关于企业安全的五个建议

最近一个时期以来，美国各大机构不断发生的数据泄露事件引发了人们一连串的疑问：现有的安全工具和安全方法究竟能否有效地应对新型的安全威胁?

过去十年间，众多的私人企业和上市企业花费了数十亿美元来提升自身的安全性，然而那些恶意的攻击者们似乎总都能成功地绕开其攻击道路上的任何障碍物。

这一趋势导致很多企业不得不接受一种回归基本的方法，也就是将重点放在人、流程和技术上，不再把安全功能视为经营企业的一种麻烦的成本。越来越多的企业正在将安全看成是各种创新举措的战略性赋能者。

“安全功能与产品研发并不是相互排斥的，”万事达公司的CISO(首席信息安全官)Ron Green说。“我们并未将安全看成是一项孤立的责任。”

相反地，万事达的安全专家们都会被派到各个业务创新团队中去，如万事达实验室、新兴支付团队和企业安全解决方案团队等。重点是要长期管理产品，并利用安全去提升持卡人的体验。

“管理团队期望我们能将安全作为一种标准实践纳入所有的产品中，”Green说。尽管这种做法可能会影响项目的进度，但这种耽搁是值得的。“如今对客户来说，安全已成为入场筹码，他们期待企业提供安全功能，”他补充道。

不少IT领导人认为，要想加强安全性，从战略层面来讲，需要有五个关键措施。尽管从战术和操作层面上讲，实施这些措施的方式可能会有很大的不同，但最关键的还是要有高屋建瓴的目标。

1. 强化网络边界

各种边界技术，如各种防病毒工具、防火墙和入侵检测系统一直是企业安全战略的主体部分。这些技术主要是寻找各种已知病毒和其他类型恶意软件的各种特定的标记、签名，然后去阻止此类的恶意程序。

多年来，无论是公共部门还是私营部门的组织都倾向于在各种边界安全工具上花费更多的资金，而不太关注其他品类的安全产品，但安全专家们警告说，边界防御已经不足以保障系统安全了。

一些知名机构连续不断发生的数据泄露事件已经可以确定，基于签名技术的边界安全工具在防范恶意黑客有高度针对性的攻击方面是无效的。因此有些企业已准备放弃边界及其相关技术，但是很多企业依然坚称边界工具在防止恶意软件方面还是有重要作用的。然而无论如何，如果将边界安全技术作为唯一的甚至是主要的防御技术的话，那么企业的安全防线就可能不堪一击，IBM公司的安全研究人员Marco Pistoia如是说。

“不断出现的网络安全攻击事件表明，黑客可以绕开任何类型的物理限制，”Pistoia称。“基于边界的防御尽管仍是必要的，但一切手段都是不完善的，只有总和所有的手段，我们才有可能保障计算系统的安全。”

他说，无论从战略还是战术角度看，对于企业来说，只能将基于边界的防御看成是企业安全链条中的一个重要环节而已。

同样重要的还有模式识别和预测分析工具，这些工具能够为正常的网络行为确立一个基准，然后才能探测出哪些行为偏离了这一基准。 Fenwick & West的CIO[注] Matt Kesner认为，正如边界上的防火墙在拦截已知的威胁时才是必须的一样，Web应用防火墙也只有在检测恶意软件可能突破外部边界时才是必须的。

“从技术方面说，在边界防御上我们还得继续投入时间和资金，”Kesner称。但他也没有一味只在网络边缘上做基于签名的拦截功能，而是更多地在网络的各层上建立了冗余的恶意软件拦截系统和防火墙，包括在公司Web应用服务器前端放置防火墙。Fenwick & West使用了日志事件协同系统，IT部门可以从网络上的所有设备中聚合、关联和分析日志记录和规则信息。

Kesner还部署了一些出自细分厂商、具有特殊功能的安全产品，比如通过检测目录信息，从中发现是否存在可疑的特权升级迹象和深度潜伏的网络入侵者。“我们花费了大量时间，以便确保边界能如我们预期的那样工作。我们假设泄露随时都可能发生，因此希望更好地防范它的发生。”

