研究发现:多数企业仍无视内部威胁

DoSECU 安全报道 4月10日消息:根据国外最新的两个分析报告,尽管最近的头条和内部威胁的新闻层出不穷,但是许多企业仍没有付诸行动来防止内部威胁。

Forrester Research本周公布了一项名为《2008数据安全挑战和技术应用》的研究报告。得出了企业对安全和下一代安全技术的应用态度的详细数字。

尽管88%的调查者表示他们将数据安全看作是"有挑战性的问题",但是仍有40%的调查者表示他们对此并无兴趣,他们不计划或者不知道新兴的信息泄露防护技术工具是什么。

在对所有规模的企业进行研究的Forrester报告出来的同时,上周由Redshift Research独立研究的另一项报告建议,小企业可能在认识内部威胁上的最大落后者。

安全软件厂商GFI和Redshift的研究发现,大约半数的中小型企业对离职员工带走数据的可能性表示不关心。仅有22%的调查者认为内部安全威胁比外部威胁更加大。

"在那些应用了安全应用软件来自动屏蔽或者阻止通过便携USB来访问网络的用户当中,仅有45%对数据泄露风险表现的漠不关心。"Redshift研究表示,"甚至很少(35%)的企业用PDA来屏蔽网络访问(对员工来说,编辑、复制、删除或发送敏感信息相当容易)。"

Redshift表示,60%的小企业没有正规的管理便携式设备访问网络的规章制度。

研究发现:

21%的调查者任何时候都无法跟踪关键业务数据被存储在了哪里;

33%的调查者不能跟踪什么样的便携设备已接入网络;

41%的调查者无法说出什么数据被下载到了这些设备中。

"一直以来人们过多地强调对防病毒和反间谍软件的需求(外部威胁),"GFI Software公司CEO Walter Scott说,"慢慢地人们相信这些软件可以很好地保护他们,认为自己的网络足够安全。但是,一个安全的网络取决于许多其他的因素,并且不幸的是,内部威胁十分容易被忽视。人们普遍不关心数据存储的检测以及对数据的访问或复制。"

Forrester研究持相反的观点,指出,大多数的企业部署了数据泄漏防护技术(DLP),并且受严格管制的行业(如金融、保险、公用事业和电信)表现出的对DLP技术的浓厚兴趣是有史以来最高的。 Forrester研究中,零售/批发业和制造业表明至少关心DLP,但是甚至是在这些行业,多数企业表现出了一些兴趣。

"现在的经济环境意味着数据保护将成为CISO的首要任务,"Forrester表示,"保护内部威胁将会在衰退?期继续增加。"Forrester认为,那些仍然忽视内部威胁的企业随着时间的推移将会改变观念。