虚拟化和云计算也一样,一方面可以简化企业的IT基础设施,降低成本,但另一方面又在引入无尽的安全风险。把更多的基础设施放入云中,就意味着你把更多的漏洞暴露给了黑客,他们可以通过发起针对Google、Yahoo和其他互联网服务商的DoS攻击而轻松地击垮你的企业网络服务。今年初,Google的大面积崩溃已经说明,破坏云服务,就可以达到让依靠云服务的企业受损的目的。
当然,好消息也不是没有。尽管数十年来最严重的经济衰退迫使企业缩减外包安全服务预算,自己得做更多的事情,但是企业的整体安全预算并未出现大幅缩减,有的甚至出现了增加;而且很多企业开始招聘首席安全官(CSO)。
这些好消息来自CIO和CSO委托普华永道所做的年度《全球信息安全报告》。该报告调查了全球各行各业大约7300位组织机构、商业企业与技术企业的高管,涉及政府、医疗、金融服务于零售业等等。
报告所显示的一些趋势对于企业制定信息安全规划会有所帮助。“所有的企业都在担忧如何保护他们的数据,尤其是客户的数据,”科学应用国际公司(SAIC)的CIO Charles Beard说。“按照传统的业务模式,所有人都得聚在同一地理区域内的同一间办公楼内办公。而如今,所有人都在使用互联网和移动设备彼此连接。这正是社交网络大显身手的地方。然而从另一方面看,我们也被暴露在了网络空间的黑暗面中。显然,在采用社交网络之前就必须保障有适当的安全,并能够有效地控制风险。”
趋势一
社交网络的希望与风险
在不到两年的时间里,社交网络已经从一种纯粹好奇的事物变成了很多人的一种生活方式。如果某人想要更新他在Twitter、Facebook或LinkedIn上的状态,他一般会在工作时间进行,或者晚上回家用公司的笔记本电脑更新。
是什么让IT管理人员感到焦灼呢?是因为用户们在通过社交网络相互告知他们午饭吃什么的时候可能会很容易地就把公司的一些敏感的活动信息透露出去了。网络黑客们一旦知道了这些,就会利用社交网络来发布网络钓鱼垃圾邮件。在一种比较流行的攻击方式中,黑客们会给他们选定的牺牲者发送一些似乎是来自其Facebook朋友的信息。这位所谓的“朋友”可能会发送一个网址,还会要求你点击该网址。该网址乍看好像只是有关某位名人,比如说迈克尔·杰克逊之死的新闻报道,或者推荐一些股票。但实际上,该链接却会将牺牲者带入一个可疑的网站,该网站会自动将恶意软件下载到牺牲者的电脑上。然后,该恶意软件便有可能盗走任何有价值的数据,更有甚者还可能盗走企业网络中的数据,比如客户的信用卡号或者某种治疗癌症的新药物的配方。
于是我们毫不奇怪,为何所有接受调查的IT经理们都承认,他们很担心社交工程学类的攻击。45%的受访者尤其担心针对Web 2.0应用的钓鱼阴谋。
然而对于很多企业的管理者来说,封堵社交网络又是不可能的,因为社交网络会带来潜在的商业利益。企业中的大多数人都在极力要求能够让他们透过这些网站进行沟通,因此对于CIO们来说,最大的挑战就在于怎样在安全与可用性之间找到平衡点。
