【51CTO.com快譯自7月15日外電頭條】對于企業(yè)中的IT管理人員來說，來自內(nèi)部的威脅是最讓人頭疼的，Web2.0的實施、法規(guī)遵從以及各項應(yīng)用都密切影響著企業(yè)的安全性。日前，Cisco發(fā)布了半年一度的威脅報告，對如何解決這些密切相關(guān)的問題給出了常規(guī)建議。

最難以抵御的似乎就是內(nèi)部威脅

這個問題是近期的新聞熱點，一些能源企業(yè)和美國國務(wù)院成為了最出名的受害者。

“有三個原因造成內(nèi)部威脅問題越來越嚴(yán)重，”Cisco高級研究人員兼首席安全官Patrick Peterson說?！笆紫仁墙?jīng)濟問題，許多員工出于絕望而卷入了違法活動。第二個原因是雇主與雇員之間的關(guān)系發(fā)生了變化，員工們現(xiàn)在越來越不信任他們的雇主。第三個原因是全球化和外包服務(wù)的擴展?！?/P>

針對這一威脅，Peterson說，企業(yè)需要擁有強健的識別和審計機制，但也不能矯枉過正。他指出，比如蒙大拿州波茲曼市最近要求求職者必須提供出他們在各種社交網(wǎng)站上的所有賬戶名和密碼，“他們確實注意到了真正的威脅，但他們執(zhí)行的策略可能是非法的，而且肯定是不必要的”他說。

Peterson說，企業(yè)必須能夠識別風(fēng)險，并且針對具體的工作職能和業(yè)務(wù)范圍來應(yīng)用不同的策略。“不可能存在一個一刀切的政策，”他說，“我們以前曾多次強調(diào)，你必須要對風(fēng)險進行充分了解?！?/P>

“然而許多企業(yè)并不把重點放在深入了解風(fēng)險上，并且沒有制定如何最小化風(fēng)險的戰(zhàn)略，這是多么令人吃驚，”Peterson承認(rèn)現(xiàn)在的事實是安全策略往往過于受到遵從性的影響，而不是根據(jù)風(fēng)險管理來制定。此前，51CTO.com此前發(fā)表的文章中介紹了實現(xiàn)風(fēng)險管理的六大評估方法，專家也建議，風(fēng)險評估的意義在于對風(fēng)險的認(rèn)識，而風(fēng)險的處理過程，可以在考慮了管理成本后，選擇適合企業(yè)自身的控制方法，對同類的風(fēng)險因素采用相同的基線控制，這樣有助于在保證效果的前提下降低風(fēng)險評估的成本。

Peterson解釋說，這意味著他們必須在問題出現(xiàn)后才開始解決問題。任何人都不應(yīng)當(dāng)還在為一個兩年前就已經(jīng)確定的問題費力，但在現(xiàn)實世界中，有許多人還是這樣。

“CSO（首席安全官）們必須發(fā)揮領(lǐng)導(dǎo)作用，看看現(xiàn)實世界中的風(fēng)險問題，”他說。他指出，有些行業(yè)往往要等到問題發(fā)展到出現(xiàn)狀況，比如金融服務(wù)行業(yè)的企業(yè)們，他們一般要等到某個同行因為安全問題而上了報紙的大標(biāo)題時，才著手解決問題。Peterson說當(dāng)發(fā)生這種情況時，他們至少還應(yīng)該努力找出為什么沒有在閱讀新聞之前發(fā)現(xiàn)問題。

軟件開發(fā)將得到保護

新的軟件開發(fā)平臺可以幫助企業(yè)在開發(fā)新應(yīng)用時管理內(nèi)部威脅的問題。IBM發(fā)布了基于云計算的授權(quán)軟件來解決這個問題。開源項目TeamForge也做出承諾來幫助企業(yè)處理好這個問題。

Verizon Business在上周宣布了提供一項應(yīng)用安全服務(wù)，能夠幫助企業(yè)管理整個項目生命周期，甚至改善他們的軟件開發(fā)流程。

Peterson說這些服務(wù)是的確是企業(yè)需要的。“開發(fā)工作變得更加快速復(fù)雜，現(xiàn)在的風(fēng)險比以往要高得多，如果你出現(xiàn)錯誤，尤其是網(wǎng)絡(luò)應(yīng)用，”他說，“壞家伙們的攻擊來得這么快?！?/P>

SaaS和Web 2.0

很多企業(yè)非常關(guān)注Web 2.0，他們應(yīng)該了解它能夠為他們帶來什么，但同時也不能忽視風(fēng)險?！鞍踩{和傳染病有很多相似的地方，” Peterson說，“尤其是社區(qū)網(wǎng)絡(luò)，有些社區(qū)網(wǎng)簡直是我的噩夢，就好像一位傳染病醫(yī)生看到屋子里的每個人都在向別人打噴嚏那樣。”

想要降低風(fēng)險就要以犧牲性能為代價。Peterson說，他使用過的最安全的電子郵件服務(wù)還是1987年他在斯坦福大學(xué)讀本科那時候?！拔铱梢越o學(xué)校里的任何人發(fā)送電子郵件，這比我現(xiàn)在使用的更安全，但它的功能放現(xiàn)在連小兒科都說不上了，”他說。

社區(qū)網(wǎng)絡(luò)的安全策略必須建立在真實數(shù)據(jù)的基礎(chǔ)上。如果繼續(xù)隨心所欲，無論是用戶還是IT部門最終都會焦頭爛額。

怎樣進行培訓(xùn)

關(guān)于如何進行安全培訓(xùn)，Peterson認(rèn)為視頻的力量比文字強大得多，即使是進行高級別的培訓(xùn)?！爱?dāng)我拿出視頻，讓他們親眼看看那些瀏覽網(wǎng)頁的人發(fā)生了什么事，這時即使是那些已經(jīng)很懂行的安全人員，他們的眼睛也會發(fā)亮，我知道他們又有了新的理解，”他說。

“你不能只說‘不要碰爐子，燙手’或者‘小心Windows ActiveX的漏洞’之類的空話，你需要實質(zhì)性的溝通。一旦他們明白‘有些人想要傷害我和企業(yè)’，就已經(jīng)成功了一半，”他說。

企業(yè)的安全指導(dǎo)方針不能太長，要便于記憶，縮短指導(dǎo)方針的方法之一是為特定的工作職能或業(yè)務(wù)范圍分別定制指導(dǎo)方針。另外他補充到，許多安全策略的書籍都是十多年前寫的了，而現(xiàn)在需要關(guān)注的項目增加了很多，但沒有一項可以刪除。

【編輯推薦】

1. 完全解密企業(yè)信息安全風(fēng)險評估
2. 信息系統(tǒng)安全風(fēng)險評估應(yīng)用：基礎(chǔ)知識
3. 信息系統(tǒng)安全風(fēng)險評估應(yīng)用：評估過程

【51CTO.com譯稿，非經(jīng)授權(quán)請勿轉(zhuǎn)載。合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?

原文：Cisco Threat Report Deals With Internal Issues  作者：Alex Goldman