企业IT系统安全性提升困难的六个原因

企业安全性之最佳实践早已广为人知，但为什么绝大多数企业仍然无法真正实现?就在去年，Target公司CEO及CIO在遭遇到有史以来规模最大的支付卡信息窃取案件后相继宣布辞职，这也标志着又一个历史转折性时刻的到来：终于，企业中的高层管理人员意识到了安全问题的严重性与迫切性。不考虑安全保障所带来的严重后果已经昭然若揭。

自那时开始，更多数据泄露事件以层出不穷之势覆盖了各大媒体的头条：Michaels、PF Cahng’s、美国社区卫生系统、UPS、Dairy Queen、Goodwill、家得宝、摩根大宝、Kmart、Staples以及广受关注的索尼已经相继被攻陷——不仅是索尼影业执行官Amy Pascal，整个索尼品牌都遭受到了灾难性的打击。

面对着这一系列冲击，相信人们对于安全问题的态度会有所变化。正如InfoWorld网站的Roger Grimes所反复强调的观点，防止攻击活动成功实施的最佳实践几乎可以说显而易见。早在2014年遭遇攻击之前，索尼公司的安全防御机制就早已饱受诟病。Roger曾经以索尼攻击案为例提醒我们，“大多数企业的计算机安全整体状况不仅仅‘堪忧’，甚至应该说‘可悲’。”

面对上述事故所带来的可怕后果，安全意识的重要性已经被提升到了前所未有的高度。但几乎可以肯定，今年年内我们还将亲眼见证更多令人心惊的灾难。为什么悲剧总会反复发生?我给出以下几点猜测。

　　1. 高层采取忽视态度

安全事务不仅带来额外成本，而且可能会给正常业务流程带来额外步骤、并因此影响生产力水平。没有哪位高管会因为安全事务处理得宜而备受关注，但却往往因短期盈利丰厚而得到赞誉。此外，首席执行官们往往会频繁跳槽，这更使得安全事务这类长期性工作遭到严重忽视。在几年任期之内遭遇大规模灾难性安全事故的概率有多高?也许目前的可能性确实比几年前更高，但宾州大学的Arijit Chatterjee与Donald Hambrick在2007年的研究论著《一切以我为中心》中指出，CEO们通常都会显示出强烈的自恋倾向与侥幸心理。

　　2. 受到供应商的错误引导

安全方案供应商们永远走在安全威胁炒作的第一线(旨在宣传自己的安全保护品牌)，并致力于销售其所谓包治百病的保护妙药。从技术层面讲，这些威胁的确真实存在，但相较于这些小打小闹、为未受保护的系统安装正确补丁往往能带来更理想的保护效果。如果一味听从供应商的建议，大家很可能会把最宝贵的资源从最紧要的领域挪出来并移为它用。

　　3. 运营惯性导致问题拖延

假设企业管理层高度关注，并希望快速解决组织内的头号安全风险，即客户端Java。但就在这时，几位LoB经理提出了反对意见，表示几款关键性应用程序的正常运行需要以客户端Java为基础。事实上，也确实存在着一部分需要陈旧且满是安全漏洞的Java版本才能正常运行的应用方案。那么企业有可能先把运营放在一边，利用安全技术对此类应用程序进行重新创建吗?或者说，他们更倾向于先把问题搁置起来，等到明年的大规模技术更新规划上马时再一道加以解决?

　　4. 在最明显的问题上缺乏正确引导

管理员们往往认为只有白痴才会轻易点击某个文件附件、打开某个指向被恶意软件所感染之网站的链接，或者轻信伪造的病毒警报而安装名为杀毒软件、实乃恶意软件的程序。但事实上，钓鱼邮件的效果确实非常、非常好，而且如果普通员工从来没见过真正的反恶意木马检测软件，他们根本不可能知道如何加以分辨。用户需要系统的安全培训，并在遭遇钓鱼活动时得到正确的提示及引导。每次培训时间不需要太长，但此类活动必须长期推进。

　　5. 自以为安全无忧

防火墙、入侵检测系统、安全事件监控、网络监控、双因素认证、身份管理……我们的企业已经把这些方案全部部署到位，没人能够随便闯得进来!然而残酷的事实证明，如果大家已经被贼惦记上了，那么以上机制根本不足以彻底消灭数字化资产损失。要防止问题的发生，大家必须拥有审慎的心态——对闲置中的关键性信息进行加密、避免设置永久性管理员权限并通过各种举措降低恶意人士得逞后可能带来的交叉性损失。

　　6.抱有听天由命的心态

在我看来，大多数企业都很清楚安全问题的严重性。然而面对残酷的现实，他们几乎放弃了抵抗。那些有能力组织APT(即先进持续性威胁)攻击的专业黑客几乎不可阻挡。金融行业每年遭受的欺诈与犯罪活动损失高达数十亿美元，而这已经成为其运营成本中的组成部分。走了这么多过场，笑到最后的还是那帮恶意分子。

这种心态也有其合理性，毕竟在安全对抗当中、漏洞总是抢先于防御机制出现。是的，攻击活动确实无法避免，但这并不能成为我们放弃最佳实践以显著减小攻击面的理由。

任何一种正确规程都会由于人为因素的介入而受到影响。然而马马虎虎的安全防范措施必然让大家成为攻击者眼中唾手可得的肥羊。大家更倾向于哪种处理态度?在面对安全威胁的恐惧当中形成新的生存习惯?抑或是增加开支以显著降低风险的发生可能性?也许后一种方案的支持比率远低于前者，但就个人而言，我更喜欢那种能在夜里安然入睡的感觉。