網(wǎng)絡(luò)安全 企業(yè)面臨的最大安全威脅
分享 2010.06.19 瀏覽次數(shù):8649次
現(xiàn)在企業(yè)面臨的安全挑戰(zhàn)比以往任何時(shí)候都要嚴(yán)峻。隨著滲透工具和漏洞利用攻擊包逐漸商品化,安全舊患(如惡意軟件等)又被賦予了新的力量。而安全研究人員與網(wǎng)絡(luò)攻擊者之間無(wú)休止的戰(zhàn)爭(zhēng),以及越來(lái)越多的員工與客戶(hù)需要隨時(shí)隨以多種方式進(jìn)行網(wǎng)絡(luò)通信,又更增添了攻擊的復(fù)雜性。
更糟糕的是,不景氣的經(jīng)濟(jì)環(huán)境讓企業(yè)不得不消減對(duì)安全基礎(chǔ)設(shè)施的投資。基于全球信息安全狀態(tài)調(diào)查報(bào)告(對(duì)來(lái)自130多個(gè)國(guó)家的7200位CEO、CIO、首席信息安全官、首席財(cái)務(wù)官以及其他負(fù)責(zé)企業(yè)IT和安全投資的執(zhí)行人員的調(diào)查)的PricewaterhouseCoopers' 2010報(bào)告指出,安全項(xiàng)目范圍減小以及項(xiàng)目部署推遲成為安全項(xiàng)目的成本控制的主要方法。
在過(guò)去五年中,認(rèn)為“安全開(kāi)支將增加”的受訪(fǎng)者百分比顯著下降(6個(gè)百分點(diǎn)),超過(guò)50%的受訪(fǎng)者表示他們擔(dān)心成本減少將更難實(shí)現(xiàn)安全保護(hù),同時(shí)他們表示對(duì)企業(yè)資產(chǎn)的安全威脅正在增加。
由于威脅的增加和預(yù)算縮減的壓力,IT管理員的工作量也相應(yīng)減少了,不僅包括抵御攻擊的工作(他們現(xiàn)在應(yīng)該已經(jīng)非常熟悉工具和戰(zhàn)略了),也包括向企業(yè)財(cái)務(wù)人員說(shuō)明安全投資的工作。在很多公司,企業(yè)已經(jīng)不愿意花太多資金在安全上了?,F(xiàn)在首席信息安全官們不僅需要證明企業(yè)資產(chǎn)的安全性,還要提供數(shù)據(jù)說(shuō)明這種安全性的價(jià)值。
業(yè)務(wù)領(lǐng)導(dǎo)與IT安全領(lǐng)導(dǎo)間協(xié)作加強(qiáng)是非常具有戰(zhàn)略重要性的。在經(jīng)濟(jì)低迷時(shí)期,越來(lái)越少的資源被用于專(zhuān)門(mén)的安全功能上,然而業(yè)務(wù)領(lǐng)導(dǎo)在確定開(kāi)展安全項(xiàng)目前,通常會(huì)要求周密且有說(shuō)服力的計(jì)劃?,F(xiàn)在如果沒(méi)有明確目標(biāo)以及衡量是否成功的可靠方法,部署新的或者升級(jí)現(xiàn)有安全措施幾乎不可能實(shí)現(xiàn)。
管理層的這些要求給安全人員帶來(lái)新挑戰(zhàn)。警報(bào)和報(bào)告形式的信息不僅能夠確保安全設(shè)施有效運(yùn)行,也能夠記錄安全設(shè)備的有效性。企業(yè)對(duì)管理、風(fēng)險(xiǎn)和合規(guī)的高度關(guān)注都驅(qū)使IT安全部門(mén)實(shí)現(xiàn)更大透明度,首先就需要部署精心設(shè)計(jì)的完整的且能夠進(jìn)行集中管理的安全方法,例如防惡意軟件、DLP(數(shù)據(jù)丟失防御)、漏洞評(píng)估和軟件漏洞修復(fù)等。管理威脅的能力以及結(jié)合報(bào)告與解決方案日志的能力變得越來(lái)越重要。
保護(hù)數(shù)據(jù)免受有組織罪犯的攻擊
無(wú)論是來(lái)自?xún)?nèi)部還是外部的攻擊,都不是什么新型攻擊。很多報(bào)告表明在過(guò)去一兩年中,經(jīng)濟(jì)不景氣的狀況導(dǎo)致網(wǎng)絡(luò)犯罪幾率上升,這是因?yàn)榻?jīng)濟(jì)問(wèn)題促使惡意團(tuán)體不斷進(jìn)行網(wǎng)絡(luò)偷竊,然而很多公司卻認(rèn)為網(wǎng)絡(luò)威脅主要來(lái)自于新型攻擊形式,而不是因?yàn)榻?jīng)濟(jì)狀況不佳。
