本文来自微信公众号“数世咨询”,作者/nana。
从90年代初到现在,我们见证了互联网从拨号连接到高速云计算的长足进步。企业在不断变换的技术迷宫中游走的同时还需抵御四面八方涌来的网络攻击。然而,网络安全领域发展了30年,企业如今仍受困于1995年刚接入互联网时遇到的那些问题。
通过电子邮件攻击用户、经由拒绝服务攻击活动破坏可用性,以及利用应用程序漏洞入侵系统,仍旧是攻击者无往而不利的惯用策略。
甚至直到今天,即便安全意识提升,即使数据泄露事件频频见诸报端,企业领导和开发人员仍没学会在新技术和必要的安全之间取得平衡。企业仍旧着重功能和产品上市时间,而不是确保安全和产品行为可预测。这就造成基础设施薄弱,攻击者能够持续成功利用,日常取得丰硕“战果”。
于是问题来了:全球每年花在信息安全和风险管理产品与服务上的支出预计高达1883亿美元,为什么网络安全损失还在逐年增加?
01
治标不治本
几十年来,供应商一直在向市场灌输网络安全问题的解决方案在于技术的理念。于是,一个又一个技术解决方案陆续面世。同样的观点也让人们觉得吃片药就能减肥——不是健康饮食或者加强锻炼,而是花钱就能让问题消失的轻松速效解决方案。
安全预算方面的增长表明这种思路非常普遍,可导致不断超支的恶性循环。事实上,虽然很多技术有其价值,但网络安全问题源于漏洞。
就跟中途停药和用绷带包扎骨折一样,毫无计划地采用技术会引发对不完善系统的迷之自信。很多企业枉顾夯实基础防护而聚焦闪亮新鲜攻击,这种重点错置造成受害文化持续,漏洞更是永无止境。
安全成本高企和网络攻击破坏力巨大不是什么新鲜事,这都是多年来忽视基本安全策略和最佳实践的连带伤害。越来越多的安全投资花在了分析师、供应商、媒体报道和从业者好奇心所推动的时尚防护技术上。
不断变换的工具和重点还导致资深安全主管身心俱疲,产生职业倦怠,进一步加剧了网络安全人才短缺的情况。为应对一直延续的漏洞问题和与日俱增的安全压力,我们需要换个角度看待网络安全问题,认识到企业的成功仰赖健康的安全态势。
02
网络安全治未病
企业应像普通人对待自身健康一样考虑自己的安全实践,专注保持健康而非每看到一个安全症状都找片新药吃下去。医生告诫的类似原则同样适用于网络安全韧性:管住嘴、迈开腿、定期体检。
安全方面的基本食物类别是预防、检测、响应和修复。应根据企业的具体需求恰当平衡好每个方面。预防措施不足,检测、响应和修复就会应接不暇。响应不力,安全事件就会一直拖延。企业安全计划应只摄入自己所需且自家团队能够消化利用的。超量摄入,你的预算将不堪重负。
网络安全训练意味着定期进行意识培训、桌面推演、执业认证、资产清单核查和渗透测试。团队需了解各自最新的角色和职责。只要肯花时间经常锻炼安全力量,你的响应就会更快、更有针对性,企业也能少受安全事件干扰。
一年一度的体检大家都烦,但这确实是了解身体是否如自己所想那么健康的好方法。最好找时间过一遍你的安全计划,确保计划仍旧是平衡的。还要让团队仔细检查关键控制措施和相关标准及最佳实践的合规情况。时不时地听听他人的意见,找跟自己业务不搭界的第三方来审视一下自己的安全状况。网络安全健康状况良好意味着要查找哪怕最微小的指征,这些指征表明可能遗漏了什么东西。用不了多久,被遗漏的盲点就会让你陷入全部努力付诸东流的风险之中。
03
如果确实病了……
攻击能力层出不穷,威胁形势丰富多样的当下,维持有韧性的可信安全系统很是复杂。据估计,每天检测出的新恶意软件超过25万个。我们需要像医疗保健行业应对不断变化的流行病挑战一样诊断和处理新问题。
医疗系统能够紧跟新出现的疾病和变异疾病,因为有专家专注单一病症,确定识别和诊断的最佳方法。还有另一组专家专注于尽早解决问题的治疗方法。其他人则开发支持诊断和治疗的专业设备,同时,医院和整个医疗保健生态为患者提供支持。
只要我们了解自己的公司,清楚自己可能面临的威胁,我们就可以开始过上几十年来一直追求的可预算、可预测的健康企业网络安全生活。重视网络健康,我们就可以治愈过去30年来困扰行业的根本问题,而不再仅仅处理一个个症状和攻击。