尽管在信息安全产品的开发,操作系统漏洞的修复和提高计算机用户的防范意识上花费了大量资金。但是,大多数机构对信息安全还是没有任何安全感。
据InformationWeek研究所和埃森哲咨询公司所进行的第10年度全球信息安全调查显示,美国1101名受访人中的2/3和中国1991名受访人中的89%都感觉安全攻击并没有减少,还是和以前一样多。
安全技术过于复杂被认为是造成如此局面的原因。将近一半的美国受访者确认“复杂的安全管理”是信息安全的头号挑战。
所谓的"深度防御" ,只是另一种说法而已。埃森哲的安全专家全球董事迈克威尔森说:“你把一连串的技术问题搁置而不以直截了当的方式进行处理。和你对任何锁都不满意,而在你的门上用了20把锁的道理是一样的”。
但可以这样说,受访者表示并不担心公司和客户的数据会丢失和被盗。
只有三分之一的美国受访者和不到一半的中国受访者认为"防止违规"是自己最大的安全挑战.。只有四分之一的美国受访者认为安全因素主要是内部员工的“监守自盗”。不然,很少会发生公司遗失或失窃的事情。
尽管有高力度的宣传,但这种缺乏紧迫感的行为依然存在,在过去一年半里,涉及零售商,退伍军人事务部以及格鲁吉亚社区卫生处还有许多其他人都面临了非常尴尬的数据丢失事件。相反,与去年相比,前三名安全优先的病毒或蠕虫( 65%的美国受访者中, 75% (中国) ,间谍软件和恶意程序( 56%和61% ) ,邮件( 40 % ,在两个国家) 。
风景这边独好 美国国土安全部的狄克逊主任说:“要有防患于未然的意识”。
"你必须知道你在哪里存储了数据以及谁有权使用它。这说明了储存在你数据库中的数据完整性,用这些数据来进行你的业务。"狄克逊说。
在问到安全的利弊应该担心的是什么。安全研究员首席技术官布鲁斯施奈尔说: “犯罪,犯罪,犯罪与遵守。”
仿佛安全正反的平衡点正在被破坏。选择侧重于安全威胁,相对于新出现的对对客户数据的价值和知识产权的威胁, 是他们最熟悉的。
仔细阅读我们的调查结果,表明机构部门正在醒悟他们的客户信息和知识产权的数据被窃取是多么的容易。
比如, 根据70%的美国受访者的说法,感觉更容易遭到攻击的头号原因是更加复杂的威胁,包括新的SQL注入。
应用于网站的编程技术符合SQL注入,其一个目的: 通过Web应用窃取数据库的信息。
以下是3个感觉信息安全脆弱的原因:更多方式对企业网络进行攻击(包括无线接入点) ;攻击面的增加; 部分更恶意的袭击者(即,盗窃,毁坏数据,并勒索) 。
我们的调查显示,公司认为他们受到的攻击对他们的网络有稍微的破坏。虽然这仍然是数据攻击产生的结果,而更多的是他们的资产(客户或企业数据)被偷。
只有13%的美国受访者明白拒绝服务攻击或其他网络攻击。作为三大主要网络攻击,已经下降了26 %。
中国受访者只是稍微多关心一些拒绝式服务攻击.。
一些安全因素可能被忽略。botnets可采取控制IT资源进行遥控,用来发动攻击或窃取资料。作为在今年调查中的一个重点, 只有10%的美国受访者和13%的中国受访者认为它是三大攻击问题之首。
这可能是因为公司往往还不知道它们早就被botnets渗入, 这正中了BOT的圈套。
同样, 根据美国受访者的看法,电脑病毒,蠕虫,网络仿冒是三大类型的安全隐患。列第七位的是:身份偷窃。 但是,这并不意味着身份盗窃并不是一个更大的威胁。
身份盗窃和欺诈对公司最为糟糕的是使公司的数据失密。但没有经历过他们的攻击,可以说是万幸了。
TJX是非常不幸的,近几年在佛罗里达州有4,570万客户记录通过信息技术系统被盗。客户信息被用来制造假信用卡和诈骗了几个沃尔玛商店的数百万美元。
相比之下, VA, 由于一台笔记本电脑在一名雇员的家中被盗,去年的儿童海报数据失去了27万个记录。但至今没有任何身份盗窃或诈骗活动发生在调查过程中。
另一个迹象,数据安全正受到日益关注:美国受访者衡量其安全投资的成本,首先是他们能节省多少时间花在安全有关的问题( 43%的受访者) , 第二个重点是如何完善这些措施,保障客户记录( 35% ) , 第三是违约数字的下降( 33 % ) 。
