CobiNet(寧波)推薦文章:
鑒于如今不斷進化的威脅態(tài)勢��,公司企業(yè)希望采取積極主動的威脅應(yīng)對方式����,創(chuàng)建持續(xù)合規(guī)的環(huán)境�,擁有響應(yīng)良好的IT運營過程,是無可厚非的��。誰不想減小風險暴露面和攻擊界面���?誰不想能檢測并響應(yīng)高級威脅��?誰不想降低安全運營開銷�?
現(xiàn)實卻是:各種各樣的壓力阻礙著公司企業(yè)實現(xiàn)這些目標,而且這些壓力還不會很快消失�����。多家商業(yè)及公共機構(gòu)的安全實踐負責人和高管����,就最優(yōu)化安全及合規(guī)項目,綜合出了5條必須應(yīng)對的挑戰(zhàn)�����。
挑戰(zhàn) #1:數(shù)據(jù)泄露那為人所知的影響
看起來無窮無盡不斷登上新聞頭條的數(shù)據(jù)泄露事件��,讓公司企業(yè)���,包括高管和董事管理層�����,都意識到了安全的重要性����,也感受到了可能成為下一個受害者的恐懼。
去年�����,《Tripwire》調(diào)查中82%的受訪者認為自家公司會遭遇數(shù)據(jù)泄露�����。ISACA和RSA的聯(lián)合調(diào)查也表明�����,78%的董事會如今對計算機安全十分在意����。
這種高度關(guān)注,部分是由于計算機犯罪造成的損失���。據(jù)美國戰(zhàn)略與國際問題研究中心估計�,計算機犯罪每年造成的損失高達4450億美元�����。很不幸��,隨著公司企業(yè)處理和存儲更多的信息�����,隨著網(wǎng)絡(luò)犯罪愈加流行且影響越來越大��,這個數(shù)字也會水漲船高�。
網(wǎng)絡(luò)犯罪在頻度、影響和復(fù)雜性上持續(xù)升級��,公司企業(yè)無論規(guī)模和產(chǎn)業(yè)��,均受其威脅�����。一起數(shù)據(jù)泄露或網(wǎng)絡(luò)入侵事件����,就可以致使公司企業(yè)損失客戶、利潤和信譽�����,遭遇運營持續(xù)性的傷害和數(shù)據(jù)完整性質(zhì)疑。對某些公司而言���,這些損失的程度可以從慘痛到完全不可恢復(fù)����。
挑戰(zhàn) #2:技術(shù)缺口
引發(fā)數(shù)據(jù)泄露損失上升的驅(qū)動因素之一�����,就是持續(xù)升溫的信息安全技術(shù)缺口問題���。
上文提及的ISACA/RSA調(diào)查中�,52.44%的受訪者覺得自家公司員工中只有不到1/4是稱職的����。這些受訪者同時指出,安全實踐者理解業(yè)務(wù)的能力是最大的技術(shù)缺口����。
該問題給公司企業(yè)帶來了很嚴重的風險。如果安全實踐者不能完全理解他們業(yè)務(wù)的本質(zhì)���,安全和業(yè)務(wù)負責人就無法看清每個資產(chǎn)在支持公司使命方面所起的作用�。這意味著他們領(lǐng)會不到保護每個資產(chǎn)的相關(guān)業(yè)務(wù)重要性,而這將會影響到他們減少威脅緩解風險的能力��。
而且���,盡管業(yè)務(wù)純熟的專業(yè)人士如今或許炙手可熱,也掩蓋不了信息安全從業(yè)者人數(shù)不足這個簡單而殘酷的事實�。2014年的一項調(diào)查估測,全球安全專業(yè)人士崗位需求425萬個���,但只有225萬名從業(yè)者活躍在這一領(lǐng)域�。
技術(shù)缺口還給公司企業(yè)帶來了雙重風險���。不僅僅是信息安全從業(yè)者短缺�,有經(jīng)驗的管理人才更是稀缺��。只要還想撐住自己的數(shù)據(jù)安全��,公司企業(yè)必須直面招聘和技術(shù)缺口的挑戰(zhàn)���。
