2020年的網絡安全：從安全代碼到深度防御

何靜

信息管理協會的權威調查IT趨勢研究數據顯示，自2014年以來，CIO在面對IT管理問題時，已經將網絡安全提升至數一數二的位置。然而，在2013年同樣的調查中，網絡安全還只是第7的位置。這一年的時間發生了什么？那不得不提的事件應該是臭名昭著的Target數據泄露事件了，該事件直接導致1 850萬美元的罰款和Target首席執行官的離職。

自那之后發生的一系列數據泄露事件就像開了閥門的水閘，傾涌而出，Target事件簡直是小巫見大巫。這傳達了一個信息：年復一年，隨著網絡威脅事件的數量和嚴重程度不斷攀升，促使企業倒閉的數據泄露風險似乎越來越高。

如今，企業的首席安全官們就像握著這個燙手的山芋一樣。有些人被迫采用一種單點解決方案來應對每一個新的威脅，而這種解決方案直接參與了安全軟件行業的營銷策略。然而，任何組織的網絡安全預算都是有限的，在此情況下CSO如何最有效地分配其安全防御資源？

簡單的答案有2個：合理地確定風險的優先級，同時充分利用現有的有效防御措施。在大多數組織中，無可爭辯的是未修補的軟件和社會工程（包括網絡釣魚）風險最高，其次是密碼破解和軟件配置錯誤。減少政策因素和運營障礙，確保及時進行補丁修復，建立有效的安全意識計劃，培訓操作人員鎖定配置并實施雙因子身份驗證，這樣企業將大大降低總體風險。

當然，任何人都可以避免其他重大風險和漏洞。例如，如果是一家電力公司，那么負責人需要了解對關鍵基礎設施針對性很強的威脅，以及如何防御這些威脅。當黑客真正入侵組織系統之后，在系統內部進行身份驗證的零信任措施則發揮作用，阻止攻擊。

自軟盤時代以來，惡意軟件和黑客攻擊就一直困擾著計算機用戶。然而，近幾年，又出現了一種新的威脅，創新壓力下的技術漏洞。在CIO撰稿人Bob Violino的《安全vs創新：IT行業最棘手的權衡》文章揭示了數據化變革時代的陰暗面，文章的核心觀點是如果以安全和隱私為代價，其中變革性的創舉也將會失敗，而且還可能會以驚人的方式失敗。所以在創新時也要考慮到安全架構，這不但有利于整體創新的成功，還會增加最終成果的吸引力。

InfoWorld特約編輯Isaac Sacolick在《如何將安全性引入靈活開發和CI / CD中》一文中從軟件開發的角度詳細探討了該主題。開發人員往往會認為安全性不是他們的問題，而是將這個責任推到安全團隊身上。而安全團隊是在后期才參與到開發過程中來的，因此無法注意到在構建應用程序時，業務流程中存在的漏洞。DevSpsOps是DevOps的產物，這讓安全性成為開發人員和操作人員的主要關注點，不僅避免了代碼缺陷，還使安全測試自動化，并在應用程序投入生產后對其進行監控。

《計算機世界》高級記者Lucas Mearian也在《UEM最終會在漫長的求愛之后嫁給安全》一文中探討過將安全集成到軟件中的話題。過去，使用移動設備管理（MDM）、企業移動管理（EMM）或最新版本統一的端點管理（UEM）來管理移動或桌面設備，這與端點安全管理重疊了，但仍需要單獨進行。據Lucas說，供應商現在將二者合并在一起，以“提供一個集中化的策略引擎，用單個控制臺管理和保護公司的筆記本電腦和移動設備。”在某些情況下，這種發展涉及了機器學習算法，該算法基于一些參數自動為用戶分配安全策略，比如地理位置、使用的設備類型以及網絡連接是公共的還是私有的等。

盡管有時新的網絡安全技術大張旗鼓地出現，而有些用戶仍毫不知情。Network World的撰稿人Zeus Kerravala在《IT專業人員應該了解但可能不知道的5種防火墻功能》中，揭開了現代防火墻的神秘面紗，從網絡分段到策略優化再到DNS安全。不費吹灰之力就充分利用了防火墻的功能，Zeus在書中提供了合理、詳細的建議。

最后，我們所有人都必須做好準備，抵御當下最惡劣的外部威脅———勒索軟件。CSO高級作家Lucien Constantin在《更具針對性、更復雜、更昂貴：為什么勒索軟件可能是最大的威脅》一文中警告我們，勒索軟件已變得如此隱秘和復雜，可以與高級持續威脅（APT）相媲美。此外，最近的安全事件也證明，勒索軟件攻擊者的目標已從勒索個體用戶轉移到了能夠提供更多贖金的企業組織。FBI表示，雖然事件數量一直相對平穩，但支出卻更高。由于組織不愿報告勒索軟件的勒索事件，因此沒人真正知道具體情況。

網絡安全可能是一門沉悶的科學。隨著威脅的增加，甚至民主機構也受到攻擊，似乎不僅是制度，而且文明本身也在受到圍攻。但是在這種情況下，只能鼓勵CSO及其企業組織加倍努力地開發出更為先進的安全防御體系。