【51CTO.com快譯自7月15日外電頭條】對(duì)于企業(yè)中的IT管理人員來說，來自內(nèi)部的威脅是最讓人頭疼的，Web2.0的實(shí)施、法規(guī)遵從以及各項(xiàng)應(yīng)用都密切影響著企業(yè)的安全性。日前，Cisco發(fā)布了半年一度的威脅報(bào)告，對(duì)如何解決這些密切相關(guān)的問題給出了常規(guī)建議。

最難以抵御的似乎就是內(nèi)部威脅

這個(gè)問題是近期的新聞熱點(diǎn)，一些能源企業(yè)和美國國務(wù)院成為了最出名的受害者。

“有三個(gè)原因造成內(nèi)部威脅問題越來越嚴(yán)重，”Cisco高級(jí)研究人員兼首席安全官Patrick Peterson說?！笆紫仁墙?jīng)濟(jì)問題，許多員工出于絕望而卷入了違法活動(dòng)。第二個(gè)原因是雇主與雇員之間的關(guān)系發(fā)生了變化，員工們現(xiàn)在越來越不信任他們的雇主。第三個(gè)原因是全球化和外包服務(wù)的擴(kuò)展?！?/P>

針對(duì)這一威脅，Peterson說，企業(yè)需要擁有強(qiáng)健的識(shí)別和審計(jì)機(jī)制，但也不能矯枉過正。他指出，比如蒙大拿州波茲曼市最近要求求職者必須提供出他們?cè)诟鞣N社交網(wǎng)站上的所有賬戶名和密碼，“他們確實(shí)注意到了真正的威脅，但他們執(zhí)行的策略可能是非法的，而且肯定是不必要的”他說。

Peterson說，企業(yè)必須能夠識(shí)別風(fēng)險(xiǎn)，并且針對(duì)具體的工作職能和業(yè)務(wù)范圍來應(yīng)用不同的策略?！安豢赡艽嬖谝粋€(gè)一刀切的政策，”他說，“我們以前曾多次強(qiáng)調(diào)，你必須要對(duì)風(fēng)險(xiǎn)進(jìn)行充分了解?！?/P>

“然而許多企業(yè)并不把重點(diǎn)放在深入了解風(fēng)險(xiǎn)上，并且沒有制定如何最小化風(fēng)險(xiǎn)的戰(zhàn)略，這是多么令人吃驚，”Peterson承認(rèn)現(xiàn)在的事實(shí)是安全策略往往過于受到遵從性的影響，而不是根據(jù)風(fēng)險(xiǎn)管理來制定。此前，51CTO.com此前發(fā)表的文章中介紹了實(shí)現(xiàn)風(fēng)險(xiǎn)管理的六大評(píng)估方法，專家也建議，風(fēng)險(xiǎn)評(píng)估的意義在于對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)，而風(fēng)險(xiǎn)的處理過程，可以在考慮了管理成本后，選擇適合企業(yè)自身的控制方法，對(duì)同類的風(fēng)險(xiǎn)因素采用相同的基線控制，這樣有助于在保證效果的前提下降低風(fēng)險(xiǎn)評(píng)估的成本。

Peterson解釋說，這意味著他們必須在問題出現(xiàn)后才開始解決問題。任何人都不應(yīng)當(dāng)還在為一個(gè)兩年前就已經(jīng)確定的問題費(fèi)力，但在現(xiàn)實(shí)世界中，有許多人還是這樣。

“CSO（首席安全官）們必須發(fā)揮領(lǐng)導(dǎo)作用，看看現(xiàn)實(shí)世界中的風(fēng)險(xiǎn)問題，”他說。他指出，有些行業(yè)往往要等到問題發(fā)展到出現(xiàn)狀況，比如金融服務(wù)行業(yè)的企業(yè)們，他們一般要等到某個(gè)同行因?yàn)榘踩珕栴}而上了報(bào)紙的大標(biāo)題時(shí)，才著手解決問題。Peterson說當(dāng)發(fā)生這種情況時(shí)，他們至少還應(yīng)該努力找出為什么沒有在閱讀新聞之前發(fā)現(xiàn)問題。

