如今,很多企业并没有把工作重点放在他们面临的实际安全威胁上,这使他们的业务更加脆弱。如果他们相信事实而不是炒作的话,那么这种情况可能会改变。
人类是一种有趣的生物,很多时候并不会对自己的最佳利益做出正确的反应。例如,大多数人乘坐飞机比乘坐汽车到机场要害怕得多,尽管乘车面临的风险是乘坐飞机的数万倍。更多的人害怕在海边被鲨鱼袭击,却不担心在家里被自己的狗咬伤,即使被狗咬伤的可能性也会高出数十万倍。人们即使知道并相信一个事件可能会发生,通常也很难对风险做出适当的反应。而这种情况同样适用于IT安全。
IT工作人员经常在计算机安全防御系统花费大量的时间、费用和其他资源,而这些安全防御措施并不能阻止对网络攻击对企业的最大威胁。例如,当面对单个未修补程序需要更新以阻止威胁的事实时,大多数公司除了修补这个程序之外,没有做其他事情。
此外,还有很多这样的例子,事实上,大多数公司很容易被黑客入侵,这足以证明威胁的严重性。然而即使面对这样的事实,很多企业也不会做他们应该实施的一些比较简单的措施。
这个问题带来了很多困扰,关于为什么这么多的防御者不能很好地采取防御措施的原因,其答案主要是缺乏重点。许多优先考虑的事情占用着IT人员更多的注意力,以至于他们可以做到的显著改进安全防御的事情还没有完成,即使成本更低、速度更快、更容易实施。
那么是什么原因导致这种情况的发生,如何将正确的防御措施放在正确的位置,以正确的方式抵抗网络威胁呢?以下了解一下企业没有专注于IT安全威胁的6个原因:
1. 绝大多数的安全威胁是压倒性的
全球每年将出现5000到7000个全新的威胁,平均一天出现15个,也就是说人们每天都面临15个全新的问题,日复一日,一直如此。IT工作人员就像消防队员一样每天接到更多的紧急呼叫求助,但并不是每个工作人员能够充分应对这些威胁,所以他们必须进行分类,并排列处理的优先次序。
2. 威胁炒作可能会分散对更严重威胁的关注
通常,媒体所报道的威胁和脆弱性往往伴随着大量的炒作与宣传。而一些安全防御厂商为了销售自己的产品和服务,也积极参与对这种威胁的炒作,一些威胁往往会以令人毛骨悚然的名字命名。
这并不能把所有的责任都推到计算机防御厂商身上,因为销售软件或服务是他们的工作。这将由消费者决定哪些事物值得他们关注,而当每天面临15个新的威胁时,安全人员保持关注是非常困难的。
即使威胁和风险很大,每一次威胁的过度报道都会让人很难注意到真正的威胁。例如,Meltdown(熔毁)和Spectre(幽灵)实际上是计算机世界所面临的最大威胁之一。它们几乎影响到所有主流的微处理器,这将会让攻击者无形中利用计算机,通常需要采用多个软件和固件补丁来保护,而在解决问题时可能会显著降低计算机处理速度。在许多情况下,唯一的好办法是购买一台新电脑。Meltdown(熔毁)和Spectre(幽灵)是很大的威胁,但专家表示,无需对其大肆炒作。
但是,除了网络安全行业和一些主流媒体文章报道之外,人员的集体反应是越来越沉默。通常当计算机安全发生大事时,很多人都会问应该怎么做。Meltdown(熔毁)和Spectre(幽灵)被报道之后,人们的反应不再那么强烈。
因为应对Meltdown(熔毁)和Spectre(幽灵)通常需要固件补丁,用户几乎很难独自处理。在未来的很多年里,全球将有数以亿计的这样的设备。为什么反应并不强烈?这是因为炒作疲劳。每一个威胁都被过度夸大,而当一个真正的全球性威胁出现时,需要每个人都进行关注的时候却并不在意,并会认为他们的操作系统提供商或设备提供商会在适当的时候修补它。坦率地说,这两个新威胁很可能会导致更多的微处理器错误,被网络攻击者发现和利用。
3. 不良威胁情报干扰了关注焦点
部分原因是大多数企业自己的威胁情报在提醒他们需要担心哪些威胁。而威胁情报(TI)还应该关注数以千计的威胁,并告诉工作人员哪些威胁最可能进行攻击。与其相反,威胁情报(TI)的作用通常是用于进行炒作的放大器。
想要知道大多数威胁情报部门是如何感染的?询问对企业造成最大的损害的威胁是什么。是恶意软件、社交工程、密码攻击、配置错误、故意攻击、加密不足?没有哪一个TI团队可以直截了当地回答,并且有数据支持其结论。如果企业无法确定最大的威胁是什么,那么如何才能最有效地应对正确的威胁呢?
4. 合规性问题并不总是与安全最佳实践保持一致
如果企业想要在计算机安全方面快速完成某些工作,需要了解是否符合法规要求。企业的高级管理人员需要关注合规问题。在很多情况下,他们可以承担责任,积极弥补合规缺陷。
不幸的是,合规性和安全性并不总是一致的。例如,一年前的最好的密码建议,却违反了有关密码的法律和监管要求。事实证明,人们所认知的密码安全的许多事情都在变化,例如要求密码的复杂性,网络威胁随时间而改变。大多数法律和法规建议的创建者和维护者似乎都没有注意到,即使遵循旧的密码建议,往往也会使企业的数据容易被泄露。
在这个问题上,很多网站不会让人们创建一个超过16个字符的密码(而这样的密码将是非常强大的,无论其复杂性如何),而密码采用“特殊”的符号在理论上会使黑客的攻击更加困难,数据和研究显示这在实际应用中显然不是这样。
5. 太多项目分散资源
很多企业都有几十个正在进行的安全项目,每个安全项目都旨在保护企业的电脑和设备。在任何情况下,这些项目中的一个或两个如果完成,将提供其所需的大部分安全收益,以显著降低安全风险。而实施数十个项目,将拆分有限的资源。大多数项目即使完成,也会被延迟和低效执行。而IT安全世界的软件价格昂贵,并承诺项目不用工作人员监督持续运作。
6. 宠物项目通常不是最重要的项目
更糟糕的是,大多数企业都有一个或两个宠物项目。企业不了解自己公司的数据面临的最大威胁是什么,他们会从其他项目中选拔出最优秀、最聪明的团队成员来完成他们的任务,这其实影响了其他重要项目的实施。
还有更多的例子说明为什么计算机维护者不把重点放在正确的事情上。企业通常从日常的威胁开始,并且在项目链上受到许多其他因素的影响。解决问题的第一步是承认企业的安全有问题。而如果企业发现一些无效计算机防护措施,那么是帮助团队中的每个人了解问题,并帮助他们更好地关注问题的时候了。
