将安全纳入数字化转型的4项关键挑战

作者:Jasmine, 星期一, 十月 8, 2018
来源:https://www.aqniu.com/learn/39391.html

改善网络安全状况正成为启动数字化转型项目的驱动因素。然而,实施过程中存在的错误往往会酿成惨痛的后果,需要为之付出沉重的代价。

数字化转型对于许多企业的长期发展目标而言至关重要,因为它可以帮助他们抵御如春笋般不断涌现的初创公司,更好地满足客户的需求,寻找新的发展机会,以及帮助企业降低成本等等。

此外,也是尤为重要的一点是,它还可以帮助提高企业的安全性。根据451 Research公司去年年底进行的一项调查显示,49%的IT专业人员和业务线经理表示,保护客户数据是他们的主要转型目标之一。

今年夏天,研究公司Lucid也对IT领导者进行了一项调查,结果显示49%的IT领导者认为,更好的网络安全保护是他们公司关注数字化转型的原因之一。40%的受访者表示,网络安全是他们公司投入最多的数字化转型领域。

实际上,我们正在目睹越来越多的IT领导者采取数字化转型项目来支持他们的网络安全战略。这些项目涉猎极广——小到员工入职和离职期间获取更好的访问权限,大到一些大型项目,如跟踪GDPR敏感数据的位置和其他合规性要求等,无一不包含在内。

除此之外,迁移至现代基础架构(包括Office 365等基于云的解决方案)通常也可以单独提高安全性。RiskLens公司近日针对准备向云供应商迁移的大型企业进行了风险分析研究,结果指出,由于我们的电子邮件环境不再是本地(on-premises)部署,我们将更加担心网络中断和数据保护问题。但是研究人员也发现,微软对Office 365的管理往往远远领先于组织自身所实现的管理,因此就整体而言,实际风险在迁移到云时会减少,而不是增加。

专家表示,数字化转型项目还可能导致企业环境的可见性降低,人力检查点减少,以及面临新的安全威胁。事实上,根据Fortinet最近进行的一项调查显示,安全性是迄今为止数字化转型工作面临的最大挑战,85%的首席安全官(CSO)和首席信息安全官(CISO)表示,安全性对于数字化转型工作而言一个巨大的难题。

普华永道在最新发布的一份报告中表示,很少有公司正在将网络和隐私风险管理正确地纳入其数字化转型中。未来的赢家将属于那些自设计阶段开始就在构建风险管理的企业所有。能否在数字化转型过程中正确建立网络和隐私风险管理,将成为企业确立品牌形象的关键一战。

1. 对数据和流程的可视性降低

据RiskLens公司所言,当基础设施由第三方托管时,企业对于能够收集的数据的控制权就会降低。试想一下,如果你的基础设施是在本地部署的,你就能够获取更好的可视性,可以在任何时间操控任何你想要控制的数据。当然,第三方服务供应商也会为你提供一些控制和报告,但是这与公司控制自己的基础架构的程度明显不同。

如果说公司未能提前制定好计划来管理新基础架构的话,那么即便是在本地安装新系统,可视性也可能会成为问题。一旦你无法确定相关资产的状态,或者将新软件部署到该资产时,你就会面临安全风险,无疑,你的攻击面也将进一步扩大。

以容器为例,它可以在本地、混合或云环境中运行。多年来,未能妥善保管容器一直是个问题。一个问题是,安全性无法产生收益。大多数企业都没能从安全性中获利,因此,从历史上看,大多数企业的主要关注点都未放在安全性上,尽管多年来它已有所改善。如此一来,从安全角度来看,基础设施的构建、增长甚至成熟速度在很多情况下都要远远超过企业所能应对的程度。

而当业务部门在未经IT部门的批准下购买新技术时(即所谓的“影子IT”),问题就会变得更为严重。特别是云服务可以在无需大量技能支持的情况下,即可快速轻松地实现部署和设置。如今,企业系统中存在越来越多的“影子IT”,业务部门已经打破旧的原则,在未经IT部门许可的情况下构建属于自己的基础设施,这无疑加重了安全问题。因为公司IT管理人员甚至不知道有这些系统的存在,谈何具备对这些系统的可视性。

2. 人力检查点减少

人类雇员需要对企业中存在的许多甚至大多数安全问题负责:他们会在输入交易时发生拼写错误;他们会忘记启用安全控制;他们会打开网络钓鱼邮件并点击恶意链接;他们会陷入网络骗局;他们会坚持在不同的平台上使用相同的弱口令。

