wù)器為中心、以工作負(fù)載為中心、以云為中心、以文件為中心，甚至開(kāi)始以區(qū)塊為中心的各種安全建議的興起和衰落。

然而，在這眾多出現(xiàn)又消失的建議之中，我們發(fā)現(xiàn)了一些基本的安全理念經(jīng)受住了時(shí)間的考驗(yàn)。以下是了五個(gè)成功經(jīng)受住時(shí)間考驗(yàn)的安全認(rèn)知或理念：

一、錢(qián)不是萬(wàn)能的

多年來(lái)，企業(yè)一直以被動(dòng)的姿勢(shì)與先進(jìn)的惡意軟件和網(wǎng)絡(luò)犯罪分子作斗爭(zhēng)，與此同時(shí)，新的安全挑戰(zhàn)和監(jiān)管要求也同樣處于被動(dòng)的響應(yīng)狀態(tài)之中：企業(yè)只知道耗費(fèi)財(cái)力購(gòu)買(mǎi)新技術(shù)，并雇用更多的員工和合作伙伴來(lái)管理這些技術(shù)。這種方法最終造成了企業(yè)安全危機(jī)，因?yàn)榘踩珗F(tuán)隊(duì)并不清楚公司擁有哪些資產(chǎn)，而且基礎(chǔ)設(shè)施臃腫且難以管理。

這種被動(dòng)的安全戰(zhàn)略不僅浪費(fèi)金錢(qián)，而且會(huì)導(dǎo)致IT基礎(chǔ)架構(gòu)中混雜各種點(diǎn)解決方案，而這些點(diǎn)解決方案之間通常無(wú)法協(xié)調(diào)運(yùn)作。很多時(shí)候，這會(huì)導(dǎo)致網(wǎng)絡(luò)基礎(chǔ)(企業(yè)自以為已經(jīng)構(gòu)建成功)出現(xiàn)裂縫，為網(wǎng)絡(luò)犯罪分子入侵留有可乘之機(jī)。事實(shí)表明，更多的安全支出并不總是意味著能夠減少安全事故。

組織必須重新思考自己應(yīng)該如何處理安全支出。在每次購(gòu)買(mǎi)新產(chǎn)品之前，企業(yè)必須認(rèn)真衡量自身對(duì)最佳技術(shù)的需求性，以及其對(duì)建立安全基礎(chǔ)設(shè)施的重要意義。為了應(yīng)對(duì)技能日益精湛的網(wǎng)絡(luò)犯罪分子，企業(yè)必須將自身的安全基礎(chǔ)設(shè)施和運(yùn)營(yíng)方式從被動(dòng)、笨拙和以產(chǎn)品為中心，轉(zhuǎn)化為有計(jì)劃、可預(yù)測(cè)以及以優(yōu)化和協(xié)調(diào)為中心的模式。

二、人是最薄弱的環(huán)節(jié)

安全倡導(dǎo)者多年來(lái)一直在警告“內(nèi)部威脅“的危害性。一些想要竊取公司數(shù)據(jù)的惡意雇員和其他內(nèi)部人士，會(huì)在未經(jīng)授權(quán)的情況下訪問(wèn)企業(yè)機(jī)密的系統(tǒng)和服務(wù)器，并執(zhí)行惡意軟件來(lái)?yè)p害公司網(wǎng)絡(luò)。當(dāng)然也會(huì)存在一些意外情況，例如員工錯(cuò)誤地將機(jī)密數(shù)據(jù)存放在云中，雖然這種方式是無(wú)意的，但同樣具有破壞性。

如今，還存在第三種因素能夠加劇這種內(nèi)部威脅：網(wǎng)絡(luò)安全技能的長(zhǎng)期短缺致使聘用足夠的資源來(lái)管理如此復(fù)雜的基礎(chǔ)設(shè)施變得異常困難。結(jié)果導(dǎo)致IT團(tuán)隊(duì)出現(xiàn)了職業(yè)倦怠(burnout，即個(gè)體在工作重壓下產(chǎn)生的身心疲勞與耗竭的狀態(tài))，并最終導(dǎo)致安全防御方面出現(xiàn)空白。這就解釋了為什么如此多的數(shù)據(jù)泄露事件并不是由精心部署的網(wǎng)絡(luò)攻擊造成的，而多是由簡(jiǎn)單的人為錯(cuò)誤(包括配置錯(cuò)誤、未打補(bǔ)丁的系統(tǒng)以及其他基本衛(wèi)生因素)引起的。

公司所需的并不是“更多“而是”正確“——正確的安全戰(zhàn)略、正確的基礎(chǔ)設(shè)施以及正確的安全政策和流程。優(yōu)化網(wǎng)絡(luò)安全組合是企業(yè)必須邁出的第一步，它可以幫助實(shí)現(xiàn)安全更簡(jiǎn)單、管理更便捷以及成本更低廉，在減輕安全專業(yè)人員負(fù)擔(dān)的情況下，允許他們可以優(yōu)先考慮更具保護(hù)和業(yè)務(wù)價(jià)值的更高級(jí)任務(wù)。

三、員工可以成為第一道防線

雖然員工可能會(huì)為企業(yè)帶來(lái)嚴(yán)重的安全風(fēng)險(xiǎn)，但是他們也可以成為企業(yè)應(yīng)對(duì)網(wǎng)絡(luò)犯罪分子的第一道防線。幫助他們實(shí)現(xiàn)這一角色最有效的方法就是創(chuàng)建一個(gè)強(qiáng)大的網(wǎng)絡(luò)安全文化，鼓勵(lì)和獎(jiǎng)勵(lì)員工的安全意識(shí)和安全在線行為。