“很多人在到底应该与他人分享多少信息这一点上还是极其幼稚的,而我们必须要做的事情就是教育他们怎样分享信息才是适当的,”普渡大学主管信息服务的副校长Frank Cervone时候。“我们必须做的事情就是要提高人们的认识,分清楚哪些内部信息是不能与外人分享的。”
不过Cervone也指出,在大学环境中,鼓励人们通过社交网络去进行沟通也是非常重要的。即使在商业环境下,他也不认为组织机构应禁止人们使用社交网络。
在今年的安全报告中,我们首先询问了人们对于社交媒体的看法,只有23%的受访者称,他们所采取的安全措施中包括了防范Web 2.0技术的手段,并且对内部人士在社交网络所发布的内容进行了控制。一个积极的信号是:每年都有越来越多的企业有专人负责监测员工们使用各种在线资源的情况——今年的这一比例为57%,去年为50%,2007年为40%。有36%的受访者会监控其员工们在外部博客及社交网站上所发布的信息。
为了避免敏感信息外泄,有65%的企业使用Web内容过滤以保障企业数据能够不逸出防火墙之外,有62%的企业能够确保他们所使用的浏览器是最安全的版本。40%的企业称,在评估各种安全产品时,对于Web 2.0技术的支持及兼容性是必不可少的。
然而不幸的是,社交网络的不安全性并非是一个可以用技术来解决的问题,普华永道负责安全实践的一位合伙人Mark Lobel说。
“这一问题属于文化层面而非技术层面。问题在于企业应教育员工如何聪明地使用这些网站,”他说。“从传统上看,人们一般都是通过技术路径而非社会学路径来获取安全的。所以要想在这一点上寻找到正确的安全均衡,还有很长的路要走。”
华盛顿州社区与技术学院的安全管理负责人Guy Pace称,他的组织就采取了上面提到的多种安全手段。但他也同意Lobel的观点,认为真正的安全阵地在于办公室文化,而非技术领域。“最有效的缓解手段就是教育使用者,并创设有效的安全意识程序,”他说。
趋势二
云计算的风险
既然维护物理的IT基础设施是很费钱的,那么用云服务来取代机房与繁杂应用的想法就显得非常诱人,很多企业都很难抵制住这种诱惑。然而,匆匆忙忙地闯入云中而没有采取任何安全策略,那也是极其危险的。
根据报告,有43%的受访者正在使用云服务,例如SaaS或者IaaS(基础设施作为服务)。更多的企业在投资有助于云计算实施的虚拟化技术。67%的受访者称,他们在使用服务器虚拟化、存储虚拟化和其他形式的IT资产的虚拟化。其中有48%的企业确实认为它们的信息安全状况得到了改善,而有42%的企业认为,他们的安全状况和以前基本一致。只有10%的企业称,虚拟化产生了更多的安全漏洞。
采用云服务,安全可能会改善一些,但是像思科公司云计算与虚拟化经理Chris Hoff这样的专家则认为,企业和服务商都需要充分认清楚与技术、运营以及因技术而产生的组织变化等因素相关的各种风险。
“你可以去看看人们是怎么认识虚拟化的,他们对虚拟化的理解要么非常狭窄——基本上就是服务器的整合、应用与操作系统的虚拟化、把所有的东西整合到较少的物理盒子里——要么就涵盖一切:客户端桌面、存储、网络、安全等等,”他说。“然后还得加上云计算概念的混淆,你就是挠破头也想不明白这一切对于企业来说意味着什么。它们到底会对企业的基础设施造成何种影响?”
