投资能得到怎样的回报?
没必要责怪掌握财务大权的人员或部门。对近30%的调查对象来说,安全这一块至少占了IT总预算的11%。但坏消息是:各种病毒、网络钓鱼攻击和蠕虫在继续兴风作浪,让人头痛不已;许多公司不断把钱砸入到防火墙和反病毒保护技术上。由此猜测这些产品类别会销声匿迹,或者至少会被并入到其他技术,未免为时过早,因为13%的调查对象表示,就容易遭到安全泄密和恶意代码攻击的程度而言,今年与去年一样,甚至还要糟糕。防火墙和反病毒保护是一半以上的调查对象认为很有效的惟一两个产品类别。
罪魁祸首是谁?复杂性,62%的调查对象提到复杂性是最大的安全挑战。如今,更多的数据出现在网络上;更多的代理程序在公司计算机上运行,员工们期望对自己使用的个人电脑拥有一定的控制权;随着出差和能源成本急剧攀升,公司越来越多地采用分支机构和远程员工,这一潮流使得数据到处分布,因为人们期望能够从客户现场、家里或者街道那边的咖啡店安全办公。
复杂性还源于需要同时满足多项法规遵从需求、对员工和用户进行安全意识方面的培训和教育,以及应对技术越来越复杂的网络。
大多数公司(63%)必须遵守一项或者多项政府或行业法规,其中许多法规措辞含糊,并没有给出具体的指导表示可以采用哪些技术来满足需求。为了满足法规遵从方面的目标,美国政府部门的信息系统安全办公室项目经理Kevin Sanchez Cherry表示他运用了非常好的实践;他所说的非常好的实践是指咨询众多有关方,包括美国国家标准与技术研究所(NIST)、SANS Institute、以及面临类似挑战的同行。由于实施了非常好的实践,他不需要把大量时间用在使多项法规遵从需求规范化上。
我们从来不缺攻击者,也从来不缺期望向我们推销解决方案以赶走攻击者的厂商。可问题是,旨在缓解安全问题的产品大多数针对范围比较狭窄的一批威胁,所以有许多竞争性的技术可供选择。要对付众多系统上种类越来越广泛的威胁,仍需要一大批这样的单点产品。这对厂商们来说是好事,但对IT人员来说是坏事。
毫无疑问,我们正面临迅速增加的一大批威胁,从外部攻击者、不怀好意的员工到授权用户,不一而足。虽然比较让人害怕的是那些身份不明的计算机犯罪分子,但内部用户却是最大的威胁,这是因为他们得到公司的信任,拥有访问权,而且了解内情。个别内部用户会另有私心,但极可能发生的一幕是:毫不知情的员工受骗上当后,透露了公司机密,或者导致泄密事件发生,而他们的本意是想起到帮助作用。这种威胁很难对付,哪怕采用严格的流程和员工安全意识计划也收效不大。足足35%的调查对象表示通过培训来阻止员工共享密码效果不大,或者完全没有效果。只有38%的调查对象认为,自己能够成功地阻止员工上社会工程学伎俩的当。
Sanchez Cherry提议使用与目标受众切身有关的实际案例,能够让对方具体了解问题所在。比方说,2006年,退伍官人管理署的一名员工丢失了含有私人信息的一台笔记本电脑。这个典例可以表明一名出于好意的员工也有可能导致数据丢失。对Sanchez Cherry这样的人来说,就可以趁此机会反复强调,让人牢记教训。
