數(shù)字化轉(zhuǎn)型,安全先行的4項關(guān)鍵挑戰(zhàn)
改善網(wǎng)絡(luò)安全狀況正成為啟動數(shù)字化轉(zhuǎn)型項目的驅(qū)動因素。然而,實施過程中存在的錯誤往往會釀成慘痛的后果,需要為之付出沉重的代價。
數(shù)字化轉(zhuǎn)型對于許多企業(yè)的長期發(fā)展目標而言至關(guān)重要,因為它可以幫助他們抵御如春筍般不斷涌現(xiàn)的初創(chuàng)公司,更好地滿足客戶的需求,尋找新的發(fā)展機會,以及幫助企業(yè)降低成本等等。
此外,也是尤為重要的一點是,它還可以幫助提高企業(yè)的安全性。根據(jù)451 Research公司去年年底進行的一項調(diào)查顯示,49%的IT專業(yè)人員和業(yè)務(wù)線經(jīng)理表示,保護客戶數(shù)據(jù)是他們的主要轉(zhuǎn)型目標之一。
今年夏天,研究公司Lucid也對IT領(lǐng)導(dǎo)者進行了一項調(diào)查,結(jié)果顯示49%的IT領(lǐng)導(dǎo)者認為,更好的網(wǎng)絡(luò)安全保護是他們公司關(guān)注數(shù)字化轉(zhuǎn)型的原因之一。40%的受訪者表示,網(wǎng)絡(luò)安全是他們公司投入最多的數(shù)字化轉(zhuǎn)型領(lǐng)域。
實際上,我們正在目睹越來越多的IT領(lǐng)導(dǎo)者采取數(shù)字化轉(zhuǎn)型項目來支持他們的網(wǎng)絡(luò)安全戰(zhàn)略。這些項目涉獵極廣——小到員工入職和離職期間獲取更好的訪問權(quán)限,大到一些大型項目,如跟蹤GDPR敏感數(shù)據(jù)的位置和其他合規(guī)性要求等,無一不包含在內(nèi)。
除此之外,遷移至現(xiàn)代基礎(chǔ)架構(gòu)(包括Office 365等基于云的解決方案)通常也可以單獨提高安全性。 RiskLens公司近日針對準備向云供應(yīng)商遷移的大型企業(yè)進行了風險分析研究,結(jié)果指出,由于我們的電子郵件環(huán)境不再是本地(on-premises)部署,我們將更加擔心網(wǎng)絡(luò)中斷和數(shù)據(jù)保護問題。但是研究人員也發(fā)現(xiàn),微軟對Office 365的管理往往遠遠領(lǐng)先于組織自身所實現(xiàn)的管理,因此就整體而言,實際風險在遷移到云時會減少,而不是增加。
專家表示,數(shù)字化轉(zhuǎn)型項目還可能導(dǎo)致企業(yè)環(huán)境的可見性降低,人力檢查點減少,以及面臨新的安全威脅。 事實上,根據(jù)Fortinet最近進行的一項調(diào)查顯示,安全性是迄今為止數(shù)字化轉(zhuǎn)型工作面臨的最大挑戰(zhàn),85%的首席安全官(CSO)和首席信息安全官(CISO)表示,安全性對于數(shù)字化轉(zhuǎn)型工作而言一個巨大的難題。
普華永道在最新發(fā)布的一份報告中表示,很少有公司正在將網(wǎng)絡(luò)和隱私風險管理正確地納入其數(shù)字化轉(zhuǎn)型中。未來的贏家將屬于那些自設(shè)計階段開始就在構(gòu)建風險管理的企業(yè)所有。能否在數(shù)字化轉(zhuǎn)型過程中正確建立網(wǎng)絡(luò)和隱私風險管理,將成為企業(yè)確立品牌形象的關(guān)鍵一戰(zhàn)。
以下是企業(yè)組織在將安全性納入數(shù)字化轉(zhuǎn)型過程中將面臨的4大主要挑戰(zhàn):
