數(shù)字化轉(zhuǎn)型面臨的4大安全挑戰(zhàn)

Maria Korolov Charles

增強(qiáng)網(wǎng)絡(luò)安全成為啟動(dòng)數(shù)字化轉(zhuǎn)型項(xiàng)目的推動(dòng)因素。然而，實(shí)施過程中如果出現(xiàn)錯(cuò)誤則會(huì)產(chǎn)生高昂的代價(jià)。

數(shù)字化轉(zhuǎn)型對(duì)于很多企業(yè)的長(zhǎng)期發(fā)展至關(guān)重要，因?yàn)檫@可以幫助企業(yè)抵御敏捷的初創(chuàng)企業(yè)的沖擊，更好地滿足客戶期望，同時(shí)發(fā)現(xiàn)新機(jī)遇，降低成本。

此外，還有助于提高安全性。據(jù)451 Research公司去年年底進(jìn)行的一項(xiàng)調(diào)查，49%的IT專業(yè)人士和業(yè)務(wù)經(jīng)理表示，保護(hù)客戶數(shù)據(jù)是他們的主要轉(zhuǎn)型目標(biāo)之一。

研究公司Lucid今年夏天對(duì)IT領(lǐng)導(dǎo)進(jìn)行了一次調(diào)查，49%的IT領(lǐng)導(dǎo)表示，更好地保護(hù)網(wǎng)絡(luò)安全是他們公司尋求數(shù)字化轉(zhuǎn)型的原因之一。40%的IT領(lǐng)導(dǎo)表示，網(wǎng)絡(luò)安全是他們公司投資最多的數(shù)字化轉(zhuǎn)型領(lǐng)域。

發(fā)起此次調(diào)查的安全供應(yīng)商N(yùn)intex公司的安全與合規(guī)主管Monica Bush評(píng)論說：“我們實(shí)際上看到有越來越多的IT領(lǐng)導(dǎo)通過數(shù)字化轉(zhuǎn)型項(xiàng)目來支持他們的網(wǎng)絡(luò)安全策略。”她說，這包括在員工上崗和離職期間保持清晰明確的訪問權(quán)限，甚至還有大型項(xiàng)目，在這些項(xiàng)目中跟蹤敏感數(shù)據(jù)的位置以滿足GDPR和其他合規(guī)要求。

此外，遷移到現(xiàn)代基礎(chǔ)設(shè)施（包括基于云的解決方案，例如，Office 365）通常僅依靠這些解決方案本身就能提高安全性。RiskLens公司的專業(yè)服務(wù)副總裁Chad Weinman表示，他最近為考慮轉(zhuǎn)向云供應(yīng)商的大型企業(yè)進(jìn)行了風(fēng)險(xiǎn)分析。他說：“我們?cè)絹碓綋?dān)心停機(jī)和數(shù)據(jù)保護(hù)問題，因?yàn)槲覀兊碾娮余]件環(huán)境不再是內(nèi)部部署的了。但是我們發(fā)現(xiàn)，微軟對(duì)Office 365的管理往往遠(yuǎn)遠(yuǎn)領(lǐng)先于我們公司本身的管理，因此，總的來說，當(dāng)遷移到云上時(shí)，實(shí)際的風(fēng)險(xiǎn)會(huì)降低，而不是增加。”

但是，專家指出，數(shù)字化轉(zhuǎn)型項(xiàng)目也可能導(dǎo)致企業(yè)環(huán)境可視化能力下降，人為檢查點(diǎn)減少，還會(huì)面臨新威脅。事實(shí)上，根據(jù)Fortinet最近的一項(xiàng)調(diào)查，到目前為止，安全是數(shù)字化轉(zhuǎn)型工作面臨的最大挑戰(zhàn)，85%的首席安全官和首席信息安全官認(rèn)為這是很大的障礙。

普華永道的美國(guó)網(wǎng)絡(luò)安全和隱私主管Sean Joyce在最近的一份報(bào)告中指出，很少有企業(yè)能將網(wǎng)絡(luò)和隱私風(fēng)險(xiǎn)管理正確地融入到數(shù)字化轉(zhuǎn)型中。他說：“未來的贏家將是那些從設(shè)計(jì)階段到生產(chǎn)階段都建立在風(fēng)險(xiǎn)管理基礎(chǔ)上的企業(yè)。這是打造品牌的好機(jī)會(huì)。”

