我们将在海滩作战。我们将在敌人的登陆点作战。我们将在田野和街巷作战。我们将在山区作战。我们决不投降,”这是英国著名首相温斯顿·丘吉尔于1940年6月在面对纳粹德国对英国可能发动的进攻时所作的著名演讲的片段。而在此前的另一次著名演讲中,他更声称,我们的目标只有一个,那就是胜利,而“不论前路如何漫长、如何艰苦。”这对于企业所面对的安全战斗来说,可以说是一个非常适切的类比。
网络犯罪分子们如今无处不在,而且狡猾诡诈,无孔不入。所以当客户、投资人和监管者们期待安全人员能够全面保护组织和机构的宝贵资产以及隐私时,我们却很难做到像丘吉尔那样乐观,尤其是我们本应该仰仗的一些政府部门和厂商,也在私下损害着我们的数据、软件和网络。
捍卫安全的战争比以往任何时候都更加严峻。大多数组织还是在用昨天的工具和方法对抗着今天的敌人——他们徒劳地用密码和防火墻防护着企业的边界,这种做法是注定要失败的。他们过分强调了数据与系统的隔离,还在错误地认为只要边界安全就足够了。
而我们与数十位安全专家、业界专家以及企业高管们的深度交流,却揭示出了一个更适用于今日安全的架构。
聚焦风险和人 少关注设备和数据
更好的防范方法应围绕风险意识来构建。最大的风险就是关键或敏感数据的丢失,所以我们必须对数据提供充分的保护。然而除此之外,还存在着其他诸多的风险,例如业务中断、名誉受损、监管缺失、投资风险,以及知识产权被盗,等等。哪些危险对企业的伤害最大?如何评估这些威胁?怎样才能根据影响最大到最小的顺序防范这些威胁?很显然,仅仅保护边界是无法解决这些问题的。
举个例子,Visa国际要负责对其所有信用卡处理流程的风险评估,包括但不限于对这些业务流程的技术支持。Visa负责信息安全、治理、风险及合规的前任副总裁乔治·托特夫说:“所谓风险,就是薄弱之处遇到了攻击。所以,用全局观去看待风险,才能为安全防范奠定坚固基础。”
风险评估与风险防范的模式会因行业和企业的不同而有所不同。有些模式可能需要用到技术,有些可能需要改变流程,还有一些模式则有可能要求改变人的行为。出于合规性需要,有些企业除了自身的风险分析之外,还不得不处理其他一些形式的安全风险。此时的重点就成了如何才能在不会对企业的运营、财务或战略带来不必要负担的情形下,有效地满足合规性要求。
无论一家企业的风险哲学以及外部要求是什么,选择并关注最高级别的风险都是最实际的。
但是,如何才能关注这些风险呢?大多数企业,以及安全厂商们,都把安全视为一种技术上的挑战。它们一味地寻求能够降低风险的软件、硬件和服务识别功能,却忽略了对人的关注——实际上正是人在创建和使用需要受保护的信息。事实上,很多组织恰恰把人的因素排除在了安全架构之外,因为它们最不信任的就是人。
对安全而言,不存在一招制敌的技术手段。而将人的因素剔除出安全架构,也只会导致人对安全的怠惰和漠不关心。人们会很自然地认为,出了安全问题,责任全在IT。今天的安全战略为什么必须将主要的防范重点从设备转向人,这就是原因。今天,所有成功的网络攻击,不论是采用社会工程学如钓鱼手法,还是对自动售货机硬件的物理拦截,都肯定会牵扯到人。
安全其实是关乎风险的一场动态游戏——换句话说,当魔高一尺时,你能否道高一丈?“动态”和“游戏”这两个词是彼此相关联的。安全同样遵循熵的定律:如果能量无法补充,迟早都会耗尽。因此,我们需要常态化的警觉。而游戏心态对于保持主动和自适应的警觉来说至关重要。
说到底,每一个新的防范措施都会很快遭遇一轮新的攻击伎俩的挑战。这正是人类最擅长的游戏。所以企业应该鼓励自己的人员充分发挥人类的能力,而不应将他们排除在防范措施之外。