通常情况下,我们的网络解决方案要比我们更强大,因为我们作为人类,具备情感,所以更容易被恶意行为者利用和操纵。但是值得注意的是,人类也提供了一种叫做“常识”的关键剂量,不过随着流程逐渐实现完全自动化,人类所独具的这种技能也在随之消失。

举个例子,有些事情就像SQL注入一样简单。人类可以通过代码立即获取想要获取的数据,而无需人力识别和过滤。这显然是自动化所带来的便捷之处,但是要知道,计算机只有在经过编程之后才能执行相应的任务。作为人类,我们能够通过直觉或常识来判断一些东西可能存在问题,但是计算机并不具备这种能力。它们只能依赖特定的编程来执行任务,因此可能会存在遗漏、错失的情况。

如今,越来越多的企业正在不断增加其自动化建设,在这种高效、低成本的环境中,企业习惯将人类从控制台中剔除,这种行为可能导致的问题值得企业深思。

3. 未知的“未知数”

数字化转型有时可能会带来新的、无法预料的攻击向量。例如,Amazon S3存储桶的使用。其价格便宜、使用便捷、易于设置,同时也易于遭受攻击。

在过去一年中,包括埃森哲、道琼斯、Verizon以及军事情报机构INSCOM在内的多家技术精湛的公司,都将敏感数据暴露在了亚马逊上。无独有偶,Kenna Security公司研究人员最近也发现,9,600家分析机构中有31%因为Google网上论坛和G Suite配置出错而泄露敏感电子邮件信息。受影响的实体包括财富500强公司、医院、大学和学院、报纸和电视台,甚至美国政府机构。

Kenna Security研究人员指出,使用G Suite的组织在创建邮件列表可能会配置Google Groups 界面。由于术语和组织范围与Groups特定权限很复杂,导致列表管理员无意中可能泄露电子邮件列表的内容。据悉,造成此次事故的谷歌G Suite,正是许多正在转型中的企业所使用的转型产品。事实上,由于缺乏持续的警惕性而导致的错误配置问题,已经使全球不同行业的众多组织遭遇了数据泄露事件。

4. 你需要一个网络安全计划

首席安全官(CSO)在确保企业的数字化转型战略(包括网络安全计划)方面发挥着重要的作用。他们发挥作用的关键就是要能关注那些对企业而言最重要的问题。

安全人员有时候习惯打哑谜,听得人云里雾里,公司自然也就不了解安全的重要性以及如何落实安全性了。事实上,安全人员需要提供一些清晰且实实在在的案例,这些例子不仅仅是技术性的,还需要能够清楚地说明哪些因素可能会对公司的品牌产生什么影响。

例如,数据泄露行为就会对公司的市值产生影响。你可以为企业绘制一个简单的图表,说明Equifax数据泄露事件为其带来的成本和市值损失;Target数据泄露造成的成本损失,以及Facebook泄露客户隐私所造成的市场成本和名誉损失。更重要的是,这种损失成本还一直在大规模的增加。

首席安全官也必须把握好言语的尺度,以能够说服企业高管支持网络安全举措为宜,切勿营造一种危言耸听的形象。例如,太多的安全专业人员只关注于将数据和流程迁移至云端的额外风险,而忽略了其优势。这种行为并非实际的分析工作,而是在传播一种恐惧、不确定和怀疑的氛围,甚至可能导致首席安全官失去信誉。

之后,企业可能仍然会继续进行该项目,因为他们看到了该项目的价值、机会或成本优势,首席安全官也会由此受到限制,损耗企业对其的信任。

如果首席安全官能够客观地谈论业务方面的风险和安全性,那么他们将更有可能在数字化转型项目中发挥作用,树立威信。安全专家建议称,安全专业人员可以关注风险评估方面的一些国际标准,例如FAIR风险评估框架等等。这些标准并不是传递FUD(恐惧、不确定和怀疑),或云是危险的等观点的,而是旨在帮助企业安全人员做出更为明智的决策。

Fortinet最近的调查结果地址:

https://www.fortinet.com/blog/industry-trends/security-implications-of-digital-transformation-report-.html

Kenna Security的调查结果地址:

Widespread Google Groups Misconfiguration Exposes Sensitive Information

相关阅读

数字化转型大背景下的个人信息保护(PII)

安全,在企业数字化转型中扮演什么角色?