以下列出了企業(yè)在數(shù)字化轉(zhuǎn)型過程中解決安全問題時(shí)所面臨的4個(gè)重大挑戰(zhàn)。

數(shù)據(jù)、過程的可視化程度降低

據(jù)RiskLens公司的Weinman，當(dāng)基礎(chǔ)設(shè)施由第三方托管時(shí)，企業(yè)不太容易控制自己所收集到的數(shù)據(jù)。他說：“如果把數(shù)據(jù)放在本地，可視化會(huì)很好，可以隨時(shí)控制任一點(diǎn)的環(huán)境，也能獲得很多信息。”他補(bǔ)充說，供應(yīng)商可以提供一些控制和報(bào)告，但不如企業(yè)控制自己的基礎(chǔ)設(shè)施那么方便。

如果企業(yè)沒有提前計(jì)劃好怎樣管理新的基礎(chǔ)設(shè)施，那么在本地安裝新系統(tǒng)時(shí)，可視化也會(huì)成為問題。Digital Guardian公司高級(jí)威脅保護(hù)主任Will Gragido說：“每次遇到與資產(chǎn)狀態(tài)有關(guān)的不確定因素，或者將新軟件部署到該資產(chǎn)時(shí)，都會(huì)面臨風(fēng)險(xiǎn)。因?yàn)楸还舻目赡苄宰兇罅恕！?/p>

例如，能夠在本地、混合或者云環(huán)境中運(yùn)行的容器。Gragido說：“多年來，不能很好地保護(hù)容器一直是個(gè)問題。”

他說，有一個(gè)問題是安全不會(huì)產(chǎn)生收益。他說：“大多數(shù)企業(yè)并沒有從安全中盈利。因此，從歷史上看，大部分人最關(guān)心的不是安全問題，盡管這些年來安全問題有所改善。結(jié)果，在很多情況下，基礎(chǔ)設(shè)施成熟、建設(shè)和增長(zhǎng)的速度都快于企業(yè)從安全角度出發(fā)所能應(yīng)付的水平。”

當(dāng)業(yè)務(wù)部門在沒有IT部門反饋的情況下購(gòu)買新技術(shù)時(shí)，問題就加劇了。特別是云服務(wù)，不需要太多的技術(shù)就能夠快速、輕松地建立和使用。Gragido指出：“我已經(jīng)看到業(yè)務(wù)部門開始著手建設(shè)自己的基礎(chǔ)設(shè)施。他們不想等IT部門了。這是一個(gè)老原則——不去申請(qǐng)?jiān)S可，而是事后請(qǐng)求原諒。這會(huì)導(dǎo)致問題。”當(dāng)企業(yè)甚至不知道這些系統(tǒng)存在時(shí)，那么對(duì)系統(tǒng)就會(huì)沒有任何可見性。

把人的因素排除在安全過程之外

企業(yè)中相當(dāng)多的安全問題都是由員工造成的。他們進(jìn)入交易時(shí)打錯(cuò)字，忘記啟用安全控制功能，打開釣魚電子郵件，點(diǎn)擊惡意鏈接，他們落入騙局，他們不論在哪里都一直使用同樣不安全的密碼。

SecurityFirst公司的首席技術(shù)官Trevor Brown說：“通常，我們的網(wǎng)絡(luò)解決方案比人類更健壯，因?yàn)槿祟惾菀妆徊倏v。”他補(bǔ)充道，人類其實(shí)也有很關(guān)鍵的常識(shí)，但是當(dāng)過程完全自動(dòng)化后，這種常識(shí)就沒用了。

舉個(gè)例子，就像SQL注入這么簡(jiǎn)單的事情。人類能夠立即從代碼中識(shí)別出有效的提交表格，從來都不會(huì)覺得有問題，但是計(jì)算機(jī)只有在編程后才能做到這一點(diǎn)。他說：“我們看到一些問題，直覺地感覺到事情不對(duì)。機(jī)器不擅長(zhǎng)這些。”

