2016年的五大主導(dǎo)信息安全趨勢(shì)
4、網(wǎng)絡(luò)犯罪造成的安全威脅風(fēng)暴
本文引用地址:http://2s4d.com/article/201601/285206.htm德賓說,網(wǎng)絡(luò)犯罪高居2015年安全威脅名單榜首,而這一趨勢(shì)在2016年并不會(huì)減弱。網(wǎng)絡(luò)犯罪以及黑客活動(dòng)的增加,迫使企業(yè)必須遵從不斷提升的監(jiān)管要求,不懈追求技術(shù)進(jìn)步,這使得企業(yè)在安全部門的投資激增,而這些因素結(jié)合起來,可能形成安全威脅風(fēng)暴。那些采用了風(fēng)險(xiǎn)管理辦法的企業(yè)需要確定那些企業(yè)的業(yè)務(wù)部門所最為依賴的技術(shù),并對(duì)其進(jìn)行量化,投資于彈性。
網(wǎng)絡(luò)空間對(duì)于網(wǎng)絡(luò)犯罪分子和**而言,是一個(gè)越來越有吸引力的攻擊動(dòng)機(jī)、和賺錢來源,他們會(huì)制造破壞,甚至對(duì)企業(yè)和政府機(jī)構(gòu)實(shí)施網(wǎng)絡(luò)攻擊。故而企業(yè)必須為那些不可預(yù)測(cè)的網(wǎng)絡(luò)事件做好準(zhǔn)備,以便使他們有能力能夠承受住不可預(yù)見的,高沖擊性的網(wǎng)絡(luò)事件。
“我看到越來越多日益成熟的網(wǎng)絡(luò)犯罪團(tuán)伙?!钡沦e說。他們的組織非常復(fù)雜和成熟,并具有良好的協(xié)調(diào)。我們已經(jīng)看到網(wǎng)絡(luò)犯罪作為一種服務(wù)的增加。這種日益增加的復(fù)雜性將給企業(yè)帶來真正的挑戰(zhàn)。我們真的進(jìn)入了一個(gè)新的時(shí)代,您根本無法預(yù)測(cè)一個(gè)網(wǎng)絡(luò)犯罪是否會(huì)找您。從企業(yè)的角度來看,您要如何防御呢?
問題的部分原因在于,許多企業(yè)仍然還處在專注于保衛(wèi)企業(yè)外部邊界的時(shí)代,但現(xiàn)如今的主要威脅則是由于企業(yè)內(nèi)部的人士,無論其是出于惡意目的或只是無知采取了不當(dāng)?shù)陌踩珜?shí)踐方案,這使得網(wǎng)絡(luò)威脅日漸已經(jīng)開始向外圍滲透了。
“不管是對(duì)是錯(cuò),我們一直是將網(wǎng)絡(luò)犯罪視為是從外部攻擊的角度來看,所以我們?cè)噲D采用防火墻來簡(jiǎn)單應(yīng)對(duì)?!钡沦e說。“但企業(yè)還存在來自內(nèi)部的威脅。這讓我們從企業(yè)的角度來看,是一個(gè)非常不舒服的地方。”
事實(shí)的真相是,企業(yè)根本無法對(duì)付網(wǎng)絡(luò)犯罪,除非他們采取更具前瞻性的方法。
“幾個(gè)星期前,我在與一名大公司的擁有九年工作經(jīng)驗(yàn)的首席信息安全官交談時(shí),他告訴我說,借助大數(shù)據(jù)分析,他現(xiàn)在已經(jīng)在整個(gè)企業(yè)幾乎完全實(shí)現(xiàn)了可視化。在從業(yè)了九年后,他發(fā)現(xiàn)網(wǎng)絡(luò)罪犯的這種能力也在不斷積累。而我們的做法只是不斷地被動(dòng)反應(yīng),而不是主動(dòng)的防御?!?/p>
“網(wǎng)絡(luò)犯罪分子的工作方式卻不是這樣的?!彼a(bǔ)充說?!八麄兛偸窃噲D想出一個(gè)新的方法。我認(rèn)為我們還不擅長(zhǎng)打防守。我們需要真正將其提高到同一水平。我們永遠(yuǎn)不會(huì)想出新的方法。而在我們企業(yè)內(nèi)部甚至還存在這樣的想法:即然我們還沒有被攻破,為什么我們要花所有這些錢呢?”
5、技能差距將成為信息安全的一個(gè)無底深淵
隨著網(wǎng)絡(luò)攻擊犯罪份子的能力日益提高,信息安全專家們正變得越來越成熟,企業(yè)對(duì)于信息安全專家的需求越來越多。而網(wǎng)絡(luò)犯罪分子和黑客也在進(jìn)一步深化他們的技能,他們都在努力跟上時(shí)代的步伐,德賓說。企業(yè)的首席信息安全官們需要在企業(yè)內(nèi)部建立可持續(xù)的招募計(jì)劃,培養(yǎng)和留住現(xiàn)有人才,提高企業(yè)網(wǎng)絡(luò)的適應(yīng)能力。
德賓說,在2016年,隨著超連通性的增加,這個(gè)問題將變得更糟。首席信息安全官在幫助企業(yè)及時(shí)獲得新的技能方面將需要更積極。
“在2016年,我認(rèn)為我們將變得更加清楚,也許企業(yè)在其安全部門并沒有合適的人才?!彼f。我們知道,企業(yè)有一些很好的技術(shù)人員可以安裝和修復(fù)防火墻等。但真正好的人才則是可以在確保企業(yè)網(wǎng)絡(luò)安全的情況下,滿足業(yè)務(wù)的挑戰(zhàn)和業(yè)務(wù)發(fā)展。這將是一個(gè)明顯的弱點(diǎn)。企業(yè)的董事會(huì)也開始意識(shí)到,企業(yè)網(wǎng)絡(luò)是他們做生意的重要方式。我們還沒有在業(yè)務(wù)和網(wǎng)絡(luò)安全實(shí)踐之間建立起聯(lián)系?!?/p>
在某些情況下,企業(yè)根本沒有合適的首席信息安全官會(huì)變得相當(dāng)明顯。而其他企業(yè)也必須問自己,安全本身是否被放在了恰當(dāng)?shù)奈恢谩?/p>
德賓說:“您企業(yè)無法避免每一次嚴(yán)重的事件,雖然許多企業(yè)在事件管理方面做得很好,但很少有企業(yè)建立了一套有組織的方法來評(píng)估哪些是錯(cuò)誤的?!币虼?,這會(huì)產(chǎn)生不必要的成本,并讓企業(yè)承擔(dān)不適當(dāng)?shù)娘L(fēng)險(xiǎn)。各種規(guī)模的企業(yè)均需要對(duì)此給予高度重視,以確保他們對(duì)于未來的這些新興的安全挑戰(zhàn)做好了充分的準(zhǔn)備,并能夠很好的應(yīng)對(duì)。通過采用一個(gè)切實(shí)的,具有廣泛基礎(chǔ)的,協(xié)作的方式,提高網(wǎng)絡(luò)安全和應(yīng)變能力,政府部門、監(jiān)管機(jī)構(gòu)、企業(yè)的高級(jí)業(yè)務(wù)經(jīng)理和信息安全專業(yè)人士都將能夠更好地了解網(wǎng)絡(luò)威脅的真實(shí)本質(zhì),以及如何快速作出適當(dāng)?shù)姆磻?yīng)?!?/p>
評(píng)論