2015年IT安全基础设施必须进行重新布局
智祺 developer.51cto.com

随着上述发展趋势在IT前景中的持续涌现,针对系统及数据的安全威胁也呈现出多样化、分散化以及日益复杂的发展态势。有鉴于此,众多企业必须考虑筹备应对措施——或者至少应当改进自身的信息安全战略。

“企业应当不断评估自身安全基础设施。攻击者们会不断学习并改变侵袭战术,因此要在这场持久战当中生存下来、企业必须拿出自己的安全规划,”Forrester研究公司安全与风险管理分析师Tyler Shields指出。

“我认为由于存在某些公开度较高安全漏洞,某些行业在安全性水平提升方面的行动相对更晚,”Shields表示。“零售业与金融服务行业已经受到了沉重打击,它们最近开始频繁提高警戒水平以降低出现其它状况的可能性。”

保护的对象应该是数据而非系统

目前安全领域最为突出的趋势之一在于,安全保护工作的重心似乎在由过去的系统及应用程序转移到数据本身。Target以及Home Depot等零售商已经以高调方式暴露出安全漏洞,而这也使得更多企业进一步关注客户数据保护,并愿意在这方面投入更多资源与努力。

作为一家专门销售各类家居服务器的零售商,Wayfair公司已经建立起一个专门的团队来构建整体安全环境。该公司最近还推出了一系列极具针对性的关键性举措及技术,包括安全事故缓和、敏感数据标记以及多因素认证机制等等,希望借此拓展并保护客户数据。

“对于零售行业而言,技术与服务开始将注意力集中在保护客户数据方面——而简单的认证机制已经被淘汰出局,”Wayfair公司CIO Jack Wood指出。“作为简单认证机制的替代性方案,很多在线企业开始引入各类双因素认证技术。客户通常需要回答安全问题或者识别特定图像后才能顺利完成登录。”

根据Wood的观点,以防火墙为代表的技术也在持续发展,并在当下的业务环境中扮演着愈发重要的实用性角色。“下一代防火墙与双因素认证机制将是安全武器库中的无价之宝,”他表示。“此类技术允许我们权衡增加容量的必要性,并在几乎不会影响到业务运转的前提下进行实时ACL(即访问控制列表)判断。”

数据保护工作中的核心组成部分之一在于用户培养。“安全意识与培训代表着一种喜人的变化,”Wood指出。“发生在安全邮件列表当中的通信数量十分惊人。我们发现员工开始更为积极地就异常电子邮件或者奇怪的插件向安全人员提出咨询。”

通过不断评估行业数据以及来自自身网站的信息,Wayfair公司“能够提供一套针对潜在威胁载体的良好风险评估机制,”Wood表示。“在此之后,我们根据多种因素——例如潜在影响、成本以及攻击可能性等等——对其进行优先级排序。”

进定步提高主观能动性

某些企业提出的发展目标在于进一步提高主观能动性,从而有效检测并阻止攻击活动。

“我们的战略在于将原有的固守性心态转化为快速检测及响应态势,”亚利桑那大学CIO Michele Norin指出。“我们以更为积极的态度关注自身网络运行状况——同时快速识别、遏制及消除威胁——这也成为我们在安全领域做出的主要成就之一。”

 


Michele Norin

这种方式符合由美国国家标准与技术研究所(简称NIST)所提出的新型安全框架要求。

Norin指出,主观能动性意味着以更为有效的方式理解高校校园网络中的各类活动并观察其异常状况。这也意味着对安全基础设施作出评估以找出能够确切实施的改进方案。

“我们不断评估自身安全环境,旨在评估漏洞、风险区域、优势并最终作出必要的改进,”她表示。“作为一家大型研究机构,我们常常把自身视为一座小型城市,其中我们需要面对的复杂性难题主要涉及由学生、教师、员工、家长、校友及公众所各自构成的不同社区。”

亚利桑那大学长久以来一直采取多管齐下的方式对不同社区的信息资产加以保护,其中包括安全意识活动、保护技术层、密码更新程序、软件工具、政策与指导方针以及各类行业最佳实践等等。但是最近一段时间,校方的IT团队在安全保护方面感受到前所未有的紧迫感。

