在信息安全发展的每个阶段, 有一个问题——访问控制, 病毒, 黑客, 数据泄漏, 举几个例子,这似乎是无法克服的. 然后, 一点一点地, 信息安全专业人士澳门赌场官方下载开始着手解决这个问题. 他们没有消灭它,但他们控制了它,使它易于管理. 毕竟, 我们仍然面临着未经授权的访问, 讨厌的恶意软件, 脚本漏洞和误用数据, 但我们能够继续使用信息系统,我们所知道的文明的终结也没有发生, 尽管当时对混乱的疯狂预测.
“厄运与阴郁旅”最近的主题是网络攻击.1 现在, 它们确实不同,因为它们是经过深思熟虑的, 有针对性的, 恶意企图损害特定组织, 政府犯下的罪行, 有大量时间储备的罪犯和恐怖分子, 资金和专业知识. 但我确信, 尽管目前的问题可能很严重, 信息安全界将最终控制和管理网络攻击问题. 最终,是的,但是什么时候?
好吧,也许最终是现在. 需要一点勇敢的精神, 或愚蠢, 我想说我们可能会看到, 套用温斯顿·丘吉尔的话, 不是结束的开始, 而是开始的结束.2
是什么带来了这种阳光乐观主义的爆发? IBM报告的网络攻击统计数据显示,从2014年的12017起下降到2015年的1157起.3 波耐蒙研究所(Ponemon Institute)对数据泄露成本的年度评估表明,在德国和美国, 从2013年到2015年期间,成本增长速度有所放缓,在澳大利亚和英国实际上已经下降.4 赛门铁克还发布了一份互联网安全威胁的年度研究报告, 哪一家公司的数据泄露数量在2015年增加了2%, 相比之下,去年增长了23%.5
现在, 一燕不成夏, 但是,三份关于利率下降或实际下降的报告可能是一种趋势的早期指标. 为了本文的目的,让我们假设是这样的. 因为我们可以合理地假设,网络坏人没有突然爆发的美德, 也许我们这些试图阻止网络攻击的人正在产生积极的影响. 如果这是一种趋势,那么是哪些因素造成了这种有利趋势呢??
验收
几年前, 我在这篇文章中写道,高级管理层和董事会对网络攻击威胁的接受,是产生应对威胁的预算的关键.6 我毫不怀疑这一目标已经实现. 大量的新闻报道、研究和出版物7 是否让那些掌握钱袋的人看清了网络安全事件的现实.
理解并不一定会导致行动,但我相信,在这种情况下,它已经导致了行动. 作为一名资深的信息安全专业人士, 我认为,做好网络安全准备是有道理的. 媒体本身的报道并没有使决策者相信需要采取对策. 如果说有什么不同的话,那就是他们提出了为什么现有的保障措施不够充分的问题. 但是,对网络威胁现实的接受,使信息安全管理在案例提出时获得了一批乐于接受的听众.
技术
在哪里赚钱,市场就会做出反应,事实也确实如此. 有数百种产品和服务可供选择8 这据称是解决网络攻击的办法. 其中很多, 所以我发现, 仅仅是对现有工具和技术的重新包装吗, 但这相对来说并不重要. 这些技术以前没有被购买过, 实施和使用(或至少不用于网络安全目的). 如果要把合适的工具交到合适的人手中,需要一个崭新的标签和一个热心的推销员, 这对我来说很好.
当我分析市场的时候, 我看到大约三分之一的顶级产品提供预防, 大约四分之一是检测和分析, 其余的则分散在风险管理部门, 服务和测试. 令人震惊的是,至少对我来说,市场上没有任何产品可以从网络攻击中恢复过来. 我认为,如果有买家在等待市场的反应,这将是一个巨大的产品机会.
在很多组织中, 信息安全和灾难恢复处于不同的管理链, 预算资金也没有流向复苏的方向. 也许这只是因为预防的承诺压倒了即使是保护得非常好的公司和政府机构也经历过网络攻击的现实. 无论预防和侦查工具有多强大, 攻击者有的是时间, 金钱和耐心. 攻击会发生在准备充分和不受保护的人身上, 因此,网络可恢复性需要成为每个组织武器库的一部分.
云
越来越多的组织正在将越来越多的应用程序和基础设施迁移到云上. 这可能比外包多一点,也可能是对其it架构的完整修订, 但似乎有一个积极的, 也许意外, 副作用:安全性得到了提高.
外包IT服务的提供商通常对信息安全,特别是网络安全具有战略利益. 我们大多数信息安全专业人员为以下系统提供支持, 反过来, 支持业务流程. We do not make loans or steel or candy for a living; we help make the information the business people use more reliable and available. 即使信息安全遭到破坏,产品也能保持其价值. Cloud providers are in the business of information systems; the systems are their products. 因此, 安全漏洞——尤其是客户数据落入不法分子之手——削弱了云计算公司自身的市场潜力. 正如我的一位同事所说,
云和软件即服务(SaaS)供应商……显然拥有提供安全环境的资源和能力. 他们的技术资源在许多方面都是前所未有的, 正如云计算和SaaS供应商使用generic开发创新系统的方式所证明的那样, 低成本的服务器现在威胁到资金雄厚的技术领导者的业务. 据推测,他们也有能力保护他们的服务和数据. 他们也有商业动机. 云计算或SaaS的安全漏洞带来的不仅仅是经济损失, 法律, 供应商的声誉和监管风险, 还有生存风险.9
如果这是通往终点的起点,我完全赞成.
尾注
1 罗斯,年代.《澳门赌场官方下载》, ISACA杂志,卷. 5, 2011, http://svq2.corpshort.com/resources/isaca-journal/issues. 包括我自己, 一个能写出一篇叫做“危险列车”的文章的人,没有任何权利指责别人. 但我还是要指出来.
2 丘吉尔,W.; “The Bright Gleam of Victory,这是在伦敦市长官邸举行的市长日午宴上的讲话, 伦敦, 英格兰, 1942年11月10日. 原话是,“这还不是结束. 这甚至不是结束的开始. 但这也许是开始的结束.”
3 IBM的安全, 回顾一年来的严重数据泄露、重大攻击和新漏洞,美国,2016,p. 5. IBM将攻击定义为, “关联和分析工具已将此安全事件识别为试图收集数据的恶意活动, 破坏, 否认, 降低或破坏信息系统资源或信息本身.”
4 IBM, 2016年波耐蒙数据泄露成本研究:全球分析, 2016, p. 5, www-03.ibm.com/security/data-breach/
5 赛门铁克, 2016年互联网安全威胁报告, 2016年4月,页. 9, http://www.symantec.com/security-center/threat-report
6 罗斯,年代.“熊接受”, ISACA杂志,卷. 4, 2014, http://svq2.corpshort.com/resources/isaca-journal/issues
7 ISACA, 网络安全:董事会需要问的问题2014年,美国
8 2016年全球500强榜单见 www.cybersecurityventures.com.
9 Cytryn,., 等; “Hackers, Snoopers and Thieves: How to Handle the Latest Threats,” 《澳门赌场官方下载会计与财务杂志》e, 2014年7 / 8月,p. 49–50
Steven J. 罗斯, cisa, csp, MBCP
是国际风险大师有限责任公司的执行负责人吗. 罗斯一直在写一本 杂志自1998年以来最受欢迎的专栏. 可以联系到他 stross@riskmastersintl.com.