幸运的是,有些企业在这方面还是谨慎从事的。一个例子就是Atmos能源公司,它正在使用Salesforce.com来缩短对客户的响应时间,帮助营销部门管理越来越庞大的客户池,Atmos能源的CIO Rich Gius说。
这种努力相当成功,所以Gius正在研究将公司的电子邮件系统放入云中的可行性。“云能够帮助我们解决日益增加的挑战,比如像黑莓一类的移动设备在我们的员工中间已相当普及,而移动设备的邮件服务就成了个大问题,”他说。但他还没有准备好迈出这样的一大步,这就是因为风险问题,包括安全问题,使他还难以骤下决心。一个实例就是今年5月,一批云依赖的企业就因为Google的大面积断网而影响到了企业的业务。一旦出现这种情况,很多依靠云应用(如e-mail)的企业就得被呛个半死。
Google今年5月的断网事件并非黑客造成的,但是已有种种迹象表明,犯罪分子们正在寻找各种手段以便利用云服务来实现其险恶目的。就在断网事件刚刚发生之后,攻击者们就用恶意链接导致Google搜索结果紊乱而火上浇了一把油,结果美国计算机应急响应中心(U.S.CERT)不得不发出警示,提醒人们注意云服务网站的潜在危险。
U.S.CERT称,这次攻击是利用了Adobe软件的漏洞,在肉鸡上安装恶意程序,结果波及到了数千个合法网站。该恶意程序会盗取肉鸡上的FTP登录证书,并利用这一证书进一步扩散。它还能劫持肉机上的浏览器,用攻击者们选定的链接取代Google的搜索结果。
IT部门经常会因为对物理的和基于云的IT设施配置不当,很容易留下易于找到的可利用的漏洞,而使攻击者们更容易施展其攻击手段。在对企业虚拟化环境的潜在弱点一项进行调查时,36%的受访者谈到了配置不当和实施不当,51%的受访者提到缺乏训练有素的IT人员。还有22%的受访者认为,培训不足和审计不足是它们公司云计算策略的最大安全危险。
正是觉察到了这一点,而让Atmos能源的Gius不得不谨慎。“我们没有首席安全官。假如我们是一家金融服务公司,或者有大把大把的钱,那情况可能会完全不同,”Gius说。“但我们只是一家中型企业,人才的不足使得这些技术的实施变得相当困难。”
即便有了好的资源,云中的安全仍然是非常重要的,因为它必须要跨多个平台去管理各种风险。不存在单一的云,而是“有很多个云,它们彼此之间不存在联邦制,在应用层上也不会天然地具有互操作性,大多数都是专属各自平台的专门应用,”Hoff称。“大家把内容和应用都拿出来放在某个建筑在某人的基础设施上的公用仓库里,这种想法其实很不现实。”
普华永道的Lobel认为,完美的安全是不存在的。“在你打算进入云服务时,就必须积极主动地去关注安全控制问题,”他说。企业如果想收回已经放任不管的数据和应用的话,那将是相当困难的,因为他们可能已经扔掉了自己的硬件和人才。
“你要是没有绑一根救生索就一下子潜得很深,你就会发现,你要的水倒是有了,但没有了救生索你已经不可能再浮出水面了,”他说。“一旦发生违约情况,你想要从云中撤出来该怎么办?如果不得不撤出的话,你还能回来吗?”
趋势三
安全管理内包
几年前,技术分析师们纷纷预测说,可管理安全服务提供商(MSSP)的增长机会不可限量。于是很多企业便将安全看成为一个外包概念,然而像萨班斯法、健康保险流通与责任法和金融服务法等法案却又迫使它们必须解决入侵防范、补丁管理、加密和登录管理等安全问题。
很多企业认为他们自己不能做安全,所以要选择外部企业来为他们做。Gartner曾经在2004年做过预计,认为仅北美地区的MSSP市场就可达到9亿美元,而2008年这一市场的增长率为18%。
之后,全球经济出现金融海啸,即便在安全预算稳步增长的情况下,企业的外包计划也出现了停滞。尽管今年有31%的受访者依靠外部企业帮助他们管理日常的一些安全功能,但却只有18%的受访者称,在未来12个月内会优先考虑安全外包。
至于说到一些专门的安全功能,变化也已经开始。去年,有30%的受访者称,他们已将应用防火墙的管理外包出去,而今年,这一数字仅为16%。网络外包和终端用户防火墙外包的受访者比例也有同等幅度的缩减。受访者称,在网络互联及补丁管理等项目上也都出现了相同的降幅。
