企業沒有專注于其最大(dà)的IT安全威脅的6個原因

發布日期:2018-01-26首頁 > IT資(zī)訊

705-1P1251A104a6.jpg
 

如今,很多企業并沒有把工(gōng)作重點放(fàng)在他們面臨的實際安全威脅上,這使他們的業務更加脆弱。如果他們相信事實而不是炒作的話(huà),那麽這種情況可能會改變。

人類是一(yī)種有趣的生(shēng)物(wù),很多時候并不會對自己的最佳利益做出正确的反應。例如,大(dà)多數人乘坐飛機比乘坐汽車(chē)到機場要害怕得多,盡管乘車(chē)面臨的風險是乘坐飛機的數萬倍。更多的人害怕在海邊被鲨魚襲擊,卻不擔心在家裏被自己的狗咬傷,即使被狗咬傷的可能性也會高出數十萬倍。人們即使知(zhī)道并相信一(yī)個事件可能會發生(shēng),通常也很難對風險做出适當的反應。而這種情況同樣适用于IT安全。

IT工(gōng)作人員(yuán)經常在計算機安全防禦系統花費(fèi)大(dà)量的時間、費(fèi)用和其他資(zī)源,而這些安全防禦措施并不能阻止對網絡攻擊對企業的最大(dà)威脅。例如,當面對單個未修補程序需要更新以阻止威脅的事實時,大(dà)多數公司除了修補這個程序之外(wài),沒有做其他事情。

此外(wài),還有很多這樣的例子,事實上,大(dà)多數公司很容易被黑客入侵,這足以證明威脅的嚴重性。然而即使面對這樣的事實,很多企業也不會做他們應該實施的一(yī)些比較簡單的措施。

這個問題帶來了很多困擾,關于爲什麽這麽多的防禦者不能很好地采取防禦措施的原因,其答案主要是缺乏重點。許多優先考慮的事情占用着IT人員(yuán)更多的注意力,以至于他們可以做到的顯著改進安全防禦的事情還沒有完成,即使成本更低、速度更快、更容易實施。

那麽是什麽原因導緻這種情況的發生(shēng),如何将正确的防禦措施放(fàng)在正确的位置,以正确的方式抵抗網絡威脅呢?以下(xià)了解一(yī)下(xià)企業沒有專注于IT安全威脅的6個原因:

  1、絕大(dà)多數的安全威脅是壓倒性的

全球每年将出現5000到7000個全新的威脅,平均一(yī)天出現15個,也就是說人們每天都面臨15個全新的問題,日複一(yī)日,一(yī)直如此。IT工(gōng)作人員(yuán)就像消防隊員(yuán)一(yī)樣每天接到更多的緊急呼叫求助,但并不是每個工(gōng)作人員(yuán)能夠充分(fēn)應對這些威脅,所以他們必須進行分(fēn)類,并排列處理的優先次序。

  2、威脅炒作可能會分(fēn)散對更嚴重威脅的關注

通常,媒體(tǐ)所報道的威脅和脆弱性往往伴随着大(dà)量的炒作與宣傳。而一(yī)些安全防禦廠商(shāng)爲了銷售自己的産品和服務,也積極參與對這種威脅的炒作,一(yī)些威脅往往會以令人毛骨悚然的名字命名。

這并不能把所有的責任都推到計算機防禦廠商(shāng)身上,因爲銷售軟件或服務是他們的工(gōng)作。這将由消費(fèi)者決定哪些事物(wù)值得他們關注,而當每天面臨15個新的威脅時,安全人員(yuán)保持關注是非常困難的。

即使威脅和風險很大(dà),每一(yī)次威脅的過度報道都會讓人很難注意到真正的威脅。例如,Meltdown(熔毀)和Spectre(幽靈)實際上是計算機世界所面臨的最大(dà)威脅之一(yī)。它們幾乎影響到所有主流的微處理器,這将會讓攻擊者無形中(zhōng)利用計算機,通常需要采用多個軟件和固件補丁來保護,而在解決問題時可能會顯著降低計算機處理速度。在許多情況下(xià),唯一(yī)的好辦法是購買一(yī)台新電(diàn)腦。Meltdown(熔毀)和Spectre(幽靈)是很大(dà)的威脅,但專家表示,無需對其大(dà)肆炒作。