挑戰(zhàn) #3:終端爆炸式增長
很久以前�����,網(wǎng)絡(luò)設(shè)計者仔細思考過以太網(wǎng)連上烤箱的前景�。在當時,這只能是個笑談�,但如今,技術(shù)已經(jīng)證明或者即將表明�,所有事物都可以通過網(wǎng)絡(luò)來連接、訪問�、提供服務(wù),或者加以控制�����。聯(lián)網(wǎng)設(shè)備及資產(chǎn)的大爆炸��,引入了增量擴張問題���,讓大多數(shù)早期安全和合規(guī)模型及預(yù)測難堪重任�。當前比以往任何時候都需要有經(jīng)驗的安全人士來護衛(wèi)現(xiàn)代IT環(huán)境中五花八門的大量終端設(shè)備�,而且未來這些設(shè)備還會只多不少。
這與1992年IT從業(yè)人士可以用殺毒軟件抵御大多數(shù)數(shù)字威脅的情況不是一個級別的����。但根據(jù)思科的報告,如今大約有229億臺終端運行在企業(yè)網(wǎng)絡(luò)中�����,到2020年該數(shù)字還會翻個倍。要保護如此之多的設(shè)備����,安全運營開銷和公司企業(yè)確保每臺設(shè)備合乎行業(yè)標準的投入����,自然也會隨之直線上升。
挑戰(zhàn) #4:數(shù)字-物理融合終端數(shù)量
在所有經(jīng)濟領(lǐng)域增殖����,包括金融服務(wù)、零售����、飲食、工業(yè)����、電力、油/氣����、汽車���、運輸和公用事業(yè)公司。這些公司有責任維護關(guān)鍵國家基礎(chǔ)設(shè)施���,比如運輸系統(tǒng)���、電站和電力輸送系統(tǒng)、耐用消費品����,以及食品生產(chǎn)、加工和配送設(shè)施�。也就是說,對他們終端的任何威脅��,都有可能摧毀經(jīng)濟或造成破壞���,包括對市民的物理傷害��。
如果一家工業(yè)公司意識到工業(yè)控制系統(tǒng)(ICS)中存在漏洞�����,他們將會應(yīng)用對策���,進行硬件修復(fù)�����,確保在進行進一步動作前沒有軟件沖突�。這是因為ICS里的硬件問題是十分重大的����,會在高度優(yōu)化和有限容錯的生產(chǎn)體系中造成斷電���、減少工業(yè)輸出和其他不良下游效應(yīng)�。
同時��,企業(yè)還極關(guān)注隱私�����,有一套規(guī)則限制非特權(quán)用戶訪問信息���。他們的信息安全項目大多用在了防范數(shù)據(jù)泄露的信息保密性上���。
IT和OT曾經(jīng)是分離的��,但在物聯(lián)網(wǎng)(IoT)和工業(yè)物聯(lián)網(wǎng)(IIoT)背景下�����,我們開始見證企業(yè)和工業(yè)團隊共同合作�,無縫銜接服務(wù)的融合景象�。我們有充分的理由認定,這倆在關(guān)鍵基礎(chǔ)設(shè)施防護上也應(yīng)結(jié)成良好同盟���。
展望未來�,為鍛造建設(shè)性伙伴關(guān)系���,在平衡優(yōu)先級和探索安全利用方式的時候��,公司企業(yè)需要將IT���、IoT/IIoT中的所有系統(tǒng)和終端納入考慮。
挑戰(zhàn) #5:飛速發(fā)展的安全和技術(shù)
如數(shù)字-物理融合所揭示的���,威脅并不是均勻分布的�����。各家公司之間安全的形式和維度都不相同�。這意味著 安全工具箱 式的解決方案或許是應(yīng)對的一部分,但絕不是保持系統(tǒng)和數(shù)據(jù)安全的完整答案��。
