当今最引人注目的技术给您带来了最大的安全问题。Twitter、Facebook和LinkedIn等社交网站加强了合作,帮助你的公司与客户建立联系,但它们也让你的员工比以往任何时候都更容易与外界分享客户数据和公司机密。
虚拟化和云计算允许您简化物理IT基础设施并削减开销成本,但您才刚刚开始认识到所涉及的安全风险。把更多的基础设施放在云上会让你容易受到黑客的攻击,他们会加倍努力来启动拒绝服务针对谷歌、雅虎和其他基于互联网的服务提供商的攻击。今年早些时候谷歌的大规模宕机说明了依赖云计算的企业可能会遭受的那种中断。
但也有好消息。即使几十年来最严重的经济衰退迫使你减少在外包安全服务上的花费,而更多地在内部做,你的安全预算仍然保持稳定。更多的人在雇佣首席安全官。
如从第七年度大外卖全球资讯保安调查,这与普华永道在今年早些时候进行的CIO和CSO杂志。全球近7300业务和技术高管来自不同的行业,包括政府,医疗保健,金融服务和零售回应。
要了解更多关于安全性的信息,请参阅:装载机,吊车,采取走阻断服务攻击和社交网络的恶意软件:三种方法保护自己。
查看完整的调查结果在这里。
看看我们是怎么得到这些数字的。
这些趋势正在塑造你们的信息安全议程。科学应用国际公司(SAIC)首席信息官查尔斯•比尔德(Charles Beard)表示:“每家公司都担心保护自己的数据,尤其是客户数据。”“在旧的商业模式下,每个人都必须聚集在同一地理区域的同一幢大楼里。现在每个人都在使用互联网和移动设备来相互协作。这就是社交网络的前景所在。另一方面,我们暴露在网络空间的黑暗面。这项技术的采用远远领先于适当保护和管理它的努力。”
请继续阅读,了解我们的发现。
顶级IT安全优先
新的投资集中在保护数据和用户身份验证上
1.生物识别技术
2.网络内容过滤
3.数据防泄漏
4.一次性密码/智能卡/令牌
5.减少或单点登录软件
6.基于ip安全
7.Web 2.0的安全
8.身份管理
9.可移动媒体加密
趋势# 1
社交网络的前景和危险
在不到两年的时间里,社交网络已经从一个抽象的好奇变成了许多人的生活方式。当有人在Twitter、Facebook或LinkedIn上更新状态时,他们可能白天工作时更新状态,晚上在家用公司的笔记本电脑更新状态。
是什么让IT主管烧心是与当他们告诉你他们午餐吃什么用户可以共享客户数据或敏感企业活动的难易程度。Cyberoutlaws知道这一点,使用社交网络来发动钓鱼诈骗。在一个流行的攻击,他们发送看起来像是从一个Facebook好友来了受害者的消息。该“朋友”可以沿着他们坚持你看看一个URL发送。它可投作为一个新闻故事迈克尔·杰克逊去世或股票提示列表。在现实中,链接将受害人的黑幕网站,自动删除恶意软件到计算机上。该恶意软件熄灭搜索存储在计算机或更广泛的公司网络上的任何有价值的数据,无论是客户信用卡号码或秘方新的抗癌药物。
因此,所有接受调查的It领导都承认他们害怕基于社会工程的攻击,这就不足为奇了。45%的人特别担心针对Web 2.0应用程序的钓鱼计划。
然而,对于许多公司高管,阻止社交网络是不可能的,因为其潜在的业务好处。现在,公司纷纷要求通过这些网站发布信息,所以cio们面临的挑战是在安全性和可用性之间找到合适的平衡。
普渡大学Calumet分校信息服务副校长h·弗兰克·切尔沃内说:“对于应该与他人分享多少信息,人们仍然难以置信地天真,我们必须更好地教育他们什么适合与他人分享,什么不适合。”“我们必须做得更好,加强我们对哪些内部组织信息不应该共享的理解。”
但是在大学里,通过社交媒体让人们参与进来是很重要的,切尔沃内补充道。即使在商业领域,他也看不出组织机构如何才能避免这种情况。
然而今年 - 第一,我们要求有关社交媒体的受访者中,只有23%的人说他们的安全努力,现在包括规定捍卫什么可以在社交网站上发布的Web 2.0技术和控制。一个积极的迹象:每一年,越来越多的企业员工奉献监测员工使用网络资产 - 在显示器的受访员工什么张贴到博客外2006年百分之三十六57%,今年与去年同期相比50%和40%和社交网站。
为了防止逃跑的敏感信息,公司的65%使用的Web内容过滤器,以保持数据在防火墙的后面,和62%的确保他们使用的是他们选择何种浏览器的最安全的版本。百分之四十表示,当他们评估安全产品,支持和对Web 2.0的兼容性是必不可少的。
不幸的是,社交网络的不安全感是不是一个可以只用技术解决马克Lobel,在普华永道安全实践的合伙人。
“这些问题是文化,而不是技术。你怎么教育人们明智地使用这些网站?”他问。“从历史上看,安全人员已经从技术路径,而不是社会学家路径上来了。因此,我们有很长的路要走找到合适的安全平衡中去。”
华盛顿州社区和技术学院委员会的安全管理员盖伊·佩斯说,他的组织采取了上述许多预防措施。但他同意Lobel的观点,认为真正的战场是办公室文化,而不是技术。“最有效的缓解措施是用户教育和有创意的、有效的安全意识项目,”他说。
趋势# 2
跳进云三世降落伞
考虑到维护物理IT基础设施的费用,用云服务替换服务器机房和随意配置的设备对许多公司来说是难以抗拒的。而是在没有安全保障的情况下仓促进入云端策略对于风险的良方。
根据调查,43%的受访者使用云服务,如软件作为服务或基础设施作为服务。更多的人正在投资虚拟化技术,以帮助实现云计算。67%的受访者表示,他们现在使用服务器、存储和其他形式的IT资产虚拟化。其中,48%的人认为他们的信息安全得到了改善,而42%的人认为他们的信息安全水平与之前差不多。只有10%的人认为虚拟化造成了更多的安全漏洞。
阴云
有关供应商主导的云安全隐患的担忧。
您的云计算策略面临的最大安全风险是什么?
