在过去的几年里,网络安全形势已经发生了变化——而且并不是向好的方向发展。
在该中心的商业和组织伦理伙伴关系的一次会议上,IT安全和法规遵从专家肯·贝勒(Ken Baylor)在题为“一切都不像它看起来的那样:2013年网络安全的现实”的演讲中谈到了最近的安全发展。
贝勒说,最近所谓的有针对性的持续袭击有所增加。贝勒说:“它们在你的网络中,它们很慢,它们耐心地、小心地四处移动。”“他们会在里面呆上几个月或几年。他们做得非常慢。”
贝勒概述了这些攻击的范围,包括寻求军事和商业机密,以及针对银行的攻击。尽管银行本身往往相当安全,“到处都是审计人员”,但银行的客户就不那么安全了。消费者的钱被偷了通常会拿回来,但对企业客户来说却不是这样。
在商业领域,对快速、方便地访问公司数据的需求可能与对安全性的需求发生冲突。许多公司认为,IT的作用是使他们的工程师和其他员工富有成效,安全是一个可取的但次要的目标。加州太阳能产业就是一个因商业机密被大规模窃取而受到损害的行业。
贝勒讨论了这些袭击背后的不同组织。一些攻击是由“匿名者”和“LulzSec”等“Hactivists”发起的。总部位于东欧的组织以生产先进的银行恶意软件而闻名。来自尼日利亚人的无处不在的诈骗电子邮件,要求将钱电汇给他们,事实上,经常来自尼日利亚的骗子和居住在国外的尼日利亚国民。
许多国家也参与网络间谍活动。中国人既寻求军事机密,也寻求商业机密,总部设在中国的组织据信曾攻击过谷歌、欧盟委员会、《纽约时报》、美国军事承包商和其他机构。
公司可以做些什么来提高安全性?贝勒说,他们现在面临着两个挑战:坏人真的很有才华,经验丰富,而公司的BYOD(自带设备)等政策,为敏感数据和系统创造了更多的入口点。这使得IT部门既没有提供也没有批准具有适当的安全控制和功能(软件和硬件)的企业网络上的设备激增。
云计算的出现为更多的安全漏洞提供了机会。贝勒说,云“绝对、完全、完全不安全——从设计上看也不应该是安全的”。正常运行时间、弹性和响应时间是云计算的关键问题,而IT服务(而不是安全服务)才是重点。
由于控制网络上的设备变得越来越困难,贝勒建议改为控制对数据的访问。公司可以根据文件和应用程序落入坏人之手可能造成的危害对其进行分类。
“什么是真正非常危险的东西,如果泄露出去会伤害到我的客户、供应商或公司?”贝勒说,公司应该询问。
最敏感的文件应该有特别的安全性——这也意味着访问限制。这可能意味着使用一种技术,使人们不可能在未经授权的情况下打开文件。对于那些泄露的后果不会那么严重的文档,可以使用限制性较小的安全性。
贝勒说,把高度敏感的数据放到云端是有风险的。虽然杀毒软件是很好的第一步,但它只能防御老式的恶意软件。
对于处理敏感客户和客户信息的公司来说,考虑安全漏洞的法律和道德影响也很重要,并且知道如果发生这种情况如何处理。这需要一个“精心排练的事件响应计划”,不仅包括技术计划,还包括法律和管理团队的方向。
贝勒曾在赛门铁克(Symantec)和迈克菲(McAfee)等公司工作,拥有爱尔兰国立大学(National University of Ireland)的博士学位,英格兰伍尔弗汉普顿大学(University of Wolverhampton)的法学学位,以及德克萨斯大学(University of Texas)的MBA学位。他还持有包括认证信息系统安全专业人员在内的技术认证。
玛格丽特·斯蒂恩,自由撰稿人。