与此同时,更多的企业把钱花在了这样那样的安全功能内包上。有69%的受访者称,他们在应用防火墙上的预算和前两年相比略有上升。同时,有超过一半的受访者称,他们增加了对笔记本电脑和其他计算设备加密的投入。
Atmos能源的Gius对此现象提出了一个可能的解释:企业看到安全市场由于大量的并购而出现了混乱和不确定。比如说,BT收购了Counterpane,IBM收购了互联网安全系统等。所以企业的IT部门的想法很简单,先置身局外,等整个安全行业尘埃落定再说。
Gius说,Atmos能源如今要处理大量的企业内部的安全问题。“我们找到了很多开源软件和低成本的解决方案来自己管理安全,”他说。“我们花钱雇了专人来管理整个网络环境。”但只要资金状况允许,他还是希望把安全外包出去。在他看来,安全正日益向由微软、思科和Oracle等厂商,以及Comcast和Verizon等电信运营商所提供的平台集成。让这些提供商来管理各自系统的安全才是比较合理的。
SAIC的Beard说,无论是什么因素推动了安全预算的增加,企业都应该了解各自有差异化的安全战略,只有这样,SSP才可能提供独一无二的价值。明智的企业高管应该明了,他们在任何时候都必须维持对整个企业的控制,即便有第三方在企业的诸多层级上进行管理也应如此。重要的是要时刻注意SSP以及它们可能遇到的风险。“CIO和安全官员可以把不同层级的一些功能外包出去,但是他们绝不能把自己的责任也外包出去,”Beard如是忠告
趋势四
企业的安全意识提高
CIO们虽然仍在为数据安全的质量不懈努力,但是对今年安全报告的回应显示,CIO的同级别高管们终于开始认同:安全是不能忽略的。
企业的预算计划也说出了部分实情。不仅有更多的企业在安全技术上加大了投入,而且总的安全投入大部分都没有因经济状况而受到影响。
有12%的受访者预计,他们的安全支出在未来12个月内会有所缩减。但是有63%的受访者称,他们的预算将会持平或者增加(虽然增加的额度会小于上一年)。
对于新兴企业来说,其中很多企业都雇佣了CSO或首席信息安全官(CISO)。有85%的受访者称,他们的企业如今都有负责安全的高管,这一比例去年只有56%。只有不到1/3的安全官向CIO报告,35%的安全官直接向CEO报告,28%的安全官直接向董事会报告。
影响企业将安全视为优先考虑项目的因素有两个:76%的受访者称,日益危险的环境提升了网络安全的重要性;另有77%的受访者称,越来越棘手的Web监管和行业标准也增强了安全工作的紧迫性。
在受访者被问到,在严峻的经济背景下,各种不同的安全策略的重要性如何时,有70%的受访者认为数据保护越来越重要,而有68%的受访者认为需要加强公司治理、加强风险管理与合规性计划。
奥兰多大学负责IT安全与合规性的高级经理兼CSO Mauricio Angée指出,“分清职责很重要,企业在招募IT安全经理时,应以定义更为明晰的一组原则和责任来要求应聘者。”这些原则包括制定企业的安全策略、争取安全预算(而不是由CIO来负责),以及为下属的IT安全管理员及工程师们指派明确的责任,做到责任到人。
然而上述事态的发展并没有让企业的领导人更加关注信息安全。仅仅因为企业觉得必须在安全上加大投入,并不意味着管理层就真的把安全视为必要的、甚至是有益的业务流程,只是因为环境使然而不得不做罢了。
Angée说,CIO和安全负责人仍然必须为了争取每一分钱的预算而苦苦奋斗。与此同时,安全经理们也不像每家企业的C层领导人那样有同样的决策权。普华永道的Lobel称,CIO可以招聘一位CSO或者CISO,但是他如果既无法制定安全战略,又没有预算决策权的话,最后可能会一事无成。Lobel得出结论说,但是一旦出了安全问题,“所有的人又都会拿CSO说事,指责和抨击肯定还少不了。”
但是无论怎么说,严峻的经济形势加上更为严峻的安全风险的威胁,很多企业对于安全的重要性,以及CSO的重要性的认识和以往相比,确实是有所提高的。
【编辑推荐】