但是,除了網絡安全行業和一(yī)些主流媒體(tǐ)文章報道之外(wài),人員(yuán)的集體(tǐ)反應是越來越沉默。通常當計算機安全發生(shēng)大(dà)事時,很多人都會問應該怎麽做。Meltdown(熔毀)和Spectre(幽靈)被報道之後,人們的反應不再那麽強烈。

因爲應對Meltdown(熔毀)和Spectre(幽靈)通常需要固件補丁,用戶幾乎很難獨自處理。在未來的很多年裏,全球将有數以億計的這樣的設備。爲什麽反應并不強烈?這是因爲炒作疲勞。每一(yī)個威脅都被過度誇大(dà),而當一(yī)個真正的全球性威脅出現時,需要每個人都進行關注的時候卻并不在意,并會認爲他們的操作系統提供商(shāng)或設備提供商(shāng)會在适當的時候修補它。坦率地說,這兩個新威脅很可能會導緻更多的微處理器錯誤,被網絡攻擊者發現和利用。

  3、不良威脅情報幹擾了關注焦點

部分(fēn)原因是大(dà)多數企業自己的威脅情報在提醒他們需要擔心哪些威脅。而威脅情報(TI)還應該關注數以千計的威脅,并告訴工(gōng)作人員(yuán)哪些威脅最可能進行攻擊。與其相反,威脅情報(TI)的作用通常是用于進行炒作的放(fàng)大(dà)器。

想要知(zhī)道大(dà)多數威脅情報部門是如何感染的?詢問對企業造成最大(dà)的損害的威脅是什麽。是惡意軟件、社交工(gōng)程、密碼攻擊、配置錯誤、故意攻擊、加密不足?沒有哪一(yī)個TI團隊可以直截了當地回答,并且有數據支持其結論。如果企業無法确定最大(dà)的威脅是什麽,那麽如何才能最有效地應對正确的威脅呢?

  4、合規性問題并不總是與安全最佳實踐保持一(yī)緻

如果企業想要在計算機安全方面快速完成某些工(gōng)作,需要了解是否符合法規要求。企業的高級管理人員(yuán)需要關注合規問題。在很多情況下(xià),他們可以承擔責任,積極彌補合規缺陷。

不幸的是,合規性和安全性并不總是一(yī)緻的。例如,一(yī)年前的最好的密碼建議,卻違反了有關密碼的法律和監管要求。事實證明,人們所認知(zhī)的密碼安全的許多事情都在變化,例如要求密碼的複雜(zá)性,網絡威脅随時間而改變。大(dà)多數法律和法規建議的創建者和維護者似乎都沒有注意到,即使遵循舊(jiù)的密碼建議,往往也會使企業的數據容易被洩露。

在這個問題上,很多網站不會讓人們創建一(yī)個超過16個字符的密碼(而這樣的密碼将是非常強大(dà)的,無論其複雜(zá)性如何),而密碼采用“特殊”的符号在理論上會使黑客的攻擊更加困難,數據和研究顯示這在實際應用中(zhōng)顯然不是這樣。

  5、太多項目分(fēn)散資(zī)源

很多企業都有幾十個正在進行的安全項目,每個安全項目都旨在保護企業的電(diàn)腦和設備。在任何情況下(xià),這些項目中(zhōng)的一(yī)個或兩個如果完成,将提供其所需的大(dà)部分(fēn)安全收益,以顯著降低安全風險。而實施數十個項目,将拆分(fēn)有限的資(zī)源。大(dà)多數項目即使完成,也會被延遲和低效執行。而IT安全世界的軟件價格昂貴,并承諾項目不用工(gōng)作人員(yuán)監督持續運作。

  6、寵物(wù)項目通常不是最重要的項目

更糟糕的是,大(dà)多數企業都有一(yī)個或兩個寵物(wù)項目。企業不了解自己公司的數據面臨的最大(dà)威脅是什麽,他們會從其他項目中(zhōng)選拔出最優秀、最聰明的團隊成員(yuán)來完成他們的任務,這其實影響了其他重要項目的實施。

還有更多的例子說明爲什麽計算機維護者不把重點放(fàng)在正确的事情上。企業通常從日常的威脅開(kāi)始,并且在項目鏈上受到許多其他因素的影響。解決問題的第一(yī)步是承認企業的安全有問題。而如果企業發現一(yī)些無效計算機防護措施,那麽是幫助團隊中(zhōng)的每個人了解問題,并幫助他們更好地關注問題的時候了。