全球信息安全領域的幾大現象大集合完整版
以下的文章主要向大家講述的是全球信息安全領域的幾個大的現象大匯總,問問2008年8月因透過不安全的Wi-Fi入侵TJX等零售店而遭到起訴的11名黑客,便知─當時有4,000萬筆信用卡與現金卡卡號被竊。
問問EDS承包Medicaid理賠處理專員:今年2月她承認犯下盜賣客戶社會安全號碼與生日數據,以冒領退稅金。
問問猶他州大學醫院聘雇來護送磁帶到異地儲存中心的快遞人員。6月的某一天,他開了自己的車,而非公司的安保車來,結果這批包含2,200萬名病患賬單資料從前座被偷。
量化安全項目的報酬率并不容易,通常因為很難算出你從避免的危機中,可獲得多少金錢報償。今年低迷的經濟,迫使決策者對任何預算提案都更加保守。即使如此,調查結果顯示,企業還是繼續購買、導入技術工具,包括入侵檢測軟件、加密和身份管理等。這倒是好消息。
然而我們研究又發現一個很嚴重的問題—太多企業仍然欠缺強制執行的一致化、尖端的安全流程。59%的受訪者說他們有“全面性的安全策略”,PricewaterCoopers首席顧問Mark Lobel說,具有CxO層級的安全主管及發展出下述的安全策略。這兩項元素越高,安全事件的發生率越低。
但是不值得令人興奮的分數卻在今年攀高。例如,56%的受訪者聘請了CxO層級的安全主管,比去年下滑4%。許多企業都會檢查網絡log看看有無可疑活動,但只有43%的人會稽核或監控使用者有沒有遵循安全政策。這個數字比2007年上升6%,但“還不到應有的水平。”Lobel說。
由此可知,安全仍然是被動而非主動的事情。做得更進步的公司則會收集來自網絡log和其它監控系統的數據,統合到商業智能系統中,以便預測出安全弱點進而加以阻止。配合加密高手與認證管理專家,安全小組還需要統計學和風險分析師,以便跑在安全威脅之前,不讓自己公司成為安全新聞的主角。
雖然我們的研究顯示“革命尚未成功”,但在發現問題之際,我們也看到一條企業通往資料安全之路,沒錯,還是要應用技術,同時發展一個讓安全技術融入所有人工作環境的流程。所以并不是完全沒有希望。現在該做的是檢討我們哪里做錯了,然后改過自新。
大方向:技術至上
有錢就有力量?在被要求指出信息安全經費的來源時,57%受訪者說是IT部門,60%表示,像是營銷、人力資源和法務部門等功能部門是他們的大金主。只有24%的人說公司有專屬的安全部門預算。
有了強大的IT部門,技術乃成為解決安全問題的主要方案。然而俗話說得好,“對一個拿槌子的人來說,什么東西都長得像釘子。”于是他們想用垃圾郵件過濾器來防堵網站釣魚攻擊,藉由加密公司資料阻絕筆記本電腦偷竊的發生。
如果真的有安全工具,我們的調查對象早就用上了。
例如,企業已經了解到,他們淘汰計算機硬件的過程必須更完善,像是清除掉硬盤里的數據和應用。目前已經用工具這么做的受訪者有65%。為數據庫 (55%)、筆電(50%)和備份磁帶(47%)及其它媒體進行加密的企業也比以前都多。使用入侵檢測軟件的比例也攀高:相較去年的59%,今年來到63%。安裝防火墻防護個別應用,而不只是服務器或整個網絡的比例,則從去年的62%增加到67%。
雖然在技術層面有所進展,但在安全流程與人員方面仍然存在隱憂—-某些購買安全防護的IT預算案仍然遭到否決。例如,加密機密數據似乎很有效,但此類技術卻無法防止員工藐視數據處理的公司政策。
犯罪活動已成為如何部署信息安全的重心了。為Wi-Fi上鎖以免讓壞蛋侵入,但好人做出壞決策,更會為我們帶來無數安全災難。
例如,員工有時著了網釣郵件的道,開啟了附件,那將會把紀錄密碼的鍵盤側錄程序,以及會取得操作系統控管權的rookit等惡意軟件散布出來。安全經理的工作是教導使用者自我防衛。不是要員工注意帶有特定主旨的最新郵件,而是更廣泛的事物,教導使用者認識點下一個不熟悉的URL、開啟附件,或者將社會安全號碼告訴網絡上任何一人時所蘊含的風險。
“想用技術來保護任何人不受到任何安全風險威脅是不可能的。我們的工作,是把我們的思維傳達給使用者。”如同Brandeis,似乎有越來越多企業正在努力這么做。今年調查中有54%的受訪者指出有提供員工信息安全課程,比去年42%增加不少。#p#
安全名單
醫療資料相關的健康保險可移植性與責任法案(Health Insurance Portability and Accountability Act, HIPAA),財務數據相關的沙賓法案,或是和信用卡數據相關的支付卡產業標準(Payment Card Industry standard)仍將是企業主管強化安全的重要推手。罰款和吃牢飯的威脅“功不可沒”。例如,和去年的40%相較,44%的受訪企業表示,只要有法律或產業規范的地方,他們就會小心檢查;43%說他們會監督使用者有沒有遵循安全政策,和去年的37%相比有長足進展。稽核內部遵循風險者高達55%,去年為 49%。