企业还需要时刻洞察制造威胁的那些人的心态。既然他们是在游戏你的员工,那你当然也得游戏他们,因此企业的员工需要主动参与进来作你的耳目,而不能作耳聋目盲的用户。
简言之,不要把自己人当成问题去限制,而是要让他们参与到安全解决方案中来。#p#
新安全模式的五个维度
尽管我们距离完美的安全状态相距甚远,但已有足可信赖的一些新模式开始出现,允许企业进行必要的调整。新模式作的是加法。在有最高风险的领域必须继续实行最佳实践,同时在改进的防御方案中将风险和人的因素结合起来。
新的模式具有以下五个维度:
1. 让IT只聚焦于核心的关键资产。 2. 用多层级防御系统保护关键资产。 3. 鼓励人们使用信息技术保护与工作相关的资产。 4. 与业务合作伙伴一起改进彼此的免疫系统。 5. 让安全成为业务问题而非IT问题。
1. 让IT只聚焦于核心的关键资产
完美的安全是不可能的。要想一视同仁地保护所有资产的安全也是不可持续的。
因此基于风险的“尽力而为”方法才是比较合理的。要将企业的优势力量用于对业务最具价值和有最大影响的所在。如此一来,也就自然分出了风险的优先防御级别。对于早就熟悉业务连续性和灾难恢复的CIO[注]和其他IT负责人来说,这并不陌生。
确定组织里最有价值的资产是非常重要的,但这也经常会引起争议。一些组织认为数据是最有价值的资产,需要保护。但是如果风险涉及到一组资产(数据、软件、网络和人员等)时,就很显然需要更多地思考对多种资产的渗透和攻击。
而在今天的企业信息安全领域中,对企业的信息资产进行分类以便确定风险等级的想法却是最少见的因素。
这种基于风险的安全方法实现起来并不容易,对很多组织来说,它需要思想上的一次大的变化。当然,促成这样的变化有一个很好的理由:资产储备越多,规则越复杂,要保护这些资产就会越困难。而一个更专注且复杂性较少的方法自然能够更好地平衡风险和效益,让组织能够实现必要的安全保护。#p#
2. 用多层级防御系统保护关键资产
任何想要实现百分百防御的方法都是注定会失败的。因为没有什么方法可以确保某个事物的绝对安全,所以我们要寻求弹性更大而不是绝对安全的方法。要认识到防御必须利用多种要素方可构建。
一个更好的安全模式就是生物系统,因为生物可以从感染或伤痛中自行恢复过来。生物系统会对首先被感染到的细胞进行隔离,从而限制更大范围的系统感染。生物系统自我假设风险会不断演进,而且可能会随时发动攻击。所有这些原则也都可适用于保护企业业务安全的技术和业务实践。
企业也应假设自身时刻会受到损害,然后围绕这一假设来制定战略。如今,大多数企业都很明白,自己早已受到了伤害,这些伤害来自犯罪分子、竞争对手,或者政府部门。同时也要清楚,存在着很多的感染源,这些感染源包括但不限于数据中心、PC,或者移动设备。
绝大多数生物系统还会使用冗余的手段。安全措施也需如此。英特尔公司CIO金·史蒂文森描述了该公司基于这一原则而采用的很有效的三层模式。
利用只读或者有隔断的容器进行分层防护的方式是很有意义的,这就像一般人会把珍贵的珠宝锁在家中,或者将爱车锁在车库中一样。用这样的方法,再结合一些基本的防护手段,例如密码和登录口令等,这就跟在你离开家的时候要锁上门,然后设置好警报系统一样。
针对软件的多层防御系统需要较多地依赖人工检查与软件扫描相结合,来确认各种漏洞。可以利用一些技术,如风险分析和同业代码评估,或者使用可检查漏洞的商业软件等,从而将安全嵌入到软件开发的生命周期中去。目前,还没有可检查出所有漏洞的单一软件包,所以必须利用多种不同的威胁识别软件包,进行多次扫描,再加上人工检查。Visa前任安全官托列夫说:“最好在设计阶段就处理好各种漏洞,这要好于事后补救。”
