论文部分内容阅读
增强网络安全成为启动数字化转型项目的推动因素。然而,实施过程中如果出现错误则会产生高昂的代价。
数字化转型对于很多企业的长期发展至关重要,因为这可以帮助企业抵御敏捷的初创企业的冲击,更好地满足客户期望,同时发现新机遇,降低成本。
此外,还有助于提高安全性。据451 Research公司去年年底进行的一项调查,49%的IT专业人士和业务经理表示,保护客户数据是他们的主要转型目标之一。
研究公司Lucid今年夏天对IT领导进行了一次调查,49%的IT领导表示,更好地保护网络安全是他们公司寻求数字化转型的原因之一。40%的IT领导表示,网络安全是他们公司投资最多的数字化转型领域。
发起此次调查的安全供应商Nintex公司的安全与合规主管Monica Bush评论说:“我们实际上看到有越来越多的IT领导通过数字化转型项目来支持他们的网络安全策略。”她说,这包括在员工上岗和离职期间保持清晰明确的访问权限,甚至还有大型项目,在这些项目中跟踪敏感数据的位置以满足GDPR和其他合规要求。
此外,迁移到现代基础设施(包括基于云的解决方案,例如,Office 365)通常仅依靠这些解决方案本身就能提高安全性。RiskLens公司的专业服务副总裁Chad Weinman表示,他最近为考虑转向云供应商的大型企业进行了风险分析。他说:“我们越来越担心停机和数据保护问题,因为我们的电子邮件环境不再是内部部署的了。但是我们发现,微软对Office 365的管理往往远远领先于我们公司本身的管理,因此,总的来说,当迁移到云上时,实际的风险会降低,而不是增加。”
但是,專家指出,数字化转型项目也可能导致企业环境可视化能力下降,人为检查点减少,还会面临新威胁。事实上,根据Fortinet最近的一项调查,到目前为止,安全是数字化转型工作面临的最大挑战,85%的首席安全官和首席信息安全官认为这是很大的障碍。
普华永道的美国网络安全和隐私主管Sean Joyce在最近的一份报告中指出,很少有企业能将网络和隐私风险管理正确地融入到数字化转型中。他说:“未来的赢家将是那些从设计阶段到生产阶段都建立在风险管理基础上的企业。这是打造品牌的好机会。”
以下列出了企业在数字化转型过程中解决安全问题时所面临的4个重大挑战。
数据、过程的可视化程度降低
据RiskLens公司的Weinman,当基础设施由第三方托管时,企业不太容易控制自己所收集到的数据。他说:“如果把数据放在本地,可视化会很好,可以随时控制任一点的环境,也能获得很多信息。”他补充说,供应商可以提供一些控制和报告,但不如企业控制自己的基础设施那么方便。
如果企业没有提前计划好怎样管理新的基础设施,那么在本地安装新系统时,可视化也会成为问题。Digital Guardian公司高级威胁保护主任Will Gragido说:“每次遇到与资产状态有关的不确定因素,或者将新软件部署到该资产时,都会面临风险。因为被攻击的可能性变大了。”
例如,能够在本地、混合或者云环境中运行的容器。Gragido说:“多年来,不能很好地保护容器一直是个问题。”
他说,有一个问题是安全不会产生收益。他说:“大多数企业并没有从安全中盈利。因此,从历史上看,大部分人最关心的不是安全问题,尽管这些年来安全问题有所改善。结果,在很多情况下,基础设施成熟、建设和增长的速度都快于企业从安全角度出发所能应付的水平。”
当业务部门在没有IT部门反馈的情况下购买新技术时,问题就加剧了。特别是云服务,不需要太多的技术就能够快速、轻松地建立和使用。Gragido指出:“我已经看到业务部门开始着手建设自己的基础设施。他们不想等IT部门了。这是一个老原则——不去申请许可,而是事后请求原谅。这会导致问题。”当企业甚至不知道这些系统存在时,那么对系统就会没有任何可见性。
把人的因素排除在安全过程之外
企业中相当多的安全问题都是由员工造成的。他们进入交易时打错字,忘记启用安全控制功能,打开钓鱼电子邮件,点击恶意链接,他们落入骗局,他们不论在哪里都一直使用同样不安全的密码。
SecurityFirst公司的首席技术官Trevor Brown说:“通常,我们的网络解决方案比人类更健壮,因为人类容易被操纵。”他补充道,人类其实也有很关键的常识,但是当过程完全自动化后,这种常识就没用了。
举个例子,就像SQL注入这么简单的事情。人类能够立即从代码中识别出有效的提交表格,从来都不会觉得有问题,但是计算机只有在编程后才能做到这一点。他说:“我们看到一些问题,直觉地感觉到事情不对。机器不擅长这些。”
他敏锐地意识到这个问题,因为他自己的公司正在逐步提高自动化水平。他说:“我们现在用自己的产品来讨论这个问题。我不能让员工在一个高效率、低成本的环境中随时待命。”
