2015年,IT安全基礎設施必須進行重新布局
譯文考慮到近年來的IT技術發展趨勢,云計算以及“即服務”模式正在快速興起、社交媒體作為企業營銷及協作工具的角色開始受到肯定、而移動技術的大規模應用也已經成為毋庸置疑的現實——這一切都將帶來越來越龐大的分布式勞動力群體。
隨著上述發展趨勢在IT前景中的持續涌現,針對系統及數據的安全威脅也呈現出多樣化、分散化以及日益復雜的發展態勢。有鑒于此,眾多企業必須考慮籌備應對措施——或者至少應當改進自身的信息安全戰略。
“企業應當不斷評估自身安全基礎設施。攻擊者們會不斷學習并改變侵襲戰術,因此要在這場持久戰當中生存下來、企業必須拿出自己的安全規劃,”Forrester研究公司安全與風險管理分析師Tyler Shields指出。
“我認為由于存在某些公開度較高安全漏洞,某些行業在安全性水平提升方面的行動相對更晚,”Shields表示。“零售業與金融服務行業已經受到了沉重打擊,它們最近開始頻繁提高警戒水平以降低出現其它狀況的可能性。”
保護的對象應該是數據而非系統
目前安全領域最為突出的趨勢之一在于,安全保護工作的重心似乎在由過去的系統及應用程序轉移到數據本身。Target以及Home Depot等零售商已經以高調方式暴露出安全漏洞,而這也使得更多企業進一步關注客戶數據保護,并愿意在這方面投入更多資源與努力。
作為一家專門銷售各類家居服務器的零售商,Wayfair公司已經建立起一個專門的團隊來構建整體安全環境。該公司最近還推出了一系列極具針對性的關鍵性舉措及技術,包括安全事故緩和、敏感數據標記以及多因素認證機制等等,希望借此拓展并保護客戶數據。
“對于零售行業而言,技術與服務開始將注意力集中在保護客戶數據方面——而簡單的認證機制已經被淘汰出局,”Wayfair公司CIO Jack Wood指出。“作為簡單認證機制的替代性方案,很多在線企業開始引入各類雙因素認證技術。客戶通常需要回答安全問題或者識別特定圖像后才能順利完成登錄。”
根據Wood的觀點,以防火墻為代表的技術也在持續發展,并在當下的業務環境中扮演著愈發重要的實用性角色。“下一代防火墻與雙因素認證機制將是安全武器庫中的無價之寶,”他表示。“此類技術允許我們權衡增加容量的必要性,并在幾乎不會影響到業務運轉的前提下進行實時ACL(即訪問控制列表)判斷。”
數據保護工作中的核心組成部分之一在于用戶培養。“安全意識與培訓代表著一種喜人的變化,”Wood指出。“發生在安全郵件列表當中的通信數量十分驚人。我們發現員工開始更為積極地就異常電子郵件或者奇怪的插件向安全人員提出咨詢。”
通過不斷評估行業數據以及來自自身網站的信息,Wayfair公司“能夠提供一套針對潛在威脅載體的良好風險評估機制,”Wood表示。“在此之后,我們根據多種因素——例如潛在影響、成本以及攻擊可能性等等——對其進行優先級排序。”
進定步提高主觀能動性
某些企業提出的發展目標在于進一步提高主觀能動性,從而有效檢測并阻止攻擊活動。
“我們的戰略在于將原有的固守性心態轉化為快速檢測及響應態勢,”亞利桑那大學CIO Michele Norin指出。“我們以更為積極的態度關注自身網絡運行狀況——同時快速識別、遏制及消除威脅——這也成為我們在安全領域做出的主要成就之一。”
Michele Norin
這種方式符合由美國國家標準與技術研究所(簡稱NIST)所提出的新型安全框架要求。
Norin指出,主觀能動性意味著以更為有效的方式理解高校校園網絡中的各類活動并觀察其異常狀況。這也意味著對安全基礎設施作出評估以找出能夠確切實施的改進方案。
“我們不斷評估自身安全環境,旨在評估漏洞、風險區域、優勢并最終作出必要的改進,”她表示。“作為一家大型研究機構,我們常常把自身視為一座小型城市,其中我們需要面對的復雜性難題主要涉及由學生、教師、員工、家長、校友及公眾所各自構成的不同社區。”
亞利桑那大學長久以來一直采取多管齊下的方式對不同社區的信息資產加以保護,其中包括安全意識活動、保護技術層、密碼更新程序、軟件工具、政策與指導方針以及各類行業最佳實踐等等。但是最近一段時間,校方的IT團隊在安全保護方面感受到前所未有的緊迫感。
