今年企業(yè)用戶已在信息安全產(chǎn)品上耗資數(shù)十億美元�。企業(yè)對操作系統(tǒng)進行了漏洞修補和補丁升級��,努力增強計算機用戶對身份偷竊威脅的安全意識,但即便是這樣��,大多數(shù)機構(gòu)仍然不覺得今年比去年更安全。
《InformationWeek》研究部和埃森哲咨詢公司(Accenture��,下稱埃森哲)合作進行的第十年度“全球信息安全調(diào)查”顯示��,美國1,101位受訪者中的三分之二和中國1,991位受訪者中的89%覺得和前一年相比�,今年受到攻擊的可能性依然沒有降低,甚至危機感還有升級的趨勢���。
危機的起因是人們?nèi)找嬲J識到����,安全技術(shù)已變得過于復(fù)雜。對幾乎一半的美國受訪者來說����,首要的安全挑戰(zhàn)就是“安全管理的復(fù)雜度”。所謂“深度防衛(wèi)”(Defense-In-Depth)只是意味著“盡管擁有一堆重復(fù)的技術(shù)����,但你卻沒法以一種直接有效的方式處理安全問題”��,埃森哲的安全應(yīng)用全球管理總監(jiān)阿拉斯泰爾·麥克威爾森(Alastair MacWillson)指出�����?��!斑@就像你不得不給大門加了20把鎖��,原因是無法確定其中哪一把是真正有效的�����?��!?/FONT>
我們的結(jié)論顯示�,受訪者的擔心甚至還不夠�,特別是針對公司和客戶資料的丟失與偷竊問題。僅三分之一的美國受訪公司和少于一半的中國公司把“預(yù)防泄密”作為最大的安全挑戰(zhàn)����。只有四分之一的美國受訪者把未經(jīng)授權(quán)的員工對文件或數(shù)據(jù)的訪問,或外部人員做的客戶數(shù)據(jù)盜竊列為最需要重視的3項安全隱患��。除此以外����,包含公司數(shù)據(jù)的手機設(shè)備的丟失和偷竊,以及知識產(chǎn)權(quán)的失竊���,是更為缺乏關(guān)注的安全問題�。公司對這些安全隱患還普遍缺乏認識�����,但現(xiàn)實中已有大量令人十分尷尬的報道——在過去一年半里除了零售企業(yè)TJX公司�、美國退伍軍人事務(wù)部(Department of Veterans Affairs)和美國喬治亞州社區(qū)衛(wèi)生部(Community Health Department)都發(fā)生過數(shù)據(jù)丟失事件,當然�,此外還有更多《InformationWeek》報道過的前車之鑒�。
實際上���,在過去一年里���,最受重視的安全隱患是病毒和蠕蟲(65%的美國受訪者和75%的中國受訪者)、間諜軟件�、惡意軟件、以及垃圾郵件(中美兩國都是40%)��。
看錯了方向?