近几年才出现的一类新型产品具备所谓的“杀伤链”功能，出自像Palo Alto一类的安全厂商。这些系统不仅能帮助客户发现恶意软件，而且还能让客户监控黑客是如何利用恶意程序进入网络的，有了这些信息，系统最终就能帮助客户消除威胁。

很多新型的安全工具都是基于这样一个前提来开发的，即无论是个人黑客还是黑客组织通常前后都会使用同样的恶意工具，或者同样的攻击套路。因此只要识别出这些组织或个人的攻击特征，那么就更容易为企业部署防范这些特殊攻击工具和方法的产品。

2. 建立检测和反应能力

最近一段时间，绝大多数针对企业的攻击基本上都是由有组织的犯罪团伙或者国家行为者来实施的，具有高度的针对性。过去那种随机而零星的攻击已被精心设计的有组织攻击所取代，此类攻击多数都是为了窃取企业信息、知识产权、商业秘密和财务数据。为了粉碎抓捕犯罪分子，企业必须能够深入到大量的数据中，去寻找那些在一段相当长的时间内出现的一些微小的、甚至是不起眼的增量特征。

在这样的环境中，任何安全策略都应尽可能地强调检测和响应能力。

“基于静态规则和签名的预防性工具不可能拦截已获得立足点，有确定针对性的高级攻击者，”RSA的技术解决方案总监Rob Sadowski称。因此重要的是要优先考虑早期的检测和响应，以便确保一次入侵不会对业务带来危险或损失。

为了推动这种变化，Sadowski称，企业的IT负责人就需要使用能够让他们获得粒度更细的可见性，能够探查到基础设施内正在发生什么情况的工具。

比如说，必须增强现有日志中心对网络数据包的捕获能力，需要部署端点监控技术，让安全管理者能够获得有关攻击者行为的更为完整的画面。

Sadowski称，在发现并限制已经受损的证书的影响时，使用身份管理、身份治理和行为分析等工具也同样是非常重要的。

万事达的Green表示，企业必须采取多层次的安全防御手段。“一种方法解决不了所有的问题。”他所指的正是企业过分仰赖基于签名的边界安全手段所带来的弊病。

这种多层次的方法还应包括防范内部人攻击，而不只防范外部人攻击的方法。Green解释道，“内部威胁往往会带来更大的危险。所以企业必须有一套强大的、分层级的安全方案，同时应对内外部威胁，一旦攻击出现便可进行快速的识别和补救。”

3. 开发安全的代码

存在漏洞的Web应用通常都会给黑客提供访问企业网络和数据的相对容易的入口，因此保障Web应用的安全，从而保障数据完整性和机密性，是至关重要的。

很多常见的、众所周知的应用缺陷，如SQL注入缺陷、跨站脚本漏洞、不健全的验证和会话管理等，曾经让无数的企业和组织吃尽了苦头。然而只有最新一轮对于一些知名企业和组织的入侵，才真正推动了对于安全代码的需求。

“如果你正在开发一个应用，那么与之相伴的肯定是对安全的期望，”Green称。“在涉及安全和隐私保护时，你当然还希望你的供应商也能将安全作为最高优先项。”他补充道，这一点对于供应链合作伙伴和其他的商品与服务厂商来说也是一样的。

IBM的Pistoia认为，计算系统中软件部分的固化尤其要当心，因为这可能会让软件的漏洞深深嵌套在代码内部。为了防止应用遭受攻击，从而保护数据的完整性，企业就必须让安全成为软件生命周期每个阶段必不可少的构成部分，而且正确的代码审查实践也应及时到位。

对于很多大型组织而言，如果人工进行代码审查，其成本是相当昂贵的。因此一个可行的替代方案就是代码审查的自动化，将静态与动态的代码分析相结合，并让代码分析流程成为应用开发进程不可或缺的部分(+本站微信networkworldweixin)，从而保障代码审查的顺利进行。

Pistoia称，先进的应用开发系统会对每一次提交的应用代码进行审查，或者执行周期性审查。

在线支付平台Viewpost的总法律顾问兼首席安全官Chris Pierson称，“应用层已成为网络安全的最新战场，不仅安全团队需要关注于此，开发团队包括系统开发团队也应关注于此。”