“時至今日,黑客所用于侵襲我們系統的攻擊手段已經在復雜性與強度水平方面提升到新的級別,這迫使我們必須加快努力改進的步伐,”Norlin指出。
安全技能來源——招聘還是采購
在金融及醫療等領域,保護客戶數據的重要性可謂不言而喻——但實現這一目標也面臨著重大挑戰。
“在醫療行業當中,企業的關注重點在于如何以更低成本為病患帶來更多、更好的治療效果,”Draper & Dash公司CEO Orlando Agrippa表示,這是一家位于倫敦的醫療行業業務分析服務供應商。他同時也曾在Barts Health NHS Trust擔任過CIO兼信息主管職務。
“診療經驗共享趨勢促使不少國家的醫院將更多數據推向公共平臺——但在享受便利之外,這種機制也提出了一系列安全性方面的實際要求,”他解釋稱。
即使如此,很多醫療機構也并不具備專業知識與之相匹配的信息安全專業人士,甚至無法就會來自初級黑客的攻擊活動,Agrippa表示。醫療機構需要構建起內部“創新中心”,在這里他們可以聘用具備一流技術的企業或者個人幫助他們獲得業界領先的安全保護方案。
“招徠聰明的青年才俊幫助我們引導并塑造信息安全體系,”Agrippa建議道。“大部分此類人才能夠把醫療機構的敏感信息翻個底時用天,而這將以直觀方式幫助我們找到現有方案與理想水平之間的具體差距。”
— Bob Violino
在高校的安全規劃當中,最重要的變革在于努力開拓對網絡流量、使用模式以及性能異常的審視。“從大部分硬件及軟件工具提供的特性日志記錄當中收集更多相關數據,”Norin指出。“數據規模的提升允許我們以更快、更為廣泛的方式對問題加以檢測及解決。因此,在大多數情況下,我們能夠在特定用戶賬戶遭受攻擊之前識別出潛在問題。”
舉例來說,通過評估VPN使用模式,管理者們可以了解哪些網絡流量合法、而哪些網絡流量不合法。
此外,防火墻及密碼構成了安全技術領域的又一個重要區域,Norin表示“我們需要一套新型方案來實現身份驗證及保護。”舉例來說,她解釋稱“我們開始推出一套新的雙因素認證方案,旨在將額外驗證步驟添加到現有(身份管理)與密碼機制當中。”不過她拒絕透露亞利桑那大學所使用的具體安全技術。
新的NIST框架“成為我們對安全規劃進行重塑的背景與基礎,”Norin表示。她同時指出,NIST方案所圍繞的核心理念在于,組織應當假設自身安全體系已然遭到破壞、因此需要專注于打造快速檢測與事故緩和機制。
#p#
考慮將數據保存在哪里以及如何保存
出于安全方面的考量,企業同樣開始對其關鍵性業務數據的存儲機制作出調整。
舉例來說,位于馬里蘭州拉納姆市的貿易展覽及活動服務廠商Hargrove公司就將敏感數據與主要及使用頻繁的服務器當中剝離出來,并將其存儲在使用頻率較低的系統當中,從而保證只有少數用戶能夠對其進行訪問。
盡管大多數員工根本不會刻意訪問這些數據,但“最好還是能夠將其徹底遷移到此類高利用率服務器之外,”Hargrove公司CIO Barr Snyderwine表示。“我們還添加了額外的存儲機制并在針對性項目中重新定義了面向此類文件的訪問機制。我們采取更為細化的處理方案,旨在保證面向此類文件的訪問能夠正常進行、而所涉及數據確切與該項目相關聯。”
Barr Snyderwine
Hargrove公司目前正在構建新的項目,希望通過技術更新打造出屬于自己的文件系統,從而確保其針對每一種員工類型提供正確的訪問級別。該項目還在嘗試運用數據丟失預防軟件,其設計目的在于檢測潛在數據泄露事故并預防其內容在使用、網絡傳輸、訪問或者保存在數據存儲系統中時受到敏感數據監控或者屏蔽機制的影響。
除此之外,Hargrove公司的2015年安全發展規劃則考慮使用第三因素認證外加以指紋掃描技術為代表的生物識別系統。
“從我個人的角度來看,全部原有陳舊方案(例如防火墻及密碼)將仍然生效,但單靠它們并不足以實現安全保障,”Snyderwine指出。“我們需要引入新的技術成果,并嚴格審查哪些用戶訪問過哪些內容。”