那是不是我們的安全專家把注意力投錯了地方呢?美國國土安全局(Homeland Security)的國家網(wǎng)絡(luò)安全辦公室(National Cyber Security Division)的杰瑞·迪克遜(Jerry Dixon)同意這個觀點�。
“你需要知道你的數(shù)據(jù)都存放在哪里�����,以及誰有權(quán)訪問它們����。”迪克遜表示���?����!斑@些決定了數(shù)據(jù)庫中的數(shù)據(jù)完整性�,而這些數(shù)據(jù)是開展業(yè)務(wù)的基礎(chǔ)?�!?/FONT>
當被問到安全專家需要注意什么的時候�����,IT服務(wù)供應(yīng)商BT Counterpane公司的首席技術(shù)官(CTO)布魯斯·施奈爾(Bruce Schneier)感慨道:“第一是非法行為�����、第二是非法行為�����、第三還是非法行為�,然后才是合規(guī)?����!?/FONT>
看起來安全專家確實沒抓到重點���,他們傾向于選擇自己熟悉的安全問題來應(yīng)對����,而不是針對現(xiàn)在日益猖獗的,從客戶數(shù)據(jù)和知識產(chǎn)權(quán)盜竊上獲利的行為�����。然而���,認真審視我們的調(diào)查結(jié)果�,也顯示機構(gòu)正在覺醒��,開始意識到客戶信息和知識產(chǎn)權(quán)很容易受到數(shù)據(jù)盜賊的攻擊����。
在調(diào)查中�,對70%的美國受訪者來說,今年更易受到攻擊的首要原因是日益復(fù)雜��,手段高明的攻擊�����,包括SQL注入攻擊���。這是一種針對網(wǎng)站提交的數(shù)據(jù)請求進行攻擊的技術(shù)��,SQL注入的目的只有一個:通過訪問網(wǎng)站應(yīng)用從數(shù)據(jù)庫里偷取信息����。
緊隨其后的3個原因是:攻擊公司網(wǎng)絡(luò)的途徑增多(包括無線接入點);攻擊數(shù)量的增加;攻擊者更多地出于惡意目的(如數(shù)據(jù)偷竊、數(shù)據(jù)毀壞�����、勒索等)����。我們的調(diào)查顯示,盡管網(wǎng)絡(luò)攻擊的主要后果常常是網(wǎng)絡(luò)癱瘓����,但受訪者認為攻擊的主要目的與其說是令網(wǎng)絡(luò)癱瘓,還不如說為盜竊財產(chǎn)(如客戶或企業(yè)數(shù)據(jù))����。只有13%的美國受訪者認為他們最重視的3類攻擊包括DOS(Denial of Service,拒絕服務(wù)攻擊)和其他損害網(wǎng)絡(luò)的攻擊�。這個數(shù)字比去年的26%大大降低。而在中國,僅有比該比例略高的受訪者擔心DOS攻擊�。
某些安全專家也許過于樂觀或是無知。僵尸網(wǎng)絡(luò)(Botnets)可以遠程控制IT資源(編者注:例如個人電腦)��,用于發(fā)動攻擊和竊取信息(參見《逃離僵尸網(wǎng)絡(luò)》)����。盡管目前還只有10%的美國受訪者和13%的中國受訪者把他列入最主要的3類攻擊方式之一,這種安全威脅在去年的調(diào)查中已經(jīng)上榜���。對此安全意識的不足也許是因為公司通常沒有意識到他們受到僵尸網(wǎng)絡(luò)的感染����,而這也正是僵尸網(wǎng)絡(luò)控制者所希望的���。
同樣����,病毒����、蠕蟲和釣魚欺騙是美國受訪者最看重的3類安全漏洞��。身份盜竊位列其中的第七位。但這不代表可以忽視身份盜竊的威脅�。身份盜竊和欺詐對發(fā)生過數(shù)據(jù)泄露的公司來說就是最糟糕的噩夢,而還沒有發(fā)生這類事故未必意味著安全措施足夠�����,也許僅僅是運氣問題���。TJX公司就非常不走運����,該公司IT系統(tǒng)中的457萬客戶記錄幾年前遭到偷竊����,直到今年早些時候才在美國佛羅里達州被發(fā)現(xiàn)。這些信息被用來制作偽造的信用卡��,并在幾個沃爾瑪商場欺詐消費了幾百萬美元�。去年數(shù)據(jù)泄密的一個典型的案例就是退伍軍人事務(wù)部的數(shù)據(jù)失竊案,該機構(gòu)的一臺筆記本電腦在一位員工的家里失竊�,其上有2,700萬條記錄。但到目前為止���,還沒有發(fā)現(xiàn)任何身份盜竊和欺詐活動與這起安全事故相關(guān)�。
另一個數(shù)據(jù)安全日益獲得重視的標志是:美國受訪者衡量安全投資回報時最看重的是可以削減多少與安全問題相關(guān)的工作時間(43%的受訪者),第二優(yōu)先考慮的是這些安全措施能否更好地保護客戶記錄(35%的受訪者)����,排在第三位的是能減少的安全漏洞數(shù)量(33%)。
也許整個調(diào)查里最令人震驚的是���,將近四分之一的美國受訪者根本不評