“时至今日,黑客所用于侵袭我们系统的攻击手段已经在复杂性与强度水平方面提升到新的级别,这迫使我们必须加快努力改进的步伐,”Norlin指出。

安全技能来源——招聘还是采购

在金融及医疗等领域,保护客户数据的重要性可谓不言而喻——但实现这一目标也面临着重大挑战。

“在医疗行业当中,企业的关注重点在于如何以更低成本为病患带来更多、更好的治疗效果,”Draper & Dash公司CEO Orlando Agrippa表示,这是一家位于伦敦的医疗行业业务分析服务供应商。他同时也曾在Barts Health NHS Trust担任过CIO兼信息主管职务。

“诊疗经验共享趋势促使不少国家的医院将更多数据推向公共平台——但在享受便利之外,这种机制也提出了一系列安全性方面的实际要求,”他解释称。

即使如此,很多医疗机构也并不具备专业知识与之相匹配的信息安全专业人士,甚至无法就会来自初级黑客的攻击活动,Agrippa表示。医疗机构需要构建起内部“创新中心”,在这里他们可以聘用具备一流技术的企业或者个人帮助他们获得业界领先的安全保护方案。

“招徕聪明的青年才俊帮助我们引导并塑造信息安全体系,”Agrippa建议道。“大部分此类人才能够把医疗机构的敏感信息翻个底时用天,而这将以直观方式帮助我们找到现有方案与理想水平之间的具体差距。”

— Bob Violino

在高校的安全规划当中,最重要的变革在于努力开拓对网络流量、使用模式以及性能异常的审视。“从大部分硬件及软件工具提供的特性日志记录当中收集更多相关数据,”Norin指出。“数据规模的提升允许我们以更快、更为广泛的方式对问题加以检测及解决。因此,在大多数情况下,我们能够在特定用户账户遭受攻击之前识别出潜在问题。”

举例来说,通过评估VPN使用模式,管理者们可以了解哪些网络流量合法、而哪些网络流量不合法。

此外,防火墙及密码构成了安全技术领域的又一个重要区域,Norin表示“我们需要一套新型方案来实现身份验证及保护。”举例来说,她解释称“我们开始推出一套新的双因素认证方案,旨在将额外验证步骤添加到现有(身份管理)与密码机制当中。”不过她拒绝透露亚利桑那大学所使用的具体安全技术。

新的NIST框架“成为我们对安全规划进行重塑的背景与基础,”Norin表示。她同时指出,NIST方案所围绕的核心理念在于,组织应当假设自身安全体系已然遭到破坏、因此需要专注于打造快速检测与事故缓和机制。


考虑将数据保存在哪里以及如何保存

出于安全方面的考量,企业同样开始对其关键性业务数据的存储机制作出调整。

举例来说,位于马里兰州拉纳姆市的贸易展览及活动服务厂商Hargrove公司就将敏感数据与主要及使用频繁的服务器当中剥离出来,并将其存储在使用频率较低的系统当中,从而保证只有少数用户能够对其进行访问。

尽管大多数员工根本不会刻意访问这些数据,但“最好还是能够将其彻底迁移到此类高利用率服务器之外,”Hargrove公司CIO Barr Snyderwine表示。“我们还添加了额外的存储机制并在针对性项目中重新定义了面向此类文件的访问机制。我们采取更为细化的处理方案,旨在保证面向此类文件的访问能够正常进行、而所涉及数据确切与该项目相关联。”

 

Barr Snyderwine

Hargrove公司目前正在构建新的项目,希望通过技术更新打造出属于自己的文件系统,从而确保其针对每一种员工类型提供正确的访问级别。该项目还在尝试运用数据丢失预防软件,其设计目的在于检测潜在数据泄露事故并预防其内容在使用、网络传输、访问或者保存在数据存储系统中时受到敏感数据监控或者屏蔽机制的影响。

除此之外,Hargrove公司的2015年安全发展规划则考虑使用第三因素认证外加以指纹扫描技术为代表的生物识别系统。

“从我个人的角度来看,全部原有陈旧方案(例如防火墙及密码)将仍然生效,但单靠它们并不足以实现安全保障,”Snyderwine指出。“我们需要引入新的技术成果,并严格审查哪些用户访问过哪些内容。”