他敏銳地意識(shí)到這個(gè)問題，因?yàn)樗约旱墓菊谥鸩教岣咦詣?dòng)化水平。他說：“我們現(xiàn)在用自己的產(chǎn)品來討論這個(gè)問題。我不能讓員工在一個(gè)高效率、低成本的環(huán)境中隨時(shí)待命。”

未知的未知

數(shù)字化轉(zhuǎn)型有時(shí)會(huì)帶來不可預(yù)見的新的攻擊載體。例如，使用Amazon S3存儲(chǔ)桶。便宜、方便、易于設(shè)置、容易實(shí)現(xiàn)安全——也容易意外泄露。

在過去的一年里，很多企業(yè)，包括幾家非常精通技術(shù)的企業(yè)，在亞馬遜上存儲(chǔ)的敏感數(shù)據(jù)都被泄露了，例如，埃森哲、道瓊斯、Verizon和軍事情報(bào)機(jī)構(gòu)INSCOM。同樣的，Kenna安全公司的研究人員最近發(fā)現(xiàn)，企業(yè)由于公共谷歌組的設(shè)置而泄露了敏感的電子郵件。這些企業(yè)包括財(cái)富500強(qiáng)公司、醫(yī)院、大專院校和美國(guó)政府機(jī)構(gòu)。

總部位于倫敦的身份認(rèn)證技術(shù)供應(yīng)商Callsign公司的首席執(zhí)行官Zia Hayat介紹說：“谷歌的G套件是很多轉(zhuǎn)型公司在轉(zhuǎn)型過程中所采用的產(chǎn)品。事實(shí)上，上個(gè)星期我還在現(xiàn)場(chǎng)與使用G套件的客戶進(jìn)行過交流。但是在這方面，由于缺乏持續(xù)的警惕性而出現(xiàn)了錯(cuò)誤配置，導(dǎo)致不同行業(yè)的很多企業(yè)面臨數(shù)據(jù)丟失的風(fēng)險(xiǎn)。”

首席安全官該如何發(fā)揮作用

首席安全官在企業(yè)數(shù)字化轉(zhuǎn)型策略中發(fā)揮著重要作用。Hayat認(rèn)為，提高效率的關(guān)鍵在于關(guān)注企業(yè)中最重要的問題。

Hayat說：“我是一名安全人員。我們一般習(xí)慣于用專業(yè)術(shù)語說話。但是你應(yīng)該把一些清晰、具體的例子擺出來，這些例子不僅僅體現(xiàn)了技術(shù)，而且還能說明對(duì)企業(yè)的品牌會(huì)有什么樣的影響。”

他舉例說，泄露事件對(duì)企業(yè)市值的影響。他說：“你可以畫出一個(gè)簡(jiǎn)單的圖表，說明Equifax的成本與市值的關(guān)系是什么，Target的成本是多少，臉書由于疏忽了消費(fèi)者隱私和安全而導(dǎo)致市值有多大損失。這類成本一直在大規(guī)模增長(zhǎng)。”

RiskLens公司的Weinman說，首席安全官既要有說服力，也不能過于危言聳聽。例如，太多的安全專業(yè)人員只關(guān)注與將數(shù)據(jù)和過程遷移到云中相關(guān)的額外風(fēng)險(xiǎn)，而沒有考慮這種遷移有哪些好處。

Weinman說：“這不是實(shí)際的分析工作，這是在散布恐懼、不確定性和懷疑，會(huì)讓首席安全官在業(yè)務(wù)部門那里聲譽(yù)掃地。但是，業(yè)務(wù)部門仍然會(huì)把項(xiàng)目進(jìn)行下去，因?yàn)樗麄兛吹搅藘r(jià)值、機(jī)會(huì)和成本節(jié)約——而首席安全官卻被邊緣化了。”

Weinman補(bǔ)充說，如果首席安全官能夠客觀地討論業(yè)務(wù)部門的風(fēng)險(xiǎn)和安全，那么他們就會(huì)更有影響力。他建議安全專業(yè)人員查看風(fēng)險(xiǎn)評(píng)估方面的國(guó)際標(biāo)準(zhǔn)，例如，F(xiàn)AIR風(fēng)險(xiǎn)評(píng)估框架。他說：“這與FUD無關(guān)，也不是說云是危險(xiǎn)的，而是要幫助做出明智的決定。”