不管是否是新型攻擊,數(shù)據(jù)偷竊已經(jīng)越來(lái)越受到C級(jí)管理人員的關(guān)注。上面提及的PricewaterhouseCoopers報(bào)告也同樣指出“在這最關(guān)鍵的時(shí)期,保護(hù)數(shù)據(jù)成為首要任務(wù)”。受訪(fǎng)企業(yè)部署數(shù)據(jù)丟失防御策略的比率已經(jīng)從2008年的29%上升到2009年的44%。很多調(diào)查受訪(fǎng)者指出他們的企業(yè)不斷對(duì)數(shù)據(jù)和信息安全資產(chǎn)根據(jù)其風(fēng)險(xiǎn)水平進(jìn)行優(yōu)先等級(jí)排序。
現(xiàn)在的信息安全戰(zhàn)爭(zhēng)的重點(diǎn)就是金錢(qián)。最近國(guó)際犯罪集團(tuán)開(kāi)始出租僵尸網(wǎng)絡(luò),隨后還幫助較低級(jí)別的網(wǎng)絡(luò)罪犯洗黑錢(qián)。以前只有高技術(shù)程序員才能涉足網(wǎng)絡(luò)犯罪,現(xiàn)在即使技術(shù)門(mén)外漢也能利用網(wǎng)絡(luò)上的工具包來(lái)發(fā)動(dòng)攻擊,大部分攻擊工具包都有保修期、技術(shù)支持和軟件版本升級(jí)。整個(gè)網(wǎng)絡(luò)秩序已經(jīng)失去控制,M86在其四月報(bào)告中指出,我們開(kāi)始看到國(guó)際服務(wù)經(jīng)濟(jì)的演化,即“犯罪軟件即服務(wù)”。
顯然,惡意軟件已經(jīng)成為所有人(從消費(fèi)者到首席信息安全官)的安全關(guān)注問(wèn)題的首位問(wèn)題。在過(guò)去一年中,我們已經(jīng)見(jiàn)識(shí)到單個(gè)攻擊(完全無(wú)視于簽名防惡意軟件功能)變種數(shù)量的瘋狂增加,以及不斷增加的被攻擊并被植入惡意軟件(基于域名分析的Web內(nèi)容過(guò)濾解決方案完全失效)來(lái)攻擊訪(fǎng)問(wèn)者的合法網(wǎng)站。有針對(duì)性的攻擊也同樣在上升。McAfee在其2009年12月發(fā)布的“2010威脅預(yù)測(cè)”報(bào)告中描述了感染蔓延網(wǎng)絡(luò)問(wèn)題并探討了僵尸網(wǎng)絡(luò),該網(wǎng)絡(luò)導(dǎo)致103個(gè)國(guó)家1295電腦受到感染。
修復(fù)系統(tǒng)和更新軟件已經(jīng)成為很多企業(yè)的關(guān)鍵工作。在2009年,幾乎所有供應(yīng)商(賽門(mén)鐵克、McAfee、IBM等)都報(bào)告了應(yīng)用程序攻擊數(shù)量的增加。McAfee指出,“攻擊者最喜歡使用的載體是Adobe產(chǎn)品,主要是Flash和Adobe閱讀器”。安全研究人員發(fā)現(xiàn)很多最常被利用的漏洞都是五年前甚至更早以前公布和修復(fù)的漏洞。只需要定期丟服漏洞就能夠避免這種威脅,然而,修復(fù)漏洞是乏味的且費(fèi)時(shí)的。
社交網(wǎng)絡(luò)問(wèn)題
Web 2.0的普及又為網(wǎng)絡(luò)犯罪提供了新的方式。用戶(hù)自己提供的信息成為惡意攻擊的主要來(lái)源。IBM ISS在2009年年底報(bào)告中指出,在合法網(wǎng)站(如PlayStation.com)發(fā)現(xiàn)的惡意軟件比可疑網(wǎng)站發(fā)現(xiàn)的還要多。免費(fèi)博客服務(wù)也被用來(lái)發(fā)布色情鏈接從而誘使用戶(hù)點(diǎn)擊并下載惡意軟件。社交網(wǎng)絡(luò)(如Facebook和Twitter)在用戶(hù)之間建立了某種信任錯(cuò)覺(jué),為攻擊提供了完美的攻擊載體。