未知的未知
数字化转型有时会带来不可预见的新的攻击载体。例如,使用Amazon S3存储桶。便宜、方便、易于设置、容易实现安全——也容易意外泄露。
在过去的一年里,很多企业,包括几家非常精通技术的企业,在亚马逊上存储的敏感数据都被泄露了,例如,埃森哲、道琼斯、Verizon和军事情报机构INSCOM。同样的,Kenna安全公司的研究人员最近发现,企业由于公共谷歌组的设置而泄露了敏感的电子邮件。这些企业包括财富500强公司、医院、大专院校和美国政府机构。
总部位于伦敦的身份认证技术供应商Callsign公司的首席执行官Zia Hayat介绍说:“谷歌的G套件是很多转型公司在转型过程中所采用的产品。事实上,上个星期我还在现场与使用G套件的客户进行过交流。但是在这方面,由于缺乏持续的警惕性而出现了错误配置,导致不同行业的很多企业面临数据丢失的风险。”
首席安全官该如何发挥作用
首席安全官在企业数字化转型策略中发挥着重要作用。Hayat认为,提高效率的关键在于关注企业中最重要的问题。
Hayat说:“我是一名安全人员。我们一般习惯于用专业术语说话。但是你应该把一些清晰、具体的例子摆出来,这些例子不仅仅体现了技术,而且还能说明对企业的品牌会有什么样的影响。”
他举例说,泄露事件对企业市值的影响。他说:“你可以画出一个简单的图表,说明Equifax的成本与市值的关系是什么,Target的成本是多少,脸书由于疏忽了消费者隐私和安全而导致市值有多大损失。这类成本一直在大规模增长。”
RiskLens公司的Weinman说,首席安全官既要有说服力,也不能过于危言耸听。例如,太多的安全专业人员只关注与将数据和过程迁移到云中相关的额外风险,而没有考虑这种迁移有哪些好处。
Weinman说:“这不是实际的分析工作,这是在散布恐惧、不确定性和怀疑,会让首席安全官在业务部门那里声誉扫地。但是,业务部门仍然会把项目进行下去,因为他们看到了价值、机会和成本节约——而首席安全官却被边缘化了。”
Weinman补充说,如果首席安全官能够客观地讨论业务部门的风险和安全,那么他们就会更有影响力。他建议安全专业人员查看风险评估方面的国际标准,例如,FAIR风险评估框架。他说:“这与FUD无关,也不是说云是危险的,而是要帮助做出明智的决定。”
数字化转型对于很多企业的长期发展至关重要,因为这可以帮助企业抵御敏捷的初创企业的冲击,更好地满足客户期望,同时发现新机遇,降低成本。
此外,还有助于提高安全性。据451 Research公司去年年底进行的一项调查,49%的IT专业人士和业务经理表示,保护客户数据是他们的主要转型目标之一。
研究公司Lucid今年夏天对IT领导进行了一次调查,49%的IT领导表示,更好地保护网络安全是他们公司寻求数字化转型的原因之一。40%的IT领导表示,网络安全是他们公司投资最多的数字化转型领域。
发起此次调查的安全供应商Nintex公司的安全与合规主管Monica Bush评论说:“我们实际上看到有越来越多的IT领导通过数字化转型项目来支持他们的网络安全策略。”她说,这包括在员工上岗和离职期间保持清晰明确的访问权限,甚至还有大型项目,在这些项目中跟踪敏感数据的位置以满足GDPR和其他合规要求。
此外,迁移到现代基础设施(包括基于云的解决方案,例如,Office 365)通常仅依靠这些解决方案本身就能提高安全性。RiskLens公司的专业服务副总裁Chad Weinman表示,他最近为考虑转向云供应商的大型企业进行了风险分析。他说:“我们越来越担心停机和数据保护问题,因为我们的电子邮件环境不再是内部部署的了。但是我们发现,微软对Office 365的管理往往远远领先于我们公司本身的管理,因此,总的来说,当迁移到云上时,实际的风险会降低,而不是增加。”
但是,專家指出,数字化转型项目也可能导致企业环境可视化能力下降,人为检查点减少,还会面临新威胁。事实上,根据Fortinet最近的一项调查,到目前为止,安全是数字化转型工作面临的最大挑战,85%的首席安全官和首席信息安全官认为这是很大的障碍。
普华永道的美国网络安全和隐私主管Sean Joyce在最近的一份报告中指出,很少有企业能将网络和隐私风险管理正确地融入到数字化转型中。他说:“未来的赢家将是那些从设计阶段到生产阶段都建立在风险管理基础上的企业。这是打造品牌的好机会。”
以下列出了企业在数字化转型过程中解决安全问题时所面临的4个重大挑战。
数据、过程的可视化程度降低