要了解如何查找漏洞,一个很不错的资源就是开放web应用安全项目(OWASP),这是一个非盈利组织,可提供对各种漏洞的洞察,并提出解决建议。
一个很关键的层就是身份管理。有好几种技术可以实现这一点,可帮助用户和系统跨越各种不同的障碍。到底需要设置多少身份检查点,与风险分析直接相关。当然,还可以使用隔离手段,限制损害的进一步蔓延。
身份认证与隔离相结合的一个例子就是Saleforce.com。它使用双要素认证两次,才允许用户访问其生产环境,因为如果有人入侵了这里,后果可能非常严重。为了进入一个可信任环境,每个用户必须首先符合双要素认证,然后再符合另一个不同的双要素认证,才能通过一台没有数据可以移动或复制的哑终端进入运营环境。而在访问邮件时则采用了不同的认证标准,因为两者的风险程度是不同的。
如果将其用于数据本身,身份管理可能会更有效。在信息化层面实施DRM(数字版权管理)可以将这种技术提升到一个新的保障水平——但这也只有在可以用标准方式进行部署时才有可能。可靠的身份再匹配上一致性和可携带许可,将会大大减少对信息的不适当访问,即便是在设备和网络遭到破坏时也可以如此。#p#
3. 鼓励人们使用信息技术保护与工作相关的资产
有些最为复杂的威胁来自社会工程学攻击,坏分子们往往利用社交媒体和邮箱联系人入侵到一些毫无戒心的用户终端里,他们尤其会针对企业高管和关键的业务运营人员下手。从这里,他们会蓄意地、悄悄地评估企业的安全规则,以及业务时如何依据安全规则运转的。不知不觉间,你就成了坏分子与员工及业务合作伙伴之间的利用媒介了。
既然人常常被当作入侵的管道,自然也可以成为防御的前沿。我们不能再像过去二十年间标准的IT模式所做的那样,把人自动排除在安全流程之外了。前PC时代“把紧口风”的管理风格今天仍然是有效的,它能让保障企业安全成为每个员工的义务和责任,它将再次成为现代信息安全的核心部分。它不仅能帮助个人避免危险的泄密行为,还能让企业拥有更多的耳目,可以观察什么地方出了差错。
把人带回到安全架构中之后,自然不能忽略了对员工的培训,提高其安全意识。人总是会将他们所学的东西用到实践中去。美国长岛大学就是一个很好的例子。几年前该大学启动了一个安全意识主动一致性计划,希望从PC向iPad、移动应用和云服务做转移。该大学因为有一所医学院并且接受联邦政府的贷款,所以必须符合HIPAA(医疗电子交换法案)和FRCP(联邦民事诉讼法案)的规定,结果该大学的CIO[注]乔治·巴罗蒂发现,由于上述安全意识计划的提前实施,他们可以很轻松地应对这些严苛的合规性要求。这其中的差异就在于,现在的IT架构鼓励所有的学生和教职员成为合规意识的参与者,而不是只要求技术开发人员符合监管要求。
有些行业已经想出了如何让员工在实现关键行为的过程中成为积极参与者的办法。因为人天生就喜欢玩游戏,那么为员工创造游戏化的奖励措施,以使其避免威胁或检查威胁,可以作为一种非常有效的防御攻击的手段。利用改进了的质量管理方法,有些企业已经采取了一些游戏化技术,例如定期公布员工的无事故天数,营造一个人人皆有安全意识,并乐于采取更安全行为的主动参与环境。令人高兴的是,假如员工通过了筛查、培训和监督后,被认为是值得信任的话,那么其他一些众所周知的较低风险甚至会变得更低。
一个好消息是,CIO/CSO/普华永道的调查显示,拥有以人为本的安全方法的企业比例占了相当大的份额,即便这些方法可能还算不上是一种整体性的、全企业范围的方法。不过,全景式的方法对于成功来说是非常关键的,因为只有当企业建构并部署了一套完整的系统后,业务才能顺畅地运转起来。#p#
4. 与业务合作伙伴一起改进彼此的免疫系统
