English 服务热线: 400-610-7333

2009年网络安全四大趋势 2009-10-27 10:26  作者或来源:unknow

如今,很多企业不得不接受的技术也在给企业带来严重的安全风险。例如像TwitterFacebookLinkedIn等社交网站,一方面提高了工作效率,可以帮助企业客户进行更密切地沟通,但另一方面,它们也更容易导致客户数据与企业秘密的外泄。

  虚拟化和云计算也一样,一方面可以简化企业的IT基础设施,降低成本,但另一方面又在引入无尽的安全风险。把更多的基础设施放入云中,就意味着你把更多的漏洞暴露给了黑客,他们可以通过发起针对GoogleYahoo和其它互联网服务商的DoS攻击而轻松地击垮你的企业网络服务。今年初,Google的大面积崩溃已经说明,破坏云服务,就可以达到让依靠云服务的企业受损的目的。

  当然,好消息也不是没有。尽管数十年来最严重的经济衰退迫使企业缩减外包安全服务预算,自己得做更多的事情,但是企业的整体安全预算并未出现大幅缩减,有的甚至出现了增加;而且很多企业开始招聘首席安全官(CSO)

  这些好消息来自CIOCSO委托普华永道所做的年度《全球信息安全报告》。该报告调查了全球各行各业大约7300位组织机构、商业企业与技术企业的高管,涉及政府、医疗、金融服务于零售业等等。

  报告所显示的一些趋势对于企业制定信息安全规划会有所帮助。“所有的企业都在担忧如何保护他们的数据,尤其是客户的数据,”科学应用国际公司(SAIC)CIO Charles Beard说。“按照传统的业务模式,所有人都得聚在同一地理区域内的同一间办公楼内办公。而如今,所有人都在使用互联网和移动设备彼此连接。这正是社交网络大显身手的地方。然而从另一方面看,我们也被暴露在了网络空间的黑暗面中。显然,在采用社交网络之前就必须保障有适当的安全,并能够有效地控制风险。”

  趋势一

  社交网络希望与风险

  在不到两年的时间里,社交网络已经从一种纯粹好奇的事物变成了很多人的一种生活方式。如果某人想要更新他在TwitterFacebookLinkedIn上的状态,他一般会在工作时间进行,或者晚上回家用公司的笔记本计算机更新。

  是什么让IT管理人员感到焦灼呢?是因为用户们在通过社交网络相互告知他们午饭吃什么的时候可能会很容易地就把公司的一些敏感的活动信息透露出去了。网络黑客们一旦知道了这些,就会利用社交网络来发布网络钓鱼垃圾邮件。在一种比较流行的攻击方式中,黑客们会给他们选定的牺牲者发送一些似乎是来自其Facebook朋友的信息。这位所谓的“朋友”可能会发送一个网址,还会要求你点击该网址。该网址乍看好像只是有关某位名人,比如说迈克尔?杰克逊之死的新闻报道,或者推荐一些股票。但实际上,该链接却会将牺牲者带入一个可疑的网站,该网站会自动将恶意软件下载到牺牲者的计算机上。然后,该恶意软件便有可能盗走任何有价值的数据,更有甚者还可能盗走企业网络中的数据,比如客户的信用卡号或者某种治疗癌症的新药物的配方。

  于是我们毫不奇怪,为何所有接受调查的IT经理们都承认,他们很担心社交工程学类的攻击。45%的受访者尤其担心针对Web 2.0应用的钓鱼阴谋。

  然而对于很多企业的管理者来说,封堵社交网络又是不可能的,因为社交网络会带来潜在的商业利益。企业中的大多数人都在极力要求能够让他们透过这些网站进行沟通,因此对于CIO们来说,最大的挑战就在于怎样在安全与可用性之间找到平衡点。

  “很多人在到底应该与他人分享多少信息这一点上还是极其幼稚的,而我们必须要做的事情就是教育他们怎样分享信息纔是适当的,”普渡大学主管信息服务的副校长Frank Cervone时候。“我们必须做的事情就是要提高人们的认识,分清楚哪些内部信息是不能与外人分享的。”

  不过Cervone也指出,在大学环境中,鼓励人们通过社交网络去进行沟通也是非常重要的。即使在商业环境下,他也不认为组织机构应禁止人们使用社交网络。

  在今年的安全报告中,我们首先询问了人们对于社交媒体的看法,只有23%的受访者称,他们所采取的安全措施中包括了防范Web 2.0技术的手段,并且对内部人士在社交网络所发布的内容进行了控制。一个积极的信号是:每年都有越来越多的企业有专人负责监测员工们使用各种在线资源的情况––今年的这一比例为57%,去年为50%2007年为40%。有36%的受访者会监控其员工们在外部博客及社交网站上所发布的信息。

  为了避免敏感信息外泄,有65%的企业使用Web内容过滤以保障企业数据能够不逸出防火墙之外,有62%的企业能够确保他们所使用的浏览器是最安全的版本。40%的企业称,在评估各种安全产品时,对于Web 2.0技术的支持及兼容性是必不可少的。

  然而不幸的是,社交网络的不安全性并非是一个可以用技术来解决的问题,普华永道负责安全实践的一位合伙人Mark Lobel说。

  “这一问题属于文化层面而非技术层面。问题在于企业应教育员工如何聪明地使用这些网站,”他说。“从传统上看,人们一般都是通过技术路径而非社会学路径来获取安全的。所以要想在这一点上寻找到正确的安全均衡,还有很长的路要走。”