执行提供者安全策略的能力:23%
培训不足和IT审计:22%
在供应商的网站访问控制:14%
能力恢复数据:12%
审核供应商的能力:11%
公司数据接近别人的:10%
提供者的持续存在:4%
提供合规性:4%
对某些人来说,安全性可能已经得到了改善,但思科系统(Cisco Systems)云和虚拟化解决方案总监克里斯•霍夫(Chris Hoff)等专家认为,消费者和供应商都需要确保他们了解这些技术在技术、运营和组织方面的变化所带来的风险带给熊。
“当你观察人们如何认为虚拟化和意味着什么,虚拟化是非常狭窄的定义——它是关于服务器整合、虚拟化应用程序和操作系统,和巩固一切到更少的物理盒——或者是任意数量的其他元素:客户端桌面,存储,网络,安全,”他说。这就增加了云计算概念的混乱。微软和一些规模较小的新兴公司正在推动云计算。你可能会摸不着头脑,不知道这对公司来说意味着什么。它如何影响你的基础设施?”
幸运的是,有一些证据表明,企业在这方面采取了谨慎的态度。一个例子是Atmos能源公司,根据CIO Rich Gius的说法,该公司正在使用Salesforce.com来加快对客户的响应时间,并帮助营销部门管理不断增长的客户。
到目前为止,这一努力是成功的,因此Gius正在研究运营公司的可行性云中的电子邮件。“这将帮助我们应对日益严峻的挑战,其中电子邮件启用如移动设备黑莓手机正在劳动力大军中广泛扩散,”他表示。但他还没有准备好迈出这么大的一步,因为包括安全在内的风险仍然难以确定。依赖云计算的公司可能会经历的一个中断的例子发生在5月份,当时搜索巨头谷歌——其内容占所有互联网流量的5%——遭遇了大规模中断。当它宕机时,许多依赖它的基于云计算的商业应用程序(如电子邮件)的公司都被淹死了。
这次宕机不是由黑客造成的,但有迹象表明,网络犯罪分子正在探索利用云技术达到恶意目的的方法。网络中断之后,攻击者将恶意链接淹没在谷歌搜索结果中,促使美国计算机应急响应小组(U.S. CERT)发出警告,提醒基于云的服务网站存在潜在危险。
美国CERT说,这次攻击利用Adobe软件的已知缺陷在受害者的电脑上安装了一个恶意程序,毒害了数千个合法网站。然后,该程序会从受害者那里窃取FTP登录凭证,并利用这些信息进一步传播。它还劫持了受害者的浏览器,用攻击者选择的链接替换了谷歌搜索结果。虽然受害的网站并不是专门提供云服务的网站,但类似的方案可能针对云服务提供商。
IT组织往往讲得很差,所以易于查找和利用漏洞被留下配置物理和基于云的IT资产,使攻击者的工作变得更加轻松。当被问及在他们的虚拟化环境中的潜在漏洞,36%的受访者误配置和执行不力,而51%的人认为缺乏充分的培训IT人员(其知识缺乏导致的对配置毛刺)。事实上,受访者22%的人认为培训不足,与审计不足(来发现安全漏洞)一起成为最大的安全隐患,以他们公司的云计算战略。
正是这种意识让Atmos Energy的Gius谨慎行事。“我们没有中央社会保障组织。如果我们是一家金融服务公司,情况可能就不一样了,如果我们的员工人数很多,情况可能就不一样了。“但我们是一家中小规模的公司,员工的限制使得这类实施更加困难。”
即使有合适的资源,云中的安全也是跨多个平台管理各种风险的问题。没有单一的云。相反,“有很多云,它们没有联合,它们在应用程序层没有天生的互操作,它们的平台和操作都是专有的,”霍夫说。“那种认为我们都在耗尽精力,把自己的内容和应用放在某个通用(且安全)的存储库中,放到别人的基础设施上的想法是不现实的。”
Lobel,普华永道表示,完美的安全性是不可能的。“你必须积极着眼于安全控制,而你是跳跃到这些服务,”他说。这是企业难以回头,一旦他们有让他们的数据和应用程序松动,因为他们往往很快就摆脱他们需要把服务返回的内部硬件和技能本身。
他说:“如果你在没有绳索的情况下潜入一口井,你可能会找到你想要的水,但如果没有绳索,你就出不了井。”“如果出现了漏洞,你需要离开云端怎么办?”如果有必要,你能出去吗?”
趋势# 3
内包安全管理
几年前,技术分析师曾预测管理安全服务提供商(MSSPs)将无限制地增长。当时,许多公司将安全视为一个陌生的概念,但萨班斯-奥克斯利法案(Sarbanes-Oxley)、《医疗保险可携带性和问责法案》(Health Insurance Portability and Accountability Act)以及影响金融服务的《金融服务现代化法案》(Gramm-Leach-Bliley Act)等法律迫使它们解决入侵防御、补丁管理、加密和日志管理等问题。
数据的危险
对数据的攻击比其他任何安全攻击都增长得更快。最高目标:数据库。
攻击者如何获取您的数据
数据库:57%
文件共享应用程序:46%
笔记本电脑:39%
可移动媒体:23%
备份磁带:16%