据RiskLens公司的Weinman,当基础设施由第三方托管时,企业不太容易控制自己所收集到的数据。他说:“如果把数据放在本地,可视化会很好,可以随时控制任一点的环境,也能获得很多信息。”他补充说,供应商可以提供一些控制和报告,但不如企业控制自己的基础设施那么方便。
如果企业没有提前计划好怎样管理新的基础设施,那么在本地安装新系统时,可视化也会成为问题。Digital Guardian公司高级威胁保护主任Will Gragido说:“每次遇到与资产状态有关的不确定因素,或者将新软件部署到该资产时,都会面临风险。因为被攻击的可能性变大了。”
例如,能够在本地、混合或者云环境中运行的容器。Gragido说:“多年来,不能很好地保护容器一直是个问题。”
他说,有一个问题是安全不会产生收益。他说:“大多数企业并没有从安全中盈利。因此,从历史上看,大部分人最关心的不是安全问题,尽管这些年来安全问题有所改善。结果,在很多情况下,基础设施成熟、建设和增长的速度都快于企业从安全角度出发所能应付的水平。”
当业务部门在没有IT部门反馈的情况下购买新技术时,问题就加剧了。特别是云服务,不需要太多的技术就能够快速、轻松地建立和使用。Gragido指出:“我已经看到业务部门开始着手建设自己的基础设施。他们不想等IT部门了。这是一个老原则——不去申请许可,而是事后请求原谅。这会导致问题。”当企业甚至不知道这些系统存在时,那么对系统就会没有任何可见性。
把人的因素排除在安全过程之外
企业中相当多的安全问题都是由员工造成的。他们进入交易时打错字,忘记启用安全控制功能,打开钓鱼电子邮件,点击恶意链接,他们落入骗局,他们不论在哪里都一直使用同样不安全的密码。
SecurityFirst公司的首席技术官Trevor Brown说:“通常,我们的网络解决方案比人类更健壮,因为人类容易被操纵。”他补充道,人类其实也有很关键的常识,但是当过程完全自动化后,这种常识就没用了。
举个例子,就像SQL注入这么简单的事情。人类能够立即从代码中识别出有效的提交表格,从来都不会觉得有问题,但是计算机只有在编程后才能做到这一点。他说:“我们看到一些问题,直觉地感觉到事情不对。机器不擅长这些。”
他敏锐地意识到这个问题,因为他自己的公司正在逐步提高自动化水平。他说:“我们现在用自己的产品来讨论这个问题。我不能让员工在一个高效率、低成本的环境中随时待命。”
未知的未知
数字化转型有时会带来不可预见的新的攻击载体。例如,使用Amazon S3存储桶。便宜、方便、易于设置、容易实现安全——也容易意外泄露。
在过去的一年里,很多企业,包括几家非常精通技术的企业,在亚马逊上存储的敏感数据都被泄露了,例如,埃森哲、道琼斯、Verizon和军事情报机构INSCOM。同样的,Kenna安全公司的研究人员最近发现,企业由于公共谷歌组的设置而泄露了敏感的电子邮件。这些企业包括财富500强公司、医院、大专院校和美国政府机构。
总部位于伦敦的身份认证技术供应商Callsign公司的首席执行官Zia Hayat介绍说:“谷歌的G套件是很多转型公司在转型过程中所采用的产品。事实上,上个星期我还在现场与使用G套件的客户进行过交流。但是在这方面,由于缺乏持续的警惕性而出现了错误配置,导致不同行业的很多企业面临数据丢失的风险。”
首席安全官该如何发挥作用
首席安全官在企业数字化转型策略中发挥着重要作用。Hayat认为,提高效率的关键在于关注企业中最重要的问题。
Hayat说:“我是一名安全人员。我们一般习惯于用专业术语说话。但是你应该把一些清晰、具体的例子摆出来,这些例子不仅仅体现了技术,而且还能说明对企业的品牌会有什么样的影响。”
他举例说,泄露事件对企业市值的影响。他说:“你可以画出一个简单的图表,说明Equifax的成本与市值的关系是什么,Target的成本是多少,脸书由于疏忽了消费者隐私和安全而导致市值有多大损失。这类成本一直在大规模增长。”
RiskLens公司的Weinman说,首席安全官既要有说服力,也不能过于危言耸听。例如,太多的安全专业人员只关注与将数据和过程迁移到云中相关的额外风险,而没有考虑这种迁移有哪些好处。
Weinman说:“这不是实际的分析工作,这是在散布恐惧、不确定性和怀疑,会让首席安全官在业务部门那里声誉扫地。但是,业务部门仍然会把项目进行下去,因为他们看到了价值、机会和成本节约——而首席安全官却被边缘化了。”
Weinman补充说,如果首席安全官能够客观地讨论业务部门的风险和安全,那么他们就会更有影响力。他建议安全专业人员查看风险评估方面的国际标准,例如,FAIR风险评估框架。他说:“这与FUD无关,也不是说云是危险的,而是要帮助做出明智的决定。”