打破界限:关于数据安全的新思考

2016-08-16
 |  尚無留言


本文翻译自英文原文的部分内容:Extending the edge:New Thinking on data security (Aug 2016 AFCOM )

和IT基础设施的大多数领域一样,安全问题原本是是一个孤立的领域,它致力于保护数据、应用程序和网络连接。随着自携电子设备(BYOD)政策和网络端点的出现,在实践中,大多数公司的数据安全是以应对新技术环境的模式发展而来的:或者说是由技术需求和特殊的商务实践需求所驱动的。在大中型企业中,部署50项或更多安全技术的情况并不少见。虽然支付了高昂的价格,但到目前为止,这种方法在应对各种攻击方面确实具有一定的效果。

现在,数据安全威胁的前景正以前所未有的速度产生着变化,这迫使企业转向更具前瞻性的安全模式。企业比以往更加需要有效地定位持续的网络攻击源、攻击手段和攻击目标。企业需要采取积极主动的方法和统筹全局的安全策略。

当今网络,更加大胆、更富有攻击性

管辖权问题和匿名性助长了网络犯罪。现在,网络犯罪者与以往相比具备更强的经验和拥有更多资源。互联网使每个人只需要点击一下鼠标就可能和这些犯罪者产生接触,他们似乎比从前更加大胆、更富有攻击性。结果是,我们发现安全威胁与日俱增,攻击更加复杂,损失愈发严重。

幸运的是,企业已经觉察到了安全领域的上述变化,并且采取措施加以解决。受IT服务和解决方案公司Datalink的委托,IDG Research Services公司近期的研究对美国大公司的100多位IT高管进行了调研,发现在回答他们公司的前5大IT支出方向时,受访者最常提到的就是改善IT安全。他们中的大多数人(75%)还表示,与两年前相比,安全问题变得更加重要了。

显然,如果企业不希望沦为网络攻击的受害者,就必须制定和实施全面的IT安全策略,确保其数据的保密性、完整性和可用性。然而,企业使用的很多传统的安全技术已经跟不上变化。而网络安全人才匮乏使上述工作更加困难。据Cybersecurity Ventures估计,到2019年,全球网络安全人才缺口将达到150万。这种人才缺口反映到微观层面,就意味着对很多组织来说,IT安全的专业化程度越来越高,而短缺、资源有限的网络安全人员却被要求承担着重大的责任。

范式转换:安全新边界

企业通常会为它们的数据网络建立安全边界。然而,事实越来越清楚地表明,企业更应当关注数据中心的建立和管理,这一点对那些在运营初期没有资源来保护各方面操作的企业尤为重要。数据中心被企业用来存储应用程序和数据,其往往是企业最宝贵的数字资产,也是网络罪犯最频繁攻击的目标。

当然,为数据中心建立安全边界说起来容易,做起来却很难。“边界”也许在5年前很容易界定,但网络技术和网络形态的每一次进步都使边界变得愈发模糊。云计算、混合云、弹性网络等新技术都导致公司网络与其他网络空间之间的界限越来越难以区分。如果再考虑到包括合作伙伴、供应商和服务提供商在内的商业关系也在变得更加复杂,这些技术的复杂性也就随之提升。考虑到上述所有问题,这便成了一项重大的挑战,但还是可以克服的。

另外,建立新边界并不意味着抛弃本地安全的概念。理想情况下,已经部署的安全措施应该保留下来,但只是作为全面安全策略的一部分。

反思数据中心设计

想要应对近些年来日益猖獗的网络犯罪,显然需要企业做出根本性的转变。网络交易的透明性是加强安全的关键。但不幸的是,目前的基础设施划分方法使得追踪系统数据请求和数据返回的最终地址十分困难。

在反思数据中心的运作方式时,企业必须考虑以下几个重要问题:

  • 监控点位设置在哪里?信息聚集在哪里很重要,因为传送过程中的地址会不断改变。如果你只着眼于数据入口和出口,就会错过服务器上应用程序之间的数据交互。
  • 哪些设备和事件应该成为监控重点?应用层面?系统层面?用户层面?所有这些?或者是其他节点?“正确”的答案取决于业务类型和流经基础设施“脉络”中的数据敏感性。
  • 企业需要技术提供什么安全能力?企业是否需要日志信息、数据包捕获和外部威胁情报?上述技术是否有能力收集、存储、处理和关联信息?
  • 安全警报是如何处理的?所有人对于问题如何分类、升级和解决的立场必须一致。

不同企业的答案,不尽相同。绝对没有一种“万金油”式的网络安全方法。企业的安全策略必须契合于其商业目标、风险承受能力和部署能力。因此,企业在制定全面的安全策略时,应该考虑寻求帮助。

抛弃过时看法

安全技术以前要想发挥作用,必然导致网络速度慢到不行。结果,企业不得不在严密保护和高网络效率之间做出选择。由于能创造收入,追求效率的要求因此常常胜出。安全功能会束缚数据流动和应用程序表现的看法,如今也依然存在。

想要让安全措施被采纳,信息技术必须向企业清楚地表明,新技术是强大、快速和准确的。它能迅速地检查输入流量,发现和处理可疑查询,并让合规查询自由通过。

另一个错误的看法是,不同的安全技术无法结合成一个统一的安全方案。现在最好的系统都拥有开放的应用程序编程接口(API),能够简化与其他技术的整合。

人、数据应用与技术的融合,才能真正做到安全

显然,下一代数据中心必须把信息安全性融入其设计中,不能事后补救。但想要让数据安全真正起作用,企业的安全策略必须把人、数据应用过程和技术都纳入考量。

在未来,人将依然是最脆弱的一环。实施新技术时,企业必须确保负责进行技术支持的人员受到适当培训,且乐于承担其职责。同样地,安全管理过程必须经过检查和改进,以有效利用新的能力和功能。很多时候,企业虽然引进并部署了最新技术,但却未能物尽其用。这就像购买了一辆功能丰富的高档汽车,但却不愿意去了解那些功能有什么用。用技术指标来定义和衡量数据安全的功效是危险的。

及早和经常让公司股东参与适合公司的安全技术评估和选择过程,有助于使安全技术获得支持和认可。适当的公司政策也非常重要。公司领导层必须知晓,他们的安全命令是如何转化成安全行动的。把技术解决方案与企业组织化的政策和标准联系起来是必要之举。

拓展安全边界,采取新的数据中心设计方法,培训人员,改进数据应用过程以充分利用新的安全技术,这些都是艰巨的挑战,但也只是个开始。想要在防范网络罪犯中先发制人,IT安全专家必须携手合作,分享自己的经验和知识。能更快地收集、消化和分享关于安全威胁的趋势与具体类型的信息,也就能更快地执行相关的解决措施,IT也可以更有效地保护企业免受任何负面影响。