  华盛顿州小区与技术学院的安全管理负责人Guy Pace称,他的组织就采取了上面提到的多种安全手段。但他也同意Lobel的观点,认为真正的安全阵地在于办公室文化,而非技术领域。“最有效的缓解手段就是教育使用者,并创设有效的安全意识程序,”他说。

  趋势二

  零计算的风险

  既然维护物理的IT基础设施是很费钱的,那么用云服务来取代机房与繁杂应用的想法就显得非常诱人,很多企业都很难抵制住这种诱惑。然而,匆匆忙忙地闯入云中而没有采取任何安全策略,那也是极其危险的。

  根据报告,有43%的受访者正在使用云服务,例如SaaS或者IaaS(基础设施作为服务)。更多的企业在投资有助于云计算实施的虚拟化技术。67%的受访者称,他们在使用服务器虚拟化、存储虚拟化和其它形式的IT资产的虚拟化。其中有48%的企业确实认为它们的信息安全状况得到了改善,而有42%的企业认为,他们的安全状况和以前基本一致。只有10%的企业称,虚拟化产生了更多的安全漏洞。

  采用云服务,安全可能会改善一些,但是像思科公司云计算与虚拟化经理Chris Hoff这样的专家则认为,企业和服务商都需要充分认清楚与技术、运营以及因技术而产生的组织变化等因素相关的各种风险。

  “你可以去看看人们是怎么认识虚拟化的,他们对虚拟化的理解要么非常狭窄––基本上就是服务器的整合、应用与操作系统的虚拟化、把所有的东西整合到较少的物理盒子里––要么就涵盖一切:客户端桌面、存储、网络、安全等等,”他说。“然后还得加上云计算概念的混淆,你就是挠破头也想不明白这一切对于企业来说意味着什么。它们到底会对企业的基础设施造成何种影响?

  幸运的是,有些企业在这方面还是谨慎从事的。一个例子就是Atmos能源公司,它正在使用Salesforce.com来缩短对客户的响应时间,帮助营销部门管理越来越庞大的客户池,Atmos能源的CIO Rich Gius说。

  这种努力相当成功,所以Gius正在研究将公司的电子邮件系统放入云中的可行性。“云能够帮助我们解决日益增加的挑战,比如像黑莓一类的移动设备在我们的员工中间已相当普及,而移动设备的邮件服务就成了个大问题,”他说。但他还没有准备好迈出这样的一大步,这就是因为风险问题,包括安全问题,使他还难以骤下决心。一个实例就是今年5月,一批云依赖的企业就因为Google的大面积断网而影响到了企业的业务。一旦出现这种情况,很多依靠云应用(e-mail)的企业就得被呛个半死。

  Google今年5月的断网事件并非黑客造成的,但是已有种种迹像表明,犯罪分子们正在寻找各种手段以便利用云服务来实现其险恶目的。就在断网事件刚刚发生之后,攻击者们就用恶意链接导致Google搜索结果紊乱而火上浇了一把油,结果美国计算器应急响应中心(U.S.CERT)不得不发出警示,提醒人们注意云服务网站的潜在危险。

  U.S.CERT称,这次攻击是利用了Adobe软件的漏洞,在肉鸡上安装恶意程序,结果波及到了数千个合法网站。该恶意程序会盗取肉鸡上的FTP登录证书,并利用这一证书进一步扩散。它还能劫持肉机上的浏览器,用攻击者们选定的链接取代Google的搜索结果。

  IT部门经常会因为对物理的和基于云的IT设施配置不当,很容易留下易于找到的可利用的漏洞,而使攻击者们更容易施展其攻击手段。在对企业虚拟化环境的潜在弱点一项进行调查时,36%的受访者谈到了配置不当和实施不当,51%的受访者提到缺乏训练有素的IT人员。还有22%的受访者认为,培训不足和审计不足是它们公司云计算策略的最大安全危险。

  正是觉察到了这一点,而让Atmos能源的Gius不得不谨慎。“我们没有首席安全官。假如我们是一家金融服务公司,或者有大把大把的钱,那情况可能会完全不同,”Gius说。“但我们只是一家中型企业,人纔的不足使得这些技术的实施变得相当困难。”

  即便有了好的资源,云中的安全仍然是非常重要的,因为它必须要跨多个平台去管理各种风险。不存在单一的云,而是“有很多个云,它们彼此之间不存在联邦制,在应用层上也不会天然地具有互操作性,大多数都是专属各自平台的专门应用,”Hoff称。“大家把内容和应用都拿出来放在某个建筑在某人的基础设施上的公用仓库里,这种想法其实很不现实。”

  普华永道的Lobel认为,完美的安全是不存在的。“在你打算进入云服务时,就必须积极主动地去关注安全控制问题,”他说。企业如果想收回已经放任不管的数据和应用的话,那将是相当困难的,因为他们可能已经扔掉了自己的硬件和人纔。

服务热线:400-610-7333 | 邮箱:service@gpos.cn | 电话:8610-82564561/71 | 传真:8610-82564561-8025 | 京ICP备18017976号 | 京公网安备 11010802036102号 Copyright © 2005-2024 Beijing Golden Point Outsourcing Service Co., Ltd. All Rights Reserved. | 北京金支点技术服务有限公司保留所有权利。