資訊安全長的偏頭痛:痛處和解決方法

做一位資訊安全長(CISO)並不容易。一方面要無時無刻的面對董事會的難題 – 要求著不存在的額外預算,試圖對「非技術」對象闡明商業方面的安全威脅。然而當資訊安全長的資源保持不變時,威脅環境本身卻是千變萬化,日新月異,由日益靈活彈性、資金雄厚且進階的敵人來執行。在這些角度來看,資訊安全長可能是現代企業中最具挑戰性的角色之一。

只要漏掉了一次,你的組織就可能出現在明天全國媒體的頭條

在2014年問任何一位資訊安全長關於他們持續的關鍵挑戰是什麼,大多數會提到技能短缺。根據去年對ISC2的年度全球資訊安全從業人員研究顯示,有大約56%的受訪者認為這產業有人力短缺的問題。技能差距也是個長期的問題,特別是在新的領域,例如自帶裝置(BYOD)和雲端運算。即使有出現熟練的專業人士,CISO們也經常抱怨並沒有足夠資源來吸引這些人才。

還有管理問題。CISO們經常發現自己跟他們的資訊長(CIO)意見分歧,CIO想要推動更廣泛的資料存取,更好的效率,彈性和財務報表。然而,這些都可能會增加IT風險。想要滿足這些要求而又同時繼續阻止風險是場持久戰,而且常有人會低估資訊安全長在確保組織開展業務的安全上所做的努力。

安全主管們一次又一次遇到的問題是,跟其他IT領域不同,現在他們所做的事情根本沒有投資報酬率。這一方面讓他們很難說服董事會需要額外資源。同時也和壞人們有著顯著的對比,壞人們可以從投資網路犯罪上獲得巨大的回報。他們只需要成功一次,但是資訊安全長必須要在100%的時間都正確。只要漏掉了一次,你的組織就可能出現在明天全國媒體的頭條。

來自雲端和行動運算的額外風險

雪上加霜的是來自雲端和行動運算的額外風險。在同樣一份ISC2調查中,全球有超過12000名安全專業人士認為自帶裝置和雲端都是主要擔心的事情。在工作場所使用員工自有設備和雲端服務不僅會增加組織受攻擊的面向,也限制了資訊安全長發展深入防禦策略的能力。行動應用程式的風險尤其高。無論是公司內部購買或開發,往往都沒有經過小心的編寫,也沒有充分進行 OWASP Top 20 的測試來消除漏洞。

另一個增加攻擊面向的因素是第三方合作夥伴,像是管理服務供應商和律師事務所。跟他們的通訊是業務上必不可少的事情,但他們往往是最脆弱的環節,如果被攻擊者當作目標,就可以成為踏腳石進到更大的組織。 

接著是威脅本身。針對性攻擊不再是國家等級的威脅。網路犯罪地下世界現成的工具包已經可以設計出隱藏網路內部秘密行動的方法,擷取客戶資料或敏感的知識產權。許多資訊安全長都要在幾個月甚至幾年後才能意識到入侵外洩事件的發生。

 

降低安全風險,讓資安長不再偏頭痛

充滿挑戰的時代呼叫著可信任的安全廠商來提供資訊安全長正確的工具以降低IT風險。產業內的創新者,如趨勢科技,提供覆蓋範圍廣泛且應用趨勢科技主動式雲端截毒服務  Smart Protection Network的實體、虛擬、雲端和行動環境安全解決方案。這基於雲端的威脅防禦系統被設計用來處理巨量資料的3V:Volume(大量)、Variety(多種類)和Velocity(快速)。

它從各種來源,包括網址、網域、檔案、漏洞攻擊碼、網路流量、指揮和控制伺服器、行動應用程式和威脅工具包收集大量的資料 – 每天超過15TB。然後利用各種資源來識別以前可能看不到的威脅,利用巨量資料分析來最佳的找出威脅情報。

最後是快速封鎖雲端威脅,甚至在它們有機會滲透到目標網路或設備之前。像這樣進階的防護是不可或缺的,可以全面性的減輕資訊安全長的負擔。

 

@原文出處:CISO Migraines: The Pain and the Remedy 作者:Tom Kellermann(趨勢科技網路安全長)