但我們切忌高興得太早。雖然成績有所進步,但距離100%還遠著呢。許多公司僅僅照章行事—而且還疏忽了基本安全把關動作,曾任微軟CSO與AT&T CISO與IT風險管理副總裁,現任W Risk Group主席的Karen Worstell說。
遵循法規和標準不見得保證就有完善的安全政策,Worstell說,原因有很多。其一,企業可能只制訂了政策而不說明如何執行,但一樣可以通過遵循稽核。另外,標準其實也有漏洞。
例如PCI要求企業必須安裝防火墻來保護持卡人的數據。但Worstell指出,該標準仍然無法解決企業在安裝了防火墻之后,是不是具有流程確保它是不是定期更新或監控其執行效率的問題。“信息安全僅符合PCI是不夠的。”她說。Hannford超市在2007年12月到2008年3月之間就發生客戶信用卡被竊情事,該公司那時已經取得“信用卡產業最高安全標準”─PCI符合認證。
而如果貴公司監控安全的范圍僅及自家防火墻內,這也是不夠的。但這正是現今企業的狀況。今年度的調查發現到,企業并不知道,顯然也不是很想知道,數據交給其它公司后會發生什么事,所以請做好雞飛狗跳的心理準備。
業務外包,安全拋到九霄云外
今年調查最令人擔憂的一點是:只有22%的受訪者,會將使用公司數據的所有外部公司記錄下來。
如果這點還不足以讓你打冷顫,我們還有別的數據。調查中只有37%的受訪者,有要求持有他們客戶或員工個人資料的第三方公司,遵循他們的隱私政策。對了解第三方公司進行審查,以了解他們如何或是有沒有數據防護措施的比例就更少了—只有28%。然而卻有75%的受訪者表示,對合作伙伴的安全效率具有信心。這不是太天真了嗎?
隨著企業開始將各種工作外包出去,對任何處理公司資料的外部業者進行審查,也就變得空前重要了,專精于商業機密防護的業界分析機構Security Constructs執行總監Tom Bowers說。在這方面,藥廠的經驗可作為其它產業殷鑒,他說。
Bowers加入Security Constructs之前曾在惠氏大藥廠(Wyeth Pharmaceuticals)擔任全球信息安全營運部門資深經理長達7年之久。Bowers的安全小組就必須對惠氏藥廠的合作伙伴仔細檢查安全措施。他們也不得不。“我們有責任保護智慧財產,不論它位于何處。不論是在我們公司,還是在都柏林的外包臨床試驗公司,或是其它不知名的地方,一處也不能漏。”
Shaklee CIO Ken Harris指出,所有企業都必須確定,外包廠商的安全水平和他們一樣高—甚至更高。“你怎么檢驗自家的安全與災難回復機制,你就那樣檢驗你的外包廠商。”他補充說:“這都是要花時間花資源去做的。”
然而企業卻因為成本或時間花費而省略安全檢驗,PwC的Lobel說。檢驗合作伙伴的安全和隱私措施,最少得用上一名全職員工兩天時間來檢查最小型的公司,他估算。“而一家大型公司一般的伙伴有上千家。”他說。
不只防護系統,更要防護信息
一個地方只要存有信息,安全經理就得時時牽腸掛肚。在我們調查中,過去一年發生過1~49件安全事件的公司有38%;而另外35%的經理不知道公司是不是有被攻擊過。這和去年結果相去不遠。
在這些曾經受害的受訪者中,有39%是透過服務器或防火墻log發現,37%是安裝了入侵偵測或入侵防御系統。但也有很大一部份 ─36%─表示,是同事告訴他們的。這些數據反映出一個千古不變的道理,就是想建構良好的信息安全環境,人的重要性不亞于技術。這再度證明定期員工訓練的重要性。
灌輸員工數據防護與完整的責任觀念,是確保公司免于安全威脅最好方法,大陸航空CISO Tim Stanley說。
Stanley將公司的所有檔案依據3種變項來分類:所有人、商業價值和風險層次。政府有“絕對機密”、“極機密”、“機密”3種等級,但大陸航空要求的更細,更靈活,分成層次和子層次。該公司會這么想,使得它比其它公司走得都要前面。只有24%的人表示,公司信息政策包含根據數據的商業價值來分類。雖然有68%根據風險程度來分類,但有30%從來沒有執行過。
此類項目的復雜性,說明了為什么比例這么低的原因。Lobel說:“這個項目要做很多工作,除非有法令規定,否則許多人不可能投入。”
Stanley預計一個項目得花3~4年。“任何和飛機飛上天,以及和錢相關的數據都算第一層。”她解釋。這包含機組人員排程、貨機和油料需求,以及信用卡處理數據。第二層或第三層也很重要,不過是非關飛行的信息,例如讓員工存取退休年金賬戶相關數據。
安全技術和程序必須和數據所有人定義的數據風險和層級相對應。層級一可能要求一天兩次備份及雙因素認證。“我可以依據數據的價值來投入適當的資源,并因此幫公司省下錢。”他說:“不用再花10元來保護價值僅5元的數據。”CEO聽到這番話一定很高興。
【編輯推薦】