如果員工理解自身在維護(hù)公司網(wǎng)絡(luò)和數(shù)據(jù)方面的重要性，他們將更傾向于實(shí)現(xiàn)自己的責(zé)任并遵守公司的政策。因此，組織網(wǎng)絡(luò)安全教育和培訓(xùn)計(jì)劃是非常重要的，它可以教導(dǎo)員工有關(guān)網(wǎng)絡(luò)犯罪分子的攻擊手段和策略，例如勒索軟件和網(wǎng)絡(luò)釣魚(yú)，以及在發(fā)現(xiàn)威脅時(shí)應(yīng)該如何應(yīng)對(duì)等。

此外，清楚地解釋員工如何管理自己的在線活動(dòng)，并定義“可接受“和”不可接受“的公司網(wǎng)絡(luò)、軟件和設(shè)備的訪問(wèn)和使用方式也是同樣重要的環(huán)節(jié)。為了推進(jìn)網(wǎng)絡(luò)安全行為實(shí)踐以及調(diào)動(dòng)員工的參與度，企業(yè)可以考慮制定獎(jiǎng)勵(lì)計(jì)劃，舉辦月度知識(shí)競(jìng)賽或是推出游戲化項(xiàng)目等。

在意識(shí)、培訓(xùn)和明確的安全政策的基礎(chǔ)上，構(gòu)建強(qiáng)大的網(wǎng)絡(luò)安全文化需要付出大量的時(shí)間和心血，但是最終的結(jié)果一定會(huì)證實(shí)一切前期投入都是值得的。

四、 漏洞修復(fù)的作用不容忽視

在下一代網(wǎng)絡(luò)安全工具時(shí)代，漏洞修復(fù)看起來(lái)像是一項(xiàng)微不足道的任務(wù)，但不可否認(rèn)的是，它是強(qiáng)大的網(wǎng)絡(luò)安全計(jì)劃不可或缺的重要組成部分——Meltdown(熔斷)和Spectre(幽靈)漏洞事件已經(jīng)向我們證實(shí)了這一事實(shí)。與之前普遍存在的漏洞修復(fù)工作相比，修復(fù)Meltdown / Spectre漏洞所需的努力水平可能要呈指數(shù)級(jí)增長(zhǎng)。

造成漏洞修復(fù)工作存在差異的影響因素包括：所需補(bǔ)丁的數(shù)量，將正確補(bǔ)丁放在正確系統(tǒng)上的復(fù)雜性，以及了解補(bǔ)丁對(duì)受影響系統(tǒng)和應(yīng)用程序的性能和穩(wěn)定性影響所需的測(cè)試等。由于公司無(wú)法更新老舊設(shè)備，使得補(bǔ)丁管理問(wèn)題變得更為嚴(yán)重，因?yàn)槔吓f系統(tǒng)上的修復(fù)工作比新系統(tǒng)的修復(fù)更困難。

在新產(chǎn)品更新迭代日新月異的時(shí)代中，企業(yè)必須將重點(diǎn)放在基礎(chǔ)問(wèn)題上，將基本的安全技術(shù)和流程(如漏洞修復(fù))置于最佳位置，以最大限度地降低風(fēng)險(xiǎn)，維護(hù)基礎(chǔ)設(shè)施安全，厘清當(dāng)前的混亂狀態(tài)。

五、安全是一個(gè)業(yè)務(wù)問(wèn)題

首席信息官(CIO)和首席信息安全官(CISO)過(guò)去曾一直很難入主高級(jí)管理層和董事會(huì)。造成這一現(xiàn)象的其中一個(gè)主要原因是他們無(wú)法以其他管理人員和董事會(huì)成員能夠理解的方式來(lái)表達(dá)清楚自己的業(yè)務(wù);他們也無(wú)法將安全支出與公司的總體風(fēng)險(xiǎn)狀況相關(guān)聯(lián)。結(jié)果，由于戰(zhàn)略決策是在沒(méi)有安全投入或很少投入的情況下運(yùn)作的，他們也很難確保業(yè)務(wù)運(yùn)營(yíng)的效率。

雖然該問(wèn)題多年來(lái)一直存在，但在許多公司安全依然屬于不成熟的領(lǐng)域。安全管理人員必須通過(guò)直觀數(shù)據(jù)和關(guān)鍵績(jī)效指標(biāo)，才能開(kāi)始以可理解和有意義的方式報(bào)告其運(yùn)營(yíng)情況。通過(guò)和其他業(yè)務(wù)部門(mén)保持一致的方式對(duì)安全運(yùn)營(yíng)進(jìn)行預(yù)算和評(píng)估，將有助于安全管理人員在業(yè)務(wù)戰(zhàn)略和規(guī)劃中發(fā)揮更加突出的作用，同時(shí)使企業(yè)能夠準(zhǔn)確地將安全投資與風(fēng)險(xiǎn)狀況聯(lián)系起來(lái)。

除此之外，能夠說(shuō)出“業(yè)務(wù)語(yǔ)言”將成為助力安全管理人員獲得高級(jí)管理層和董事會(huì)席位的唯一最重要的因素。