軟件開發(fā)將得到保護(hù)

新的軟件開發(fā)平臺(tái)可以幫助企業(yè)在開發(fā)新應(yīng)用時(shí)管理內(nèi)部威脅的問題。IBM發(fā)布了基于云計(jì)算的授權(quán)軟件來解決這個(gè)問題。開源項(xiàng)目TeamForge也做出承諾來幫助企業(yè)處理好這個(gè)問題。

Verizon Business在上周宣布了提供一項(xiàng)應(yīng)用安全服務(wù)，能夠幫助企業(yè)管理整個(gè)項(xiàng)目生命周期，甚至改善他們的軟件開發(fā)流程。

Peterson說這些服務(wù)是的確是企業(yè)需要的?！伴_發(fā)工作變得更加快速復(fù)雜，現(xiàn)在的風(fēng)險(xiǎn)比以往要高得多，如果你出現(xiàn)錯(cuò)誤，尤其是網(wǎng)絡(luò)應(yīng)用，”他說，“壞家伙們的攻擊來得這么快。”

SaaS和Web 2.0

很多企業(yè)非常關(guān)注Web 2.0，他們應(yīng)該了解它能夠?yàn)樗麄儙硎裁?，但同時(shí)也不能忽視風(fēng)險(xiǎn)。“安全威脅和傳染病有很多相似的地方，” Peterson說，“尤其是社區(qū)網(wǎng)絡(luò)，有些社區(qū)網(wǎng)簡直是我的噩夢(mèng)，就好像一位傳染病醫(yī)生看到屋子里的每個(gè)人都在向別人打噴嚏那樣。”

想要降低風(fēng)險(xiǎn)就要以犧牲性能為代價(jià)。Peterson說，他使用過的最安全的電子郵件服務(wù)還是1987年他在斯坦福大學(xué)讀本科那時(shí)候。“我可以給學(xué)校里的任何人發(fā)送電子郵件，這比我現(xiàn)在使用的更安全，但它的功能放現(xiàn)在連小兒科都說不上了，”他說。

社區(qū)網(wǎng)絡(luò)的安全策略必須建立在真實(shí)數(shù)據(jù)的基礎(chǔ)上。如果繼續(xù)隨心所欲，無論是用戶還是IT部門最終都會(huì)焦頭爛額。

怎樣進(jìn)行培訓(xùn)

關(guān)于如何進(jìn)行安全培訓(xùn)，Peterson認(rèn)為視頻的力量比文字強(qiáng)大得多，即使是進(jìn)行高級(jí)別的培訓(xùn)。“當(dāng)我拿出視頻，讓他們親眼看看那些瀏覽網(wǎng)頁的人發(fā)生了什么事，這時(shí)即使是那些已經(jīng)很懂行的安全人員，他們的眼睛也會(huì)發(fā)亮，我知道他們又有了新的理解，”他說。

“你不能只說‘不要碰爐子，燙手’或者‘小心Windows ActiveX的漏洞’之類的空話，你需要實(shí)質(zhì)性的溝通。一旦他們明白‘有些人想要傷害我和企業(yè)’，就已經(jīng)成功了一半，”他說。

企業(yè)的安全指導(dǎo)方針不能太長，要便于記憶，縮短指導(dǎo)方針的方法之一是為特定的工作職能或業(yè)務(wù)范圍分別定制指導(dǎo)方針。另外他補(bǔ)充到，許多安全策略的書籍都是十多年前寫的了，而現(xiàn)在需要關(guān)注的項(xiàng)目增加了很多，但沒有一項(xiàng)可以刪除。

【編輯推薦】

1. 完全解密企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估
2. 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估應(yīng)用：基礎(chǔ)知識(shí)
3. 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估應(yīng)用：評(píng)估過程

【51CTO.com譯稿，非經(jīng)授權(quán)請(qǐng)勿轉(zhuǎn)載。合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?

原文：Cisco Threat Report Deals With Internal Issues  作者：Alex Goldman