Hargrove公司并不单单关心数据应该被保存在哪里以及哪些用户有权对其进行访问,他们同时也会通过评估了解特定类型的信息是否应当被保存下来——如果答案是肯定的,那么保存周期应该是多长。

为了进一步保障数据安全,Hargrove公司还聘请了一家安全企业对其安全措施以及应对突发事件的能力进行审查。这一决定的初衷在于“在整体层面提高对攻击活动”以及其它可能影响企业及其声誉的潜在威胁的关注程度,Snyderwine解释道。

“我们将利用安全企业的技术优势评估我们的整体安全措施、政策以及规程,”他解释称。“我向他们展示了一些具体方案,包括访问、检测系统以及响应机制。我们也在积极寻求围绕数据访问及渗透为核心的改进及规范途径。”

移动因素

在目前企业所面临的各类重大挑战当中,移动IT环境已经成为威胁安全保障的关键性要素——我们一方面需要保护设备自身的物理安全,同时也要保证其在访问业务信息及企业网络时的安全性。

“移动技术的逐渐发展将访问及数据本身推向了传统安全控制及网络无法触及的外部环境,”Forrester公司分析师Shields表示。“IT部门必须采取新的规范并确立新的处理方式。只有这样,我们才能切实保护个人设备及外来网络当中的各类临时性及本地性数据。”

在Wayfair公司,移动技术“是我们最为关注的技术领域之一,因为移动平台已经逐步成为攻击活动的主要切入点,”Wood指出。“移动技术的普及还带来了更多操作系统、浏览器以及软件等需要维护的因素类型。随着移动设备成为越来越引人关注的热门渠道,与之相关的安全性问题也将继续作为我们的关注重点。”

Wayfair公司的IT与安全团队正在利用大数据探索使用趋势与客户模式,进而定义出适合该公司的移动安全战略。“当我们发现某种特定平台得到广泛普及之后,我们能够转变努力方向、加快风险评估步伐并积极实现安全漏洞管理,”Wood表示。“分析与大数据技术将帮助我们了解客户群体中使用频率最高的设备类型。”

举例来说,如果Android用户代表着客户群体当中增长速度最快的部分,那么Wayfair公司将把更多工程技术资源转移到与Android设备相关的研究工作当中。

“在移动领域实现安全保障的主要挑战之一,”Norin指出,“在于提醒人们应该像对待计算机那样对待自己的手机——包括使用密码保护、保持软件更新、尽可能使用‘查找我的设备’工具并当心钓鱼诈骗活动。”

她表示,亚利桑那大学的移动环境具备相当的特殊性,这是因为校园社区中的大部分成员都属于临时性参与者。“学生在进入校园后往往带着多种设备,一般来讲每个人平均携带有三种不同设备,”Norin解释道。“教职员工有时候使用由校方提供的移动设备,有时候则使用自己购买的消费级产品。”

鉴于移动设备使用规模的持续增长,再加上移动技术自身所固有的高复杂性因素,亚利桑那大学在多数情况下会重新评估现有政策以确定哪些部分需要作出改变,Norlin表示。

移动技术普及同样引起了Hargrove公司的高度关注。“受到业务类型的影响,我们热情拥抱移动技术。我们还需要确保自身准确把握发送至移动设备端的用例与数据,”Snyderwine指出。

为了强化移动安全水平,Hargrove公司大力推广基于使用情况的管理政策以及微软Exchange Server,希望借此管理其移动数据以及电子邮件等应用程序的使用方式。

Hargrove公司将对其它产品进行广泛评估,从而进一步提高移动设备上的数据安全性水平。根据Snyderwine的说法,他希望通过部署技术方案帮助IT部门实现数据加密、并有针对性地清除用户设备上的业务相关数据。Hargrove公司还将在今年年内对各类移动设备管理软件加以评估。

移动技术的快速普及仅仅是当下企业所面临的众多安全挑战之一。对于IT部门而言,惟一不变的就是安全事务的快速变化特性——而那些能够紧跟时代发展步伐的企业则更有机会在保护有价值数据资产方面取得成功。


CIO之家 www.ciozj.com 公众号:imciow
关联的文档
也许您喜欢