首页 > 资讯 > > 内容页

全球快播:网络安全世界的“五大安全悖论”

发表时间:2023-05-19 12:31:12 来源:商业新知网

现代计算环境复杂、威胁形势不断演变,了解当前安全环境的复杂性,有助于领导者更好地引领组织发展,带动团队创新。


【资料图】

即使在网络安全价值不容争议的当今世界,仍然存在着一些悖论。

例如,向员工和最终用户保持透明数字信任的核心组成部分,但是过度透明可能会妨碍信息安全,因为恶意行为者也可能借由这个方便之门洞悉组织的内部运作状况。

这样的难题并不新鲜,很多已经存在20多年了。不过近年来,随着技术在生活和商业方方面面的普及以及业界转向“软件定义一切”,安全方面的问题变得更加突出。

一项创新指数调查显示,来自超45个地区的6600名受访决策者中,只有41%的人表示“安全”已经内嵌到其技术中。组织需要消除对于现代计算环境复杂性及威胁形势的一些误解,以便更顺利地构建具备高弹性的安全架构。

作为美国知名安全专家,Bobbie Stempfley着重研究了安全悖论底层存在的5种错误假设。以下概括了这些错误假设,并提供IT领导者如何改变思想、应对这些难题的建议。

#01安全vs创新

人们最常设想的是:安全和创新是冲突的。当前的技术环境充斥着“安全债”。很多组织快速产出“技术”,却没有在基础设施中加入安全因素。

一些领先的组织意识到这一点,开始将安全性构筑到产品本身,而不是马后炮式地添加安全特性。尽管这种方式多少缓解了困局,但仍然存在着某些紧张关系——创新者和安全从业者经常存在分歧。

举个例子,在产品和设计团队看来,IT安全决策者总在拒绝创新,认为它太过冒险。而IT安全决策者眼里,产品和设计团队经常把安全视为他们追求创新目标的障碍。事实上,双方的看法都包含了偏见。

根据戴尔的创新指数调查,创新者为网络攻击做好准备的可能性是其他人的1.3倍。安全标准是降低风险的重要手段,反过来还能促进创新——例如,去除僵化过时的安全措施,可以帮助业务团队在更高层面上开展创新等。

#02软件定义一切vs软件固有漏洞

借助软件定义的解决方案,IT决策者能够灵活按需地定义或重新定义环境,并适应技术格局的演变。问题是,层出不穷的软件也给安全漏洞制造了更多机会,进而给整个企业带来风险。

让我们换个角度看这种矛盾。不断演变的威胁使组织有更大的动力来考虑安全问题,甚至在产品设计阶段尽早、切实地开展安全评估。同时,软件驱动的世界能够带来敏捷性和创新力,为组织创造空前的业务机会。

企业可以选择在制造系统之前进行建模,在发布产品或特性之前发现和纠正安全漏洞,并且随着威胁的涌现,随时有针对性地调节环境。

#03边界vs“无周界”安全性

如何在无边界的世界中定义边界,这是一个矛盾。然而事实上,企业边界正是由无数更小规模的内部和外部实体组成。

“零信任”架构是针对这一矛盾的重要应对之策。该安全架构要求不能仅仅根据物理系统或网络位置,就将隐含的信任赋予用户账户。

在零信任架构下,无论用户账户身在何处、正在使用哪些设备或网络,“软件定义的边界”可以为其提供安全特权访问。有时这也称为“无周界”的方法,事实上,它的基础建筑在成百上千个小规模的边界之上。

#04安全合规vs风险管理

传统的安全成熟化周期始于“合规”——由您来定义规则,然后根据规则中的参数来衡量人们的合规程度。如今,我们正在转向新的企业风险管理模式,鼓励组织深入了解风险,并针对性地进行应对。

悖论在于,没有出现负面结果并不一定意味着风险管理项目执行良好;相反,也不能仅仅因为存在安全问题就认为风险管理决策很糟糕。打个比方,你去看医生是为了得到最好的医疗建议,并根据医生的指导来做出最好的决定——比如平时养成良好的卫生习惯等,但是仅仅积极主动并不能保证身体健康。

回到安全领域,当安全问题出现,必须检查造成这些结果的原因,并将各种线索联系起来思考。在流程顺序上,可以首先验证或排除问题源自数据“卫生习惯”以及其他有关的细枝末节,即“合规”,但最关键的则是提供有效的对策和运用弹性元素,即“风险管理”。

采用弹性的安全方法意味着提前为威胁做好准备,并确保在威胁造成影响后能够快速恢复。诸如完善基础设施、制定事件响应计划、加强培训等举措可以提高网络弹性,以便在业务受到干扰后尽快恢复运营。

#05个人责任vs集体承担后果

在当今亟需风险管理的世界中,制定战略为各种角色明确清晰的职责,对于减轻威胁和从威胁中恢复非常重要。在网络安全行业,我们越来越多地听说某些组织“为自己负责”并自行提供安全保障。

但事实上,如今的每一家公司都是技术公司,公司之间还实现了互联互通,没有哪家公司能够封锁自己的安全边界,也不会拥有零风险的安全方案。

尽管如此,企业仍有必要在个人的层面上进行安全问责,因为保障安全是一种团队行为。这种团队行为成功的关键之一是透彻了解您的环境中的全部资源,企业全面完整地了解环境,对于提供安全保护和高弹性至关重要。

最后,

企业在在考虑集体与个人的区别时,不仅关注我们的客户和所提供的技术,还确保我们所创造的技术不会制造风险。我们在分析风险时,所做的要事之一是对考虑人为因素对于安全的损害。通过退后一步,更多地为使用技术的个体着想,可以实现更高的安全性。

随着技术和IT环境的快速演变,安全矛盾日益尖锐,其影响也在日益加剧。相比采用“保护、侦测和应对”的传统的链条式方法,“提高弹性/自愈力”则是安全领域取得进一步发展所需的理念改变和文化变革。

最近更新