企业会需要仰赖自动化。
网络安全可能会让组织很头痛。2016年,资料外泄让企业付出了大约40亿美元的代价,平均每次事件外泄了24,000份纪录。2017年,数据外泄的数量预期将会成长36%。持续不断的威胁和攻击已经变成主流,因此在2018年,企业预计将投资超过930亿美元在网络防卫上。甚至美国国会也加速通过法律,希望能够改善这种情况。
虽然网络安全市场的支出和创新都日益增加,但所有迹象都显示,情况只会继续恶化。每天链接上网络的未受管理装置,数量正大幅增加, Gartner预测,到了2020年,使用未受管理的装置数量会高达200亿个。传统的安全解决方案将无法有效处理这些装置,也无法保护它们免于受到黑客攻击,这应该是警讯,因为2017年上半年,物联网(IoT)设备受到的攻击就增加了280%。其实,Gartner公司预计,到了2020年会有三分之一的黑客攻击目标是物联网和影子信息科技(shadow IT;编按:这是指公司人员在内部建置使用、但未经公司正式核准使用的信息系统)。
这种新的威胁局面,正在改变网络安全的攻守情势。高阶主管若是准备运用他们一直以来采取的相同心态和工具,来处理未来网络安全的挑战,将会面临持续失败。
网络安全训练的错误万灵药
对于网络安全与认知训练的成效,目前有许多争论主要集中在两项相互竞争的观点上:人类可能是安全链当中最有效或是最薄弱的环节。但不可否认的是,随着社群工程攻击(social-engineering attack)增加和愈来愈多未受管理的装置,仰赖以人为基础的策略是否有成效,实在令人怀疑。如果你考虑到像PhishMe这类安全服务供货商最近公布的报告,这个说法就更有道理了;那份报告指出,80%已经完成网络安全训练的员工,仍然容易受到网络钓鱼的攻击。
只要点击一下连结,就会导致下载WannaCry和Petya这类恶意软件,引发一连串的全球网络安全事件。单是这个例子,应该就可视为一项绝对的证据,证明人们一直都会是企业防卫的弱点所在。
连结第一,安全第二
目前,企业员工正在使用链接装置,来推动能创造获利的活动。它们的实用与便利,为物联网设备在企业里建立了立足点,包括在办公室、医院、发电厂、制造工厂等许多地方。我们最近发现,我们82%的企业客户都在使用智能语音助理“亚马逊Echo”,而且几乎都是在高阶主管办公室里。这类装置是设计来聆听和传递信息,可能可以提高生产力,但也会带来无法量化的风险。我们最近的研究显示,亚马逊Echo容易受到隔空攻击。亚马逊已经修补了这些漏洞,可是这项发现显示,易受攻击的设备是多么容易导致机密信息外泄。
链接装置成长的速度飞快,信息科技部门和网络安全团队都跟不上。链接装置的制造很少受到监督或法规控管,而且都具备Wi-Fi和蓝牙功能,可以立刻链接。把它们引进到企业环境中的人,是不具备真正安全知识或专业技能的个人使用者,这是一大风险。用户可能考虑到生产力目标,但你根本无法指望员工会在可接受的安全准则范围内,使用链接装置。物联网的训练和认知计划,绝对没有帮助,那么,正确答案是什么?
重塑人与安全的关系
现在该是时候减轻你的相关人员(员工、合作伙伴和顾客等)的网络安全重担了。持续实施安全认知计划,可能是审慎且必要的做法,但如果你希望有任何成功的机会,就必须更仰赖智慧科技和自动化。
若要排除人为风险,表示你必须调整你对于员工、链接装置和企业整体网络防卫之间关系的看法。你必须接受这个想法:物联网和其他安全问题并不是使用者互动的问题,而是装置和系统的互动问题。物联网装置的特性就是“紧密连结”,这表示它们持续处在通讯的状态,能够散布恶意软件,而且不必与人互动就能够在系统之间迅速转换,这些全都超出了目前安全解决方案的处理范围。网络安全威胁正在跟你的工作人员相互较量:员工仍然受到自动网络钓鱼电邮的攻击,而拥有大量网络安全分析人员的组织,根本无法管理新的链接装置和软件中出现的众多安全漏洞。新的物联网攻击途径(attack vector,或称“攻击向量”)出现的速度,比它们能够被处理的速度还要更快;这类攻击的例子像是BlueBorne和KRACK,它们会在人们周遭感染各种装置和网络。
智能网络安全系统
为了管理目前的网络安全,你的系统必须具备智能,能够在没有人为监督的情况下运作,知道何时应采取主动或防御的行动,以及如何采取这类行动。
至于链接装置,未来在企业中使用的数量会非常大,因此不可能让员工自己或者人员不足的信息科技部门和安全团队,自行分辨和停止有风险的活动。若要能辨识出具有威胁性的装置和行为模式,你的物联网安全系统就必须要具备足够智慧,能够做到下列事项:发现所有的链接装置,以及它们引进的安全漏洞;批准和拒绝网络的权限;从不断演变的情况中学习,以便经过一段时间之后变得更有成效。
智能产品能够学习,了解链接装置上安全和不安全的活动样貌的模式;若只是检视手机、喇叭或网络摄影机,是无法辨识那些模式的。我曾经看过被黑客入侵的平板计算机把影像从董事会的会议室里,传输到某个未公开的位置。那个平板计算机并未显现出被骇的迹象,既有的传统安全解决方案也没有发现这项活动。只有透过辨识它的行为和传输模式,我们才能够看出这个风险。智能系统就能够立即辨识出这种可疑的讯息传输行为。
最后,智能系统能够采取行动。一旦系统学会如何辨识可疑行为,就能够立即停止某项装置被恶意使用。例如,它可以完全关闭殭尸网络(botnet)的攻击,防止它链接其他装置,或是限制它能够造成的损害。如果你能够控制链接装置,就可以维持只有一个装置被感染,而不会让整个网络都被黑客接管,这两种情况的后果非常不一样。
设计来防卫其他威胁的安全科技也是如此。无法自行辨识和阻挡攻击的反网络钓鱼技术,基本上迟早都会碰到灾难。手动修补流程也没有什么价值。
新的现实
企业受到的攻击来自所有方向,透过所有管道,而物联网创造了更庞大的攻击面。高阶主管要为绩效负责,或者说为缺乏安全绩效负责,而企业则会面临一连串的后果,从品牌损失、恢复原状的成本,一直到资料外泄导致顾客流失。目前,保护你的系统和网络所牵涉到的风险,比过去更高,而新的物联网现实情况,又让事情更加复杂。我们过去仰赖的解决方案,例如训练员工,无法减少企业面临的庞大安全挑战。物联网的影响范围过于复杂,传统的安全团队很难用旧有的解决方案来管理。现在正是时候,应该将员工从讨论中排除,迈向更有智慧、也更安全的未来。