他说，静态和动态的代码审查也已越来越多地进入了产品开发流程，这也让IT专业人士更加关注OWASP所开列的十大安全风险。

更重要的是，随着DevOps实践越来越多地被采用，一些组织就有机会在软件生命周期的初期阶段便将安全选项集成了进来。“安全是提高DevOps采用率的最大推手。”DevOps.com的信息安全专家兼总编Alan Shimel称。

开发和运营团队需要认识到，安全是一种共同的责任，而且在产品生命周期的早期阶段就应将安全控制集成进来。他欣慰地说，这种情况如今正在越来越多地出现。“但我们仍处在需要不断说服大多数企业的安全人员相信DevOps能够提高安全性的阶段。”Shimel如是说。

4. 关注人的因素

近些年来所发生的很多大规模攻击，在开始的时候大多人畜无害，攻击者会利用属于合法用户(如员工、商业合作伙伴或者供应商)的登录凭证进入网络。黑客们常常利用圆熟的社会工程学和钓鱼邮件盗取企业内某人强度不高的密码和用户名，借此进入企业网络，然后通过这个初期的立足点再去进入关键性的企业系统和数据存储所在。

入侵者就是使用这种战术，先后黑掉了Target、Home Depot、美国人事局和其他网站的。因此，企业的员工和其他授权用户必须更多地关注安全风险——需要培训用户，以确保他们能够识别并抵抗各种风险。

万事达的Green称，“员工必须清楚他们在保护公司资产方面能够起到什么样的作用。”

在很多时候，员工在使用企业的数据时并不觉得自己也有保护数据的责任。为了鼓励员工接受维护企业系统的责任，万事达“正在树立一种学习文化，我们会定期教育员工怎么做才能让企业的资产更加安全，特别是在新的威胁层出不穷的现阶段。”Green称。

万事达会将传统的培训方法和Green所谓“寓教于乐”的方法相结合，去传递一些重要的信息。“俗话说魔高一尺，道高一丈，我们必须在安全意识和安全保护方面先于犯罪分子一步。”他说。这种想法给员工留下了深刻的印象，他们现在知道自己也是企业安全团队的一份子，尽管他们根本用不着汇报安全方面的工作。

“正因如此，可以提升企业安全的各种有创意的想法不断涌现，”Green说。万事达去年10月推出的SafetyNet就是一个很好的例子，该方法可有效保护持卡人的数据。

5. 保护业务流程的安全

一个企业可以拥有最好的安全技术，但仍有可能因为坏的实践和流程而栽跟头。这也是为什么Fenwick & West的IT部门要实施Kesner所说的大大小小多种变革的原因，这些变化皆与处理敏感数据的政策和流程有关。

例如在过去，这家法律公司的政策是，只要有可能，就要对进入和流出的客户数据进行加密。而现在，这种做法成了一项绝对性的要求。Kesner的团队还实施了一项新的政策，确保企业SAN中的数据无论是在闲置还是传输状态都必须加密。公司所有笔记本和台式机上的数据也都必须加密，而IT部门则会每六个月运行一次审计和测试程序，以检查这些政策是否得到了贯彻执行。

这家法律公司还会定期找来第三方和一些安全公司做渗透测试和模拟攻击试验。“我们会与他们签署保密协议，然后让他们的安全工程师尝试进入我们的网络，可以对任何数据做渗透测试。”Kesner说。之后，公司的IT团队会要求安全公司列出必须加以改进的五项改革清单，这些清单就=则会立刻转变为实际的安全政策。

Fenwick & West如今要求其所有的合作伙伴必须书面披露他们各自的安全实践的所有细节，并认可和理解Fenwick & West所采取的安全政策和相关流程。要求合作伙伴在进入Fenwick & West的网络时，必须实施基于令牌形式的双因素认证，不再采用简单的用户名加密码的认证方式。

很多组织如今都在采用类似的方法。网络安全具有最高的优先级，组织的领导团队和董事会必须认识到这一事实。Viewpost的Pierson称，“董事会希望并要求了解组织从控制、治理以及运营的角度在网络安全方面的立场和所采取的措施。”

“如果你想获得客户的信任并留住客户，安全和隐私保护就必须融入企业文化和价值主张。”Pierson说。