根據(jù)上周剛剛發(fā)布的報(bào)告稱，隨著企業(yè)內(nèi)應(yīng)用數(shù)量的增加，保持業(yè)務(wù)應(yīng)用的可訪問(wèn)性和安全性變得越來(lái)越困難。該調(diào)查顯示，信息安全專業(yè)人士希望企業(yè)業(yè)務(wù)方面的管理人員更積極地參與應(yīng)用風(fēng)險(xiǎn)管理過(guò)程。

[[112005]]

網(wǎng)絡(luò)安全政策管理服務(wù)供應(yīng)商AlgoSec公司在其2014年網(wǎng)絡(luò)安全狀態(tài)報(bào)告中，采訪了2014年RSA大會(huì)上142位安全和網(wǎng)絡(luò)運(yùn)營(yíng)專業(yè)人士。該調(diào)查旨在確定受訪者在平衡業(yè)務(wù)關(guān)鍵應(yīng)用的安全和訪問(wèn)要求時(shí)所面臨的挑戰(zhàn)。調(diào)查發(fā)現(xiàn)，企業(yè)內(nèi)部署的應(yīng)用正在急劇增加，60%的受訪者表示他們的企業(yè)有超過(guò)50個(gè)應(yīng)用需要管理，而20%的受訪者需要負(fù)責(zé)超過(guò)500個(gè)應(yīng)用。

該報(bào)告稱，這些海量應(yīng)用正在給安全和網(wǎng)絡(luò)專業(yè)人士帶來(lái)各種挑戰(zhàn)，約有一半的受訪者表示，最大的挑戰(zhàn)是簡(jiǎn)單地識(shí)別和優(yōu)先排序關(guān)鍵漏洞。

另外，21%的受訪者指責(zé)負(fù)責(zé)這些應(yīng)用的業(yè)務(wù)部門，聲稱他們不愿意或者不能夠解決已經(jīng)發(fā)現(xiàn)的漏洞。另外24%的受訪者表示他們的企業(yè)根本不了解業(yè)務(wù)方面的安全風(fēng)險(xiǎn)，讓他們沒(méi)有辦法及時(shí)修復(fù)漏洞。

總體而言，AlgoSec報(bào)告的受訪者中，超過(guò)90%的受訪者認(rèn)為企業(yè)利益相關(guān)者應(yīng)該承擔(dān)與應(yīng)用相關(guān)的“自己的風(fēng)險(xiǎn)”，而不是將這種風(fēng)險(xiǎn)全權(quán)交給安全和網(wǎng)絡(luò)團(tuán)隊(duì)負(fù)責(zé)。

AlgoSec公司營(yíng)銷和戰(zhàn)略副總裁Nimmy Reichenberg同樣認(rèn)為，業(yè)務(wù)領(lǐng)導(dǎo)最終需要負(fù)責(zé)應(yīng)用風(fēng)險(xiǎn)管理，并將這些利益相關(guān)者和戶主進(jìn)行類比。戶主可以聘請(qǐng)安全顧問(wèn)來(lái)保護(hù)他們的家不會(huì)被盜竊，例如，安全顧問(wèn)的建議可能是建造一個(gè)柵欄、安裝警報(bào)系統(tǒng)，或者甚至挖一條護(hù)城河，并在里面喂養(yǎng)鱷魚。他表示，戶主必須權(quán)衡每種安全措施的成本和優(yōu)勢(shì)，并將其與入侵實(shí)際風(fēng)險(xiǎn)進(jìn)行對(duì)比。

同樣的道理，Reichenberg表示，“安全從業(yè)人員也應(yīng)該分析這種風(fēng)險(xiǎn)，并回答這些問(wèn)題，你的風(fēng)險(xiǎn)的承受能力如何?為了得到更好的保護(hù)，你想要投入多少資金?最后，企業(yè)應(yīng)用所有者需要了解其應(yīng)用的風(fēng)險(xiǎn)水平，并確定部署何種措施。”

面對(duì)Heartbleed OpenSSL漏洞，非常重要的是強(qiáng)調(diào)這個(gè)漏洞的嚴(yán)重性以及及時(shí)修復(fù)漏洞的必要性，但安全專業(yè)人員也應(yīng)該讓決策者了解該漏洞存在于業(yè)務(wù)關(guān)鍵性web服務(wù)器還是不會(huì)造成太大影響的服務(wù)器中。Reichenberg表示，由于大型企業(yè)可能會(huì)有數(shù)百臺(tái)web服務(wù)器，提供這些信息能使企業(yè)領(lǐng)導(dǎo)者做出更明智的安全決策，并且，在Heartbleed的情況下，這允許安全團(tuán)隊(duì)優(yōu)先考慮為有漏洞的服務(wù)器安裝補(bǔ)丁。

“這只是一個(gè)漏洞。如果你見(jiàn)過(guò)漏洞掃描儀的結(jié)果，你會(huì)看到幾十萬(wàn)漏洞，幾乎超過(guò)你的能力范圍，”Reichenberg表示，“我們的想法是，拿著一個(gè)業(yè)務(wù)應(yīng)用，并說(shuō)‘這個(gè)應(yīng)用存在整體水平的風(fēng)險(xiǎn)’，如果這種風(fēng)險(xiǎn)超過(guò)企業(yè)的承受閾值，那么，你需要采取一些行動(dòng)。”