然而,Web 2.0作為威脅載體的影響無(wú)疑會(huì)越來(lái)越嚴(yán)重,社交網(wǎng)絡(luò)幫助網(wǎng)絡(luò)罪犯將所有個(gè)人信息都集中到一臺(tái)在線(xiàn)服務(wù)器上,完全不受用戶(hù)控制。通常情況下,身份盜竊只需花5分鐘閱讀社交網(wǎng)站就能夠完全掌握用戶(hù)信息。URL縮短服務(wù)(如bit.ly和TinyURL.com)不僅簡(jiǎn)單易用,而且能夠很好地混淆真正的URL,并讓人和機(jī)器都很難分辨鏈接的安全性。
HTML 5即將到來(lái),這又將帶來(lái)全新的攻擊方式。一旦web應(yīng)用程序和桌面應(yīng)用程序間的區(qū)別消失,攻擊者將能夠很快掌握主動(dòng)權(quán)。企業(yè)安全領(lǐng)導(dǎo)人應(yīng)該深入評(píng)估HTML 5以及下一代谷歌Chrome操作系統(tǒng)來(lái)確定風(fēng)險(xiǎn)是否大于回報(bào)。這種本地資源與互聯(lián)網(wǎng)資源的合并早期將不會(huì)給公司帶來(lái)很多利益,企業(yè)應(yīng)當(dāng)保持謹(jǐn)慎。隨后首席執(zhí)行官就會(huì)會(huì)要求企業(yè)支持某種消費(fèi)者應(yīng)用程序,因此安全、桌面和web開(kāi)發(fā)團(tuán)隊(duì)必須做好準(zhǔn)備。
另一方面就需要保護(hù)企業(yè)的web 2.0服務(wù)器。不僅企業(yè)自身容易受到攻擊,員工、客戶(hù)和業(yè)務(wù)伙伴都會(huì)受到攻擊。每個(gè)公司對(duì)于互聯(lián)網(wǎng)社會(huì)都有一定責(zé)任,那就是防止自身服務(wù)器被用于攻擊其他服務(wù)器。在網(wǎng)站架構(gòu)和質(zhì)量保證體系中建立安全檢測(cè),運(yùn)行web應(yīng)用程序防火墻和IPS(入侵防御系統(tǒng)),查找包括跨站腳本漏洞、網(wǎng)頁(yè)掛馬和SQL注入攻擊造成的不良驗(yàn)證形式等問(wèn)題。
現(xiàn)在面臨的威脅與以往的威脅并沒(méi)有明顯不同,只是攻擊者更容易利用現(xiàn)存的威脅載體。而在同時(shí),企業(yè)又在盡一切可能控制安全成本。在這種情況下,企業(yè)要想確保企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)的安全,就必須部署精心策劃的安全措施,并取保業(yè)務(wù)領(lǐng)導(dǎo)與安全領(lǐng)導(dǎo)間的密切協(xié)作。
歡迎轉(zhuǎn)載,本文版權(quán)歸于杭州網(wǎng)站建設(shè)(http://www.sharetheflairshow.com)
-
杭州網(wǎng)站設(shè)計(jì)公司:品牌網(wǎng)站開(kāi)發(fā)助力企業(yè)成長(zhǎng)
日期:2024-12-20瀏覽次數(shù):356次
-
杭州網(wǎng)站建設(shè)公司:商城網(wǎng)站建設(shè)的六大關(guān)鍵步驟
日期:2024-12-18瀏覽次數(shù):451次
-
杭州網(wǎng)站制作:醫(yī)院網(wǎng)站設(shè)計(jì)與域名備案的復(fù)雜性探討
日期:2024-12-18瀏覽次數(shù):462次
-
杭州網(wǎng)站制作公司:打造安全可靠的醫(yī)院網(wǎng)站
日期:2024-12-11瀏覽次數(shù):704次
-
杭州網(wǎng)站設(shè)計(jì)公司:數(shù)據(jù)庫(kù)在高端網(wǎng)站制作中的關(guān)鍵作用
日期:2024-12-11瀏覽次數(shù):674次
相關(guān)新聞
整合同類(lèi)新聞,相關(guān)新聞一手掌握
-
咸寧企業(yè)網(wǎng)站搭建制作步驟講解教程
日期:2023-02-10瀏覽次數(shù):1584次
-
咸寧網(wǎng)站建設(shè)過(guò)程中需要注意的六要素
日期:2023-02-10瀏覽次數(shù):1565次
-
如何讓咸寧企業(yè)網(wǎng)站獲得更多的流量?