如今,我们生活在一个充斥着庞杂的数字信息和业务流程的世界里,其中包含着数不清的各种企业资源:材料、生产、配送、售后,以及技术支持等等。无论你的企业是在生产有形资产(如汽车和电子产品)还是在提供服务(如学校和医院),都不可能脱离整个生态系统。
在过去十年中,由于外包(提供商、承包商和云服务)、分布式工作、分布式工作场所(分支办公及家庭办公)、外包工作场所(如呼叫中心),以及移动办公等的兴起,企业已经变得高度虚拟化了。
身处这样的现代化数字生态系统中,已经没有可能再围绕什么东西建起一座隔离墻了。我们现在知道,传统的防御手段,例如口令、防病毒、入侵检测和其他基于签名的检测方法等,几乎都是没有效果的。威胁也已变成了动态的,甚至可以自适应的了。手段高超的犯罪分子们可以绕过用户设备的密码保护,直接进入服务器或网络。而最近大量零售商用户数据被盗的事件,以及斯诺登事件的不断发酵,使这种情况变得尽人皆知。就在很多企业在为iCloud或谷歌云究竟是不是一个威胁而烦恼不安时,它们的核心系统其实早已被深度入侵了。
可以说,关于企业的内、外部的概念已越来越模糊不清。结果就是,CIO[注]们的首要问题是如何面对层叠不穷的风险。客户如果跟某个企业有接口,或许他们还能信任这家企业,但是如果再扩展到供应链中的其他企业时,这种信任还会存在吗?
你可以和供应商及业务合作伙伴一起将本文所描述的概念运用于所有的系统,而不是只运用于其中一个系统。说到底,所有系统都会相互作用,彼此之间的连接会多到任何人都无法想象,因此,拥有一个通用的安全框架可能会好于拥有多个安全框架。
分享最佳实践也能起到协同作用。彼此间开展积极的合作,其效果会远远好于只使用合同上写明的威胁防范措施。
可以想见,来自企业的客户、监管机构、投资人和其他人的安全需求会更多,你需要向他们说明自身的安全实力,或许还需要独立测试来自这些方面的防御措施。作为这种保障措施的一部分,还需要一份“适用性声明”,其中应详细规定,必须提供哪些安全措施。这跟我们在本文中提到的“安全不可能面面俱到”的原则有关。尽管这样一来,安全的成本会有所上升,但如果只关注真正重要的事情,成本应该可以控制在合理的水平。
有些企业会采取所谓“安全清单”的办法,详细列明他们所遵循的策略,并向合作伙伴解释哪些信息是必须向监管者及客户提交的。采用这样的办法不是因为它能够运转,而是它可以将司法风险或罚款风险降到最小。这种清单式的方法可以说是针对安全现状的一种无奈之举——是在眼下的周边安全方法已不适用,但又没有更好的替代手段可以使用时的一种折中策略。
5. 让安全成为业务问题而非IT问题
信息安全不只是一个IT问题或技术问题,本质上其实是一个管理问题,只是很少有企业会这样对待它罢了。
一般而言,企业会将CIO和CISO视为信息安全的当然负责人,但是安全责任会在更广的范围内被分担。假如损害是由IT部门以外的个人行为造成的,那么技术和安全部门就不能承担责任。
如今是时候该考虑整体安全作为演进中的信息安全模式了。整体安全需采用多种技术和管理技巧,推动广泛的参与和问责制,根据预估的风险和价值进行分层和调整。
广泛的治理是关键,要在整个组织中采取行动并问责,鼓励员工、客户、供应商、管理层和董事会积极参与进来。需要管理风险评估,积极应对风险,还要能找得出应该负责的经理、员工以及业务合作伙伴——不要因IT或安全部门的技术失效时推卸责任。
举例来说,营销部门使用CIO批准使用的云提供商或商业分析提供商的服务,这些提供商的安全能力是否已得到证明?供应商是否使用了合规的安全流程来访问关键的数据?董事会是否能通过受保护的渠道进行沟通,或者是否能通过开放环境下的邮箱来发送财务以及销售数据附件?(邮件从来就不安全,而其末尾所附加的所谓法律声明纯属自我安慰。)