或许在整个调查中最令人诧异的统计是,近四分之一的美国受访者没有衡量其安全投资的成本。
幸运的事
如前所述, cyberattack最重要的影响是网络停机,其次是商业应用,其中包括电子邮件不能收发。
第三方面的影响,根据 25%的美国受访者和41%中国受访者的说法,是保密资料被泄漏。四是"轻微"的财务损失根据18 %美国受访者和21%中国受访者。他们是幸运的。
在短期内,财政影响由于安全疏漏是难以计算, 尤其是当它涉及到的数据丢失时。事实上, 受访者承认比例最高的是35%的美国和31%的中国。就是说,他们不知道总蒙受损失的价值。
归根结底,因安全因素造成的损失明显是痛苦的。TJX报道在第三季度2000万美元的损失与计算机入侵有关,截至4月28日。佛罗里达的沃尔玛损失为:约800万美元的商品。
在过去12个月中,神出鬼没的地下恶意黑客和cyberthieves一直进行高利益的攻击。 利用罢工来取得最佳攻击时间。
超过一半的受访者认为在他们公司过去的一年中未授权者或者商业间谍是黑客的来源,三分之一以上的人怀疑制造恶意编码的人是罪魁祸首。作为重要的依据,未授权用户从2006年的24%升到了2007年的34%。
bryanlgh医学中心的CIO marreel的主要安全工作是保护病人资料。他认为,破坏者不只是恶意黑客,而是来自员工的误操作,不管是有意还是无意。
"我们始终关注人们分享他们的认证证书或记载离开组织的有关信息" marreel说,解决这个问题的办法是在职工教育和安全技术中找个结合点,包括加密。
未经审慎管理用户访问权限,并要求用户保护自己的登录名和密码信息是公司引进的"隐性威胁" , marreel说,例如在医院, "有很多人写下登录及密码,并进行上机操作甚至在自己的电脑还用这些信息, "他说。我们以前没有听说过这个吗?在美国和中国的调查反应相似,但很多是不同的。
比如, 利用已知操作系统的脆弱性是攻击的主流方法。43%的在美国的被调查者和高达三分之二在中国的被调查者这样认为。
适用于第二位的攻击方法是应用已知的弱点--41%的中国受访者的系统失密,是这个因素造成的,与之相比,在美国却不到1/4。
“在中国这可能是由于使用大量的盗版软件,他们没有进行打补丁程序”埃森哲的迈克威尔森说.。(见"中国的渐进式飞跃" ) 。
其他流行的袭击方法包括伪造资料在电子邮件的附件里( 26 %和25 % ) ,开发操作系统的未知漏洞( 24%和31% )。
这些入侵,并不是问题的唯一症结。804名美国的受访者承认在过去的一年中经历的破坏或间谍问题,18%是由未授权雇员造成的而16%是授权用户和雇员造成的。
但是,在2006年的公司报告中将近25 %是属于违规性质的。
这也不足为奇,因为这是一个无法回避的事实,员工在安全链条上是一个薄弱的环节。一叫加里闵的员工试图把他的前雇主杜邦公司约400亿美元的公司贸易机密,转交给杜邦公司的竞争者面前。杜邦公司报告给了联邦调查局。
经过策划,闵进入了杜邦公司的电子资料库服务器找到了高机密的文摘和PDF文件。该服务器是杜邦公司主要用于存放机密以及专有信息的。
闵下载了大量的有关公司机密的文件。闵承认了罪行,将面临最高达10年的徒刑和25万美元罚款。
除了公然欺诈,丢失数据的另一原因是员工把公司的数据资料放在自己的电脑上,主要是他们的膝上型电脑。在雇员的汽车和住房里笔记本电脑和便携存储设备被盗是经常发生的事情。
上个月,一个备份俄亥俄州每个雇员的姓名和社会安全号码以及超过64000个纪录的计算机存储装置被人偷去从一实习生的车的里。
二个月前, 德克萨斯州一会计师事务所雇员的汽车上,一台含有243,000 hotels.com顾客姓名,地址, 信用卡和借记卡信息的笔记本电脑被盗。
"大部分人是为了不良的商业企图"风险伙伴顾问公司总裁朗达•麦克莱恩说。
同样,只有5%的受访者举出合同服务供应商,顾问或数据审核师有违规违规行为。但是,这并不意味着他们不应该受到关注。
今年4月,格鲁吉亚处社区健康报道称,因计算机磁盘从服务提供商那里失踪,损失了2.9万个记录的个人资料, 包括完整的姓名,地址,出生日期,医疗和儿童保健受赠人的身份证号码,社会保障号码。根据签订的合同,处理了医疗索赔。