1. 對數(shù)據(jù)和流程的可視性降低
據(jù)RiskLens公司所言,當基礎(chǔ)設(shè)施由第三方托管時,企業(yè)對于能夠收集的數(shù)據(jù)的控制權(quán)就會降低。試想一下,如果你的基礎(chǔ)設(shè)施是在本地部署的,你就能夠獲取更好的可視性,可以在任何時間操控任何你想要控制的數(shù)據(jù)。當然,第三方服務(wù)供應(yīng)商也會為你提供一些控制和報告,但是這與公司控制自己的基礎(chǔ)架構(gòu)的程度明顯不同。
如果說公司未能提前制定好計劃來管理新基礎(chǔ)架構(gòu)的話,那么即便是在本地安裝新系統(tǒng),可視性也可能會成為問題。一旦你無法確定相關(guān)資產(chǎn)的狀態(tài),或者將新軟件部署到該資產(chǎn)時,你就會面臨安全風險,無疑,你的攻擊面也將進一步擴大。
以容器為例,它可以在本地、混合或云環(huán)境中運行。多年來,未能妥善保管容器一直是個問題。一個問題是,安全性無法產(chǎn)生收益。大多數(shù)企業(yè)都沒能從安全性中獲利,因此,從歷史上看,大多數(shù)企業(yè)的主要關(guān)注點都未放在安全性上,盡管多年來它已有所改善。如此一來,從安全角度來看,基礎(chǔ)設(shè)施的構(gòu)建、增長甚至成熟速度在很多情況下都要遠遠超過企業(yè)所能應(yīng)對的程度。
而當業(yè)務(wù)部門在未經(jīng)IT部門的批準下購買新技術(shù)時(即所謂的“影子IT”),問題就會變得更為嚴重。特別是云服務(wù)可以在無需大量技能支持的情況下,即可快速輕松地實現(xiàn)部署和設(shè)置。如今,企業(yè)系統(tǒng)中存在越來越多的“影子IT”,業(yè)務(wù)部門已經(jīng)打破舊的原則,在未經(jīng)IT部門許可的情況下構(gòu)建屬于自己的基礎(chǔ)設(shè)施,這無疑加重了安全問題。因為公司IT管理人員甚至不知道有這些系統(tǒng)的存在,談何具備對這些系統(tǒng)的可視性。
2. 人力檢查點減少
人類雇員需要對企業(yè)中存在的許多甚至大多數(shù)安全問題負責:他們會在輸入交易時發(fā)生拼寫錯誤;他們會忘記啟用安全控制;他們會打開網(wǎng)絡(luò)釣魚郵件并點擊惡意鏈接;他們會陷入網(wǎng)絡(luò)騙局;他們會堅持在不同的平臺上使用相同的弱口令。
通常情況下,我們的網(wǎng)絡(luò)解決方案要比我們更強大,因為我們作為人類,具備情感,所以更容易被惡意行為者利用和操縱。但是值得注意的是,人類也提供了一種叫做“常識”的關(guān)鍵劑量,不過隨著流程逐漸實現(xiàn)完全自動化,人類所獨具的這種技能也在隨之消失。
舉個例子,有些事情就像SQL注入一樣簡單。人類可以通過代碼立即獲取想要獲取的數(shù)據(jù),而無需人力識別和過濾。這顯然是自動化所帶來的便捷之處,但是要知道,計算機只有在經(jīng)過編程之后才能執(zhí)行相應(yīng)的任務(wù)。作為人類,我們能夠通過直覺或常識來判斷一些東西可能存在問題,但是計算機并不具備這種能力。它們只能依賴特定的編程來執(zhí)行任務(wù),因此可能會存在遺漏、錯失的情況。
如今,越來越多的企業(yè)正在不斷增加其自動化建設(shè),在這種高效、低成本的環(huán)境中,企業(yè)習慣將人類從控制臺中剔除,這種行為可能導(dǎo)致的問題值得企業(yè)深思。
3. 未知的“未知數(shù)”