Hargrove公司并不單單關心數據應該被保存在哪里以及哪些用戶有權對其進行訪問,他們同時也會通過評估了解特定類型的信息是否應當被保存下來——如果答案是肯定的,那么保存周期應該是多長。
為了進一步保障數據安全,Hargrove公司還聘請了一家安全企業對其安全措施以及應對突發事件的能力進行審查。這一決定的初衷在于“在整體層面提高對攻擊活動”以及其它可能影響企業及其聲譽的潛在威脅的關注程度,Snyderwine解釋道。
“我們將利用安全企業的技術優勢評估我們的整體安全措施、政策以及規程,”他解釋稱。“我向他們展示了一些具體方案,包括訪問、檢測系統以及響應機制。我們也在積極尋求圍繞數據訪問及滲透為核心的改進及規范途徑。”
移動因素
在目前企業所面臨的各類重大挑戰當中,移動IT環境已經成為威脅安全保障的關鍵性要素——我們一方面需要保護設備自身的物理安全,同時也要保證其在訪問業務信息及企業網絡時的安全性。
“移動技術的逐漸發展將訪問及數據本身推向了傳統安全控制及網絡無法觸及的外部環境,”Forrester公司分析師Shields表示。“IT部門必須采取新的規范并確立新的處理方式。只有這樣,我們才能切實保護個人設備及外來網絡當中的各類臨時性及本地性數據。”
在Wayfair公司,移動技術“是我們最為關注的技術領域之一,因為移動平臺已經逐步成為攻擊活動的主要切入點,”Wood指出。“移動技術的普及還帶來了更多操作系統、瀏覽器以及軟件等需要維護的因素類型。隨著移動設備成為越來越引人關注的熱門渠道,與之相關的安全性問題也將繼續作為我們的關注重點。”
Wayfair公司的IT與安全團隊正在利用大數據探索使用趨勢與客戶模式,進而定義出適合該公司的移動安全戰略。“當我們發現某種特定平臺得到廣泛普及之后,我們能夠轉變努力方向、加快風險評估步伐并積極實現安全漏洞管理,”Wood表示。“分析與大數據技術將幫助我們了解客戶群體中使用頻率最高的設備類型。”
舉例來說,如果Android用戶代表著客戶群體當中增長速度最快的部分,那么Wayfair公司將把更多工程技術資源轉移到與Android設備相關的研究工作當中。
“在移動領域實現安全保障的主要挑戰之一,”Norin指出,“在于提醒人們應該像對待計算機那樣對待自己的手機——包括使用密碼保護、保持軟件更新、盡可能使用‘查找我的設備’工具并當心釣魚詐騙活動。”
她表示,亞利桑那大學的移動環境具備相當的特殊性,這是因為校園社區中的大部分成員都屬于臨時性參與者。“學生在進入校園后往往帶著多種設備,一般來講每個人平均攜帶有三種不同設備,”Norin解釋道。“教職員工有時候使用由校方提供的移動設備,有時候則使用自己購買的消費級產品。”
鑒于移動設備使用規模的持續增長,再加上移動技術自身所固有的高復雜性因素,亞利桑那大學在多數情況下會重新評估現有政策以確定哪些部分需要作出改變,Norlin表示。
移動技術普及同樣引起了Hargrove公司的高度關注。“受到業務類型的影響,我們熱情擁抱移動技術。我們還需要確保自身準確把握發送至移動設備端的用例與數據,”Snyderwine指出。
為了強化移動安全水平,Hargrove公司大力推廣基于使用情況的管理政策以及微軟Exchange Server,希望借此管理其移動數據以及電子郵件等應用程序的使用方式。
Hargrove公司將對其它產品進行廣泛評估,從而進一步提高移動設備上的數據安全性水平。根據Snyderwine的說法,他希望通過部署技術方案幫助IT部門實現數據加密、并有針對性地清除用戶設備上的業務相關數據。Hargrove公司還將在今年年內對各類移動設備管理軟件加以評估。
移動技術的快速普及僅僅是當下企業所面臨的眾多安全挑戰之一。對于IT部門而言,惟一不變的就是安全事務的快速變化特性——而那些能夠緊跟時代發展步伐的企業則更有機會在保護有價值數據資產方面取得成功。
英文:Your IT security infrastructure, rebooted for 2015
