多年来,每隔数周,都会有重大的数据外泄事件发生,最新的一起事件受害者为:南卡罗莱纳州税务局。税务局387000张信用卡与借记卡卡号遭曝光。安全威胁日益频繁,安全研究人员下了软件威胁定义,将上周的新PDF溢出漏洞zero-day之类的漏洞,定义为新型恶意威胁。
网络犯罪搞得人心惶惶。如同看了电视上的犯罪报道,人们会购买报警系统那样,听闻恶意软件攻击,以及灾难性数据外泄的发生,各企业不得不加强安全防御。各类风险不断涌现,它们形式多样,如移动设备恶意软件,公共云服务,以及BYOD混乱等,使人们的神经绷得更紧。
表面上看来,对计算机安全产业而言,这是件好事,它们能够大量销售各类解决方案,锁定系统。常规的防御组合为:防火墙,反恶意软件,访问控制,安全项目管理,加密,IDS/IPS(入侵检测/入侵防御)等。安全供应商煞费苦心,在常规基础上增添了移动设备管理,以及安全解决方案。
如同药物久置会失效,那些久享盛名安全对策已逐渐失去其价值。例如,无论更新多频繁,没有一款反恶意软件能检测出所有已知威胁,更何况zero-day这类安全风险。诚然,你仍需要反恶意软件,以及以上的这些防御措施(虽然InfoWorld的Roger Grimes建议,人们已不再需要防火墙)。然而,知晓这些措施的可为与不可为之处,依然很有必要。
事实上,于多数商业而言,采取如最新修复功能,以及避免点击钓鱼邮件等常规方式,也仅仅是“足够”应对普通威胁而已。没有所谓的零风险,不过,你不必自找麻烦,也能降低风险。
若你的业务必须接触大量珍贵数据,且有黑客觊觎一旁,除断网以外,你可以选择全面建立安全屏障,不过黑客还是有办法找出漏洞,进入系统。首先,笔者所谈论的,是有组织犯罪,以及外国政府通过高级持续攻击,剽窃知识产权。
一方面而言,对于恐慌的蔓延,安全产业起了推波助澜的作用,这也许会导致过度防御的产生。例如,笨拙的访问控制会降低生产力,它们使用户无法访问所需数据。若你对移动设备采取高压政策,也许用户们会开始“越狱”。
另一方面,若你是高危攻击目标,除非你的安全预算可媲美美国国防部,不然,也许你已做好了心理准备,随时受黑客攻击。
根本上而言,多数机构通过用户意识培养,以及持续修补功能来提升安全防御度——还有如多重身份验证,适当网络分割等其它措施。不过,我们需要做的还有许多。
如今,安全产业是时候收敛一些,不再使用恐吓战术,或一些权宜之计,而是能帮助企业挑选最佳方案。也许这会使销售量下滑,不过,若供应商能够提供此类援助,他们会因此获得极高的客户忠实度。