安全问题为何一直困扰着人们(上)

DoSECU 安全分析 10月19日消息:目前最引人瞩目的技术也让用户遭遇最大的安全困扰。诸如Twitter, Facebook和LinkedIn等社交网站能加强合作和帮助你的公司与用户更好的联络,但是社交网站也为员工提供了一条比以前更加容易与外人共享用户数据和公司机密的途径。

虚拟化技术和云计算能帮助用户简化物理IT基础架构和节约管理成本,但用户也会发现安全风险随之而来。将更多的基础架构放置在云上无疑也将用户置于黑客攻击的风险当中,这些黑客会变本加厉的发动拒绝服务攻击来冲击诸如谷歌,雅虎和其他的互联网服务提供商。今年初的大范围谷歌断电事件就导致云计算业务遭遇中断。

但是也有好消息。虽然十年内本次最糟糕的经济萧条迫使用户不得不压缩花费在外包安全服务上的预算,尽量在内部进行安全处置,但用户的安全预算基本保持稳定。越来越多的企业用户开始启用首席安全官。

由首席信息官和首席安全官杂志在今年初与 PricewaterhouseCoopers共同进行的第七届年度全球信息安全调研结果就为此提供了佐证。全球范围内来自政府,卫生医疗,金融服务和零售等各种不同行业的将近7300名企业高管和技术专家参与了本次调研。

想了解更多有关安全的信息,可以参阅《Twitter网站遭遇拒绝式服务攻击和社交网络木马袭击:三种方式来进行自我保护》一文。

这些趋势可以帮助你构建信息安全议程的框架。科学应用软件国际公司(简称SAIC)的首席信息官查尔斯.彼得表示"每家企业都对如何保护他们的数据忧心忡忡,尤其是他们的客户数据。就旧有的企业模式下,每个人必须集中在同一个地理区域的统一的办公楼内。如今每个人都在使用互联网和移动设备来彼此联络和协同工作。这就是我们看到的社交网络这种新兴事物的前景。不利的一面就是我们会暴露在网络空间的黑暗之下。接受这项技术的同时也要努力保证安全和实施监管"。

以下是我们的研究成果。

十大IT安全优先权

新的投资将集中在保护数据,验证用户方面:

1.生物学领域

2.网络内容过滤器

3.数据泄露防御

4.一次性密码/智能卡/令牌网

5.简化或者单用户登录软件

6.IP电话安全

7.网络2.0安全

8.身份管理

9.移动媒体的加密

趋势1:

社交网络的前景和危险

在不到两年的时间里,社交网络已经从抽象概念演变为很多网民的一种生活方式。当用户更新他们在Twitter, Facebook或LinkedIn等社交网站上的状态时,他们可能会在白天上班时间或者晚上在家里用公司所属的笔记本电脑来做这件事。

让IT管理者担忧的是员工在分享用户数据或者公司敏感信息上表现出来的掉以轻心。他们会在午餐时间轻易的就将这些信息泄露了出去。网络犯罪分子也了解这一点,会利用社交网络来发动钓鱼诈骗。常见的攻击手段是他们会发送看似是来自Facebook朋友列表的犯罪信息。这个伪朋友可能还会发送坚持要求你登录的URL链接。编造一个诱人的标题:比如说关于迈克尔.杰克逊的死或者股票技巧等。而实际上,这种链接是将受害者诱骗到恶意网站上,一旦登录就会自动在你计算机上植入木马。木马会搜索你的计算机或者更广的公司网络上存储的任何有价值的数据,可能是信用卡号码或者抗癌新药的秘密处方等。

这也是意料之中,每位参与调研的IT管理者都承认他们会担心社会工程攻击。有45%的被访者特别担心针对Web 2.0应用软件发动的钓鱼诈骗。

不过对于许多企业高管来说,由于社交网络潜在的业务优势,隔离社交网络是不可能的。目前有许多企业主张通过这些网站来获取他们的信息,因此首席信息官们所面临的挑战就是如何在安全和可用性之间找到正确的平衡点。

Purdue大学信息服务系的副教授H. Frank Cervone表示"人们会与他人分享信息,我们必须做更多的工作来让他们了解什么信息适合共享,什么信息不适合共享。我们还必须加强对不适宜进行共享的内部企业信息的认知"。

但是在大学的设置中,人们多数是通过社交媒体进行交流的,Cervone补充说。即使在商业领域,企业是很难回避社交网络。

今年是我们首次就社交媒体对受访者进行调研,仅有23%的受访者表示他们目前的安全措施可以保护Web2.0技术和控制在社交网站上张贴的内容。一个负面的迹象是:每年都有越来越多的企业会聘请专业人员来监控员工是如何使用互联网资源的–今年与去年50%的比例相比和2006年的40%有所上升,达到57%。有36%的受访者对员工张贴在外部博客和社交网站上的内容进行监控。

为了防止敏感信息的泄露,有65%的企业使用网络内容过滤器来把数据保护在防火墙之内,有62%的受访者确信无论他们选择哪种浏览器,他们使用的版本都是最安全的。有40%的受访者表示当他们评估安全产品时,对Web2.0的支持和兼容是最基本的。

不幸的是,社交网站的不安全性并不是光凭技术就能解决的问题,PricewaterhouseCoopers的安全实践合作伙伴马克.罗布表示。

"这是个文化问题,而不是技术问题。你该如何培训人们如何理智的使用这些网站?从历史经验来看,安全从业人员采取的是技术途径,而不是社会学方式。因此我们在寻找正确的安全平衡点方面还有很长的路要走"。

美国华盛顿州社会与技术大学的安全总监Guy Pace表示,他们学校采取很多以上提到的技术。但是他也认可罗布的说法就是实际的阵地是办公室文化,而不是技术。他认为"最有效的缓解方式是采用培训和创新,有效的安全知识普及计划"。