安全必須進化才能應(yīng)對當今復(fù)雜的威脅態(tài)勢�����。去年�����、前年的解決方案���,需要相對于其當前的價值主張進行重新評估。其中一些技術(shù)和廠商伙伴關(guān)系會持續(xù)推進到未來����,并有價值主張上的改善。其他則不會那么好運�����,若想繼續(xù)生存下去提供價值,就需要作出極大的改變和適應(yīng)�����。在提供商領(lǐng)域�,我們目前正在見證滄海桑田般的轉(zhuǎn)變:領(lǐng)域內(nèi)老牌提供商已喪失了領(lǐng)頭羊地位,新提供商頂替了他們的位置�。無論如何,解決方案需要適應(yīng)企業(yè)當前和未來的需要�����??偟膩碚f,安全解決方案需要讓公司企業(yè)更方便地相互共享威脅情報����。
當然,這些改變會讓公司企業(yè)難以在安全方面進行投入�����。畢竟���,引導(dǎo)所有這些各不相同的數(shù)據(jù)包和配置選項����,是件令人頭疼的事。
因此��,公司企業(yè)需要理清自身在安全上的具體需求���,要識別出最需要保護的關(guān)鍵資產(chǎn)���,找出搞定安全需求所必需的技術(shù)、人手和其他資源��。
一個重要���,或者說必不可少的基準點�,是安全框架���。大多數(shù)公司企業(yè)都需要采納一個���,就像所有商業(yè)和公共機構(gòu)都遵守標準財務(wù)報告框架和協(xié)議一樣��。NIST�����、Gartner的PPDR、CIAS���、ISO27001之類的公開安全框架都有效�?���?蚣芤坏┻x定,根據(jù)公司及其所屬商業(yè)生態(tài)系統(tǒng)的具體需求進行校準和調(diào)整便是必不可少的��。所選框架的采納應(yīng)用�,需要良好的計劃、強力的投入(或許還有資金的重分配)����、靠得住的合作伙伴、執(zhí)行�,以及時間。
結(jié)論或許各人想法有異�����,但這5個挑戰(zhàn)不會很快消失�。公司企業(yè)需要將這些因素納入考慮�����,拿出一個向前看的方案���。他們需要準備好管理和緩解不斷升級的安全,順應(yīng)這些趨勢帶來的運行風險�。這一過程應(yīng)該包括:按基于風險的定位,準確評估公司IT�、IoT/IIoT相關(guān)需求;采納并應(yīng)用合適的基于標準的框架�;創(chuàng)建或調(diào)整自身安全及合規(guī)架構(gòu);選擇戰(zhàn)略供應(yīng)商/合作伙伴���,他們的技術(shù)能力����、戰(zhàn)略愿景和商業(yè)活力要能支持你的架構(gòu)����,核心能力要能解決這些趨勢帶給公司的挑戰(zhàn);根據(jù)業(yè)務(wù)風險優(yōu)先級發(fā)展和階段性實現(xiàn)及部署安全合規(guī)計劃�����;實現(xiàn)或擴展持續(xù)性監(jiān)測����、響應(yīng)及校驗項目。
最后����,有鑒于這些趨勢,每家公司企業(yè)都需要擴展對于手頭任務(wù)規(guī)模和復(fù)雜性的認知����。這一認知會拓寬安全項目的范圍,使之容納進整體環(huán)境及用以緩解所面臨風險的長期計劃���。
采取務(wù)實的積極的方法態(tài)度對待網(wǎng)絡(luò)安全和合規(guī)�,是當前重中之重��。
文章編輯:CobiNet(寧波)
本公司專注于電訊配件,銅纜綜合布線系列領(lǐng)域產(chǎn)品研發(fā)生產(chǎn)超五類���,六類,七類屏蔽網(wǎng)線/屏蔽模塊及相關(guān)模塊配件, 我們是萬兆屏蔽模塊����,10G屏蔽模塊���,屏蔽線生產(chǎn)廠家����。
歡迎來電咨詢0574 88168918,郵箱sales@cobinet.cn,網(wǎng)址aliance.cn