"如果给一个合作伙伴或服务提供商提供任何的资料, 我们要有一个安全条款写入合同,让我们有权利进行安全审计。督促让他们履行这些条款。" webex 首席安全官兰德说。
兰德说,自从2004以来已经有个政策,所有承建商进入公司系统必须接受背景检查。
您认为单纯教育雇员和合作伙伴对贵公司的安全政策有所遵守,不使客户资料通过电子邮件,即时讯息和点对点网络被泄露。您将大错特错。
肯定的是, 根据37 %的受访者的调查显示,在2007年中一些美国公司的安全战术政策是创造和加强用户安全意识。
但是,一个较小比例的美国公司计划安装更好的访问控制,监测软件和安全的远程接入系统。在中国,公司正在集中安装应用程序防火墙,更好的访问控制,监测软件。
只有19%的受访者说,安全技术和政策的培训将产生重大影响对员工减少违反安全规定。同去年的比例是一样的。
"需要要多拿几个录像带, "顾问麦克莱恩说。 “你要跟踪培训的员工,并确保员工至少完成你要让他们知道的事情。”
在过去12个月中,加利福尼亚州艾森豪威尔医学中心从纸质到电子记录病人的系统,就是具有最大影响的安全举动。
"这将更加有责任的去保证病人的数据是安全的, "大卫佩雷斯总监说 “这种在网上传输的数据资料, 更有挑战性。”
一台几年前的浏览仪,可以提供250到500张的图像,但新的系统可以提供高达5000张的图像。
随着越来越多的医生和医疗人员登录到艾森豪威尔的Intranet做他们的工作, 佩雷斯和他的团队必须为安全问题努力提高监测, 并确保只有合适的医生和工作人员使用不同的医疗记录。 “当他们加入医疗中心时,用户要签署保密声明”佩雷斯说。 “我们也会提醒雇员要注意的事项"
老大哥的做法 一些公司喜欢用老大哥的做法去监控员工。美国受访者说他们的公司监控员工活动, 其中51%监测使用电子邮件的情况, 40%监控网络的使用, 35 %监控电话的使用。此调查结果与去年的大致一样。
然而,其他来源的数据泄漏较少受到注意:只有29%监测IM的使用, 22%监测电子邮件附件, 20 %监测电子邮件讯息内容。使用便携式存储设备很少受到监测。
42%的受访者说,数据泄漏是个坏行为,员工应该罚款或处罚。如果他们利用职务之便作奸犯科。
顾问麦克莱恩采取更加强硬的方式:“造成结果相当严重的,员工应负相应的民事甚至刑事责任。”
相当数量的受访者希望把责任推脱给出售安全技术的公司。
45 %的美国公司和47%的中国公司认为安全厂商应该为此承担法律和财务责任,由于他们的产品和服务造成的安全漏洞。
有些IT公司对大多数公司没有集中执行安全评估风险和存在威胁,然后就发号施令来解决这些问题的事实感到不安。
在大多数公司制定安全政策是由总监,总裁,技术主管, 安全主管共同协作完成的。
艾森豪威尔医疗中心,没有一个首席信息安全官而是依靠其总法律顾问佩雷斯与系统管理员共同制定安全政策。
“我们从每个部门的董事那里搜集资料,找出他们所要进入的系统和数据” 佩雷斯说,“这是一个有趣的循环,我们要发现症结所在试图使世界变得更安全”
“在去年,首席信息安全官的数量已大大增加, 大约四分之三的受访者说他们公司已有CISOS。做为CISOS的主要为公司的总裁或总监。
可是,当谈到最终决定权时,有一半的美国公司说,CEO决定安全的开支。在美国,37 %的受访者说,他们公司评估风险和安全威胁没有启用CISO的制度, 而22%的人说他们的评估安全风险和安全威胁并不规范。
在美国,部分IT公司关于安全的预算基本是一样的;去年花在安全上的预算为12个百分点,今年却是12个百分点。
另一方面,中国正处于是一个安全消费的狂热期:今年安全消费平均占IT预算的19%。而在2006年确是16 % ,但有趣的是, 39%的美国公司和55%的中国企业期待2007年的安全开支水平超越2006年。
这一切听起来感到压抑,但不必恐慌。信息安全已步入更加复杂的环境,因为袭击者改变了自己的方法和目标, 公司越来越多的安全产品互相竞争。令人欣慰的是,安全漏洞经常源于细微之处。“防微杜渐”的工作态度是我们日益需要的重要品质。