日期:2023-02-10瀏覽次數(shù):1541次
-
定制咸寧企業(yè)網(wǎng)站建設(shè)需要遵循的五大原則
日期:2023-02-10瀏覽次數(shù):1484次
最新新聞
與互聯(lián)網(wǎng)同行,實(shí)時(shí)掌握網(wǎng)建行業(yè)最新動(dòng)態(tài)
-
杭州金融網(wǎng)站建設(shè)方案
日期:2018-05-09瀏覽次數(shù):5043次
-
杭州帷拓科技與浙江越秀外國(guó)語(yǔ)學(xué)院達(dá)成合作關(guān)系
日期:2019-11-25瀏覽次數(shù):6556次
-
華大基因在湖北完成5.5萬(wàn)人份核酸檢測(cè)
日期:2020-02-24瀏覽次數(shù):1990次
-
開(kāi)發(fā)小程序分銷(xiāo)商城需要多少投入?
日期:2020-04-08瀏覽次數(shù):4251次
-
個(gè)人杭州小程序開(kāi)發(fā),我們要注意什么?
日期:2021-10-15瀏覽次數(shù):3620次
隨機(jī)新聞
新聞新動(dòng)態(tài),您需要的新聞管家
洞悉市場(chǎng)趨勢(shì)演變讓傳播回歸社會(huì)
免費(fèi)獲取網(wǎng)站建設(shè)與網(wǎng)絡(luò)推廣方案報(bào)價(jià)
-
關(guān)于我們
杭州帷拓科技有限公司,是一家新型的全案網(wǎng)絡(luò)開(kāi)發(fā)公司,作為以互聯(lián)網(wǎng)高端網(wǎng)站建設(shè)、APP開(kāi)發(fā)、小程序開(kāi)發(fā)為核心的專(zhuān)業(yè)網(wǎng)絡(luò)技術(shù)服務(wù)供應(yīng)商,帷拓科技致力于全面分析市場(chǎng)環(huán)境、衡量與預(yù)測(cè)市場(chǎng)需求、整合區(qū)別于行業(yè)競(jìng)爭(zhēng)對(duì)手的絕對(duì)優(yōu)勢(shì),結(jié)合品牌理念深度挖掘項(xiàng)目?jī)?yōu)勢(shì)和產(chǎn)品價(jià)值,提升客戶(hù)品牌認(rèn)知、認(rèn)可度。
-
我們的客戶(hù)
帷拓科技?xì)v經(jīng)十年沉淀,與國(guó)內(nèi)外上千家客戶(hù)達(dá)成合作關(guān)系,其中穩(wěn)定合作的公司有:浙江華為、浙江移動(dòng)、浙江5G產(chǎn)業(yè)聯(lián)盟、浙江省社科院、綠城足球俱樂(lè)部、娃哈哈雙語(yǔ)學(xué)校、健康中國(guó)杭州峰會(huì)、科雷機(jī)電等,帷拓科技始終堅(jiān)持“帷有專(zhuān)業(yè),才能拓展無(wú)限”的服務(wù)理念,堅(jiān)持“認(rèn)真堅(jiān)持細(xì)節(jié)”的優(yōu)質(zhì)服務(wù)理念,不斷完善自身,成就企業(yè),最終實(shí)現(xiàn)共贏。
-
我們的業(yè)務(wù)
帷拓科技主營(yíng)業(yè)務(wù)范圍包含互聯(lián)網(wǎng)高端網(wǎng)站建設(shè)、APP開(kāi)發(fā)、小程序開(kāi)發(fā)、商城網(wǎng)站建設(shè)、公眾號(hào)運(yùn)營(yíng)以及數(shù)字營(yíng)銷(xiāo)等,涵蓋了服務(wù)、房產(chǎn)、數(shù)碼、服裝、物流貿(mào)易等行業(yè),根據(jù)品牌現(xiàn)狀,為每個(gè)客戶(hù)量身定制項(xiàng)目整體服務(wù)方案,以敏銳的市場(chǎng)洞察力、創(chuàng)新的市場(chǎng)策劃能力,全面把握市場(chǎng)變化,為客戶(hù)實(shí)現(xiàn)從企業(yè)到消費(fèi)者的價(jià)值轉(zhuǎn)換。