數(shù)字化轉(zhuǎn)型有時可能會帶來新的、無法預(yù)料的攻擊向量。例如,Amazon S3存儲桶的使用。其價格便宜、使用便捷、易于設(shè)置,同時也易于遭受攻擊。
在過去一年中,包括埃森哲、道瓊斯、Verizon以及軍事情報機構(gòu)INSCOM在內(nèi)的多家技術(shù)精湛的公司,都將敏感數(shù)據(jù)暴露在了亞馬遜上。無獨有偶,Kenna Security公司研究人員最近也發(fā)現(xiàn),9,600家分析機構(gòu)中有31%因為Google網(wǎng)上論壇和G Suite配置出錯而泄露敏感電子郵件信息。受影響的實體包括財富500強公司、醫(yī)院、大學和學院、報紙和電視臺,甚至美國政府機構(gòu)。
Kenna Security研究人員指出,使用G Suite的組織在創(chuàng)建郵件列表可能會配置Google Groups 界面。由于術(shù)語和組織范圍與Groups特定權(quán)限很復(fù)雜,導(dǎo)致列表管理員無意中可能泄露電子郵件列表的內(nèi)容。據(jù)悉,造成此次事故的谷歌G Suite,正是許多正在轉(zhuǎn)型中的企業(yè)所使用的轉(zhuǎn)型產(chǎn)品。事實上,由于缺乏持續(xù)的警惕性而導(dǎo)致的錯誤配置問題,已經(jīng)使全球不同行業(yè)的眾多組織遭遇了數(shù)據(jù)泄露事件。
4. 你需要一個網(wǎng)絡(luò)安全計劃
首席安全官(CSO)在確保企業(yè)的數(shù)字化轉(zhuǎn)型戰(zhàn)略(包括網(wǎng)絡(luò)安全計劃)方面發(fā)揮著重要的作用。他們發(fā)揮作用的關(guān)鍵就是要能關(guān)注那些對企業(yè)而言最重要的問題。
安全人員有時候習慣打啞謎,聽得人云里霧里,公司自然也就不了解安全的重要性以及如何落實安全性了。事實上,安全人員需要提供一些清晰且實實在在的案例,這些例子不僅僅是技術(shù)性的,還需要能夠清楚地說明哪些因素可能會對公司的品牌產(chǎn)生什么影響。
例如,數(shù)據(jù)泄露行為就會對公司的市值產(chǎn)生影響。你可以為企業(yè)繪制一個簡單的圖表,說明Equifax數(shù)據(jù)泄露事件為其帶來的成本和市值損失;Target數(shù)據(jù)泄露造成的成本損失,以及Facebook泄露客戶隱私所造成的市場成本和名譽損失。更重要的是,這種損失成本還一直在大規(guī)模的增加。
首席安全官也必須把握好言語的尺度,以能夠說服企業(yè)高管支持網(wǎng)絡(luò)安全舉措為宜,切勿營造一種危言聳聽的形象。例如,太多的安全專業(yè)人員只關(guān)注于將數(shù)據(jù)和流程遷移至云端的額外風險,而忽略了其優(yōu)勢。這種行為并非實際的分析工作,而是在傳播一種恐懼、不確定和懷疑的氛圍,甚至可能導(dǎo)致首席安全官失去信譽。
之后,企業(yè)可能仍然會繼續(xù)進行該項目,因為他們看到了該項目的價值、機會或成本優(yōu)勢,首席安全官也會由此受到限制,損耗企業(yè)對其的信任。
如果首席安全官能夠客觀地談?wù)摌I(yè)務(wù)方面的風險和安全性,那么他們將更有可能在數(shù)字化轉(zhuǎn)型項目中發(fā)揮作用,樹立威信。安全專家建議稱,安全專業(yè)人員可以關(guān)注風險評估方面的一些國際標準,例如FAIR風險評估框架等等。這些標準并不是傳遞FUD(恐懼、不確定和懷疑),或云是危險的等觀點的,而是旨在幫助企業(yè)安全人員做出更為明智的決策。