|
幸运儿
就像前文所述,网络攻击最突出的影响是网络瘫痪,紧随其后的是业务应用包括电子邮件不能正常使用。在网络攻击影响列表里排第三位的是保密信息被侵犯,有四分之一的美国受访者和41%的中国受访者认同。排名第四位有18%的美国公司和21%的中国公司认为是“轻度”的经济损失。相比之下,仅仅破点小财的企业可算是幸运儿了。
由于安全失误导致的经济损失其实在短期内是难以估算的,特别是包含有数据失窃的事故。实际上,受访者中最高比例的人,35%的美国公司和31%的中国公司承认他们无法得知因数据失窃造成的损失总值有多大。
但长期来看,令人痛苦的安全损失会日益显露出来。据报道,到今年4月28日TJX在第三季度因计算机入侵而承受的损失高达2千万美元。而佛罗里达州的沃尔玛商场也损失了将近8百万美元的交易。
深藏不露的恶意黑客和网络盗贼要对过去一年来的多宗大规模数据失窃案负责,而安全专家们的主要精力都用于应对下一波的攻击上了。多数受访者认为过去一年里数据失窃和公司间谍案的罪魁祸首是计算机黑客。但同样引人注目的是,非法用户导致的数据失窃从2006年的28%上升到2007年的34%。
理查德•马里奥(Rich Marreel)是美国内布拉斯加州林肯市BryanLGH 医疗中心的首席信息官(CIO)。他最关注的安全问题是病人数据的保护,以免因恶意黑客或员工有意无意的非法使用导致数据被侵犯。马里奥表示:“我们一直担心员工和其他外部人员共享授权验证信息,或通过笔记本电脑和记忆棒从机构带走信息。”解决方案就是:同时加强对员工的教育和提升安全技术,包括加密技术的应用。
马里奥认为,不认真管理用户访问权限或要求用户保护好自己的登陆帐号和密码信息,公司就等于引入了“潜藏的威胁。”马里奥指出,在医院“许多人把登陆帐号和密码写下来带着到处走,甚至把信息存在他们的个人电脑里。”这些情况我们以前还见得少吗?
中国因素
美国和中国受访者在许多问题上的回应是相似的,但在许多方面也存有差异。例如,两国的首要攻击方式都是针对已知的操作系统漏洞——美国公司占43%而中国公司占了压倒性的三分之二。对第二大攻击方式——已知应用漏洞,也同样存在比例上的差异,41%的中国受访者承认受到这种方式的入侵,而对比之下美国的比例少于四分之一。这可能是因为中国盗版软件的使用比较猖獗而导致,埃森哲的麦克威尔森分析指出,“因为这样他们就没法升级更新补丁了。”
受访者反馈的其他攻击方法包括在电子邮件附件中包含虚假内容(26%和25%),攻击未知的操作系统漏洞(两国分别为24%和31%的比例)。然而这些入侵,还不是唯一需要担心的问题。804位美国受访者承认在过去一年里发生过数据泄密和商业间谍活动,18%认为这是非法用户的问题,而16%怀疑是合法用户和员工所致。
============ 图 =================
最大威胁
下面各类安全威胁中,您所在公司最重视的是哪一种?
美国 中国
65% 75% 病毒或蠕虫
56% 61% 间谍软件/流氓软件
40% 40% 垃圾邮件
26% 19% 未经授权的雇员对文件或数据的访问
25% 22% 外部人员所为的客户数据失窃
20% 16% 网络钓鱼(Phishing)和域欺骗(Pharming)
19% 14% 带有公司数据的可移动设备遗失或失窃
18% 15% 知识产权失窃
13% 16% 拒绝服务攻击或其他网络攻击
10% 13% 僵尸网络(Botnets)对IT资源的远程控制
6% 5% 对无线/RFID系统的攻击
3% 4% VoIP 入侵
数据来源:《InformationWeek》与埃森哲咨询公司合作进行的2007年“全球信息安全调查”。全球3,092位商业科技和安全专业人士参与调查。该数据来自其中1,101位美国受访者和1,991位中国受访者。
============ 图 =================
与2006年25%的公司发生过数据泄露相比,该数字今年有所下降。这真让人意外,因为员工仍然是安全链上最薄弱的环节。加里•敏(Gary Min)欺诈自己的前雇主杜邦化学公司(DuPont),企图把公司价值4亿美元的商业机密卖给杜邦的竞争对手,被公司及时发现并向美国联邦调查局(FBI)举报。就在众人眼皮底下,加里•敏可以堂而皇之地访问到杜邦的电子数据图书馆(EDL)服务器上超大容量的文档摘要和pdf文件全文。该服务器是杜邦公司存放保密和专有信息的主要数据库之一。加里•敏从这台EDL上下载了22,000份摘要并访问过16,706份文档——在事发的时候他能访问到的文件数量比仅低他一个访问等级的人竟高出15倍之多。他最后认罪并面临10年的牢狱和25万美元的罚款和赔偿。
除了纯粹的欺诈行为,员工也可能无法保护存放在公司IT资产(主要指笔记本电脑)上的数据。从员工的车辆和家中被窃的笔记本和移动设备数量惊人。上个月一台保存有超过65,000份记录,包含美国俄亥俄州政府所有员工名字和社会保险号信息的计算机备份存储设备就在一位州政府实习生的车里被盗了。在一年多前失窃的一台笔记本电脑保存有hotels.com公司的243,000份用户数据,包含姓名、地址、信用卡和借记卡信息。被窃地点是在安永会计师事务所(Ernst & Young)一位员工的车里。“这些大多数都是因为人为过失或糟糕的业务流程所导致的。”麦克林风险伙伴公司(MacLean Risk Partners)的首席执行官(CEO)、前美国银行和波音公司的首席安全官朗达•麦克林(Rhonda MacLean)这么认为。
类似地,尽管只有5%的受访者认为合同服务提供商、顾问或审计人员也是数据失窃的根源。但这不意味着就可以忽略他们。
在今年4月份,据报道美国乔治亚州社区卫生部(Department of Community Health)一个含有290万条记录的计算机硬盘在服务提供商Affiliated Computer 服务公司遗失,该公司负责处理乔治亚州医疗保健支付申请,丢失的硬盘上有包括姓名、地址、生日、医疗补助,医疗保险识别号、社会福利号等个人信息。
“如果合作伙伴或服务提供商有权访问我们的数据,我们会要求在合同里加入安全条款,使我们有权对他们进行安全监督并定期执行,”Web远程会议公司WebEx 的首席安全官兰迪•巴尔(Randy Barr)表示。从2004年开始,他们的安全策略就要求所有能访问公司系统的承包商都必须经过背景调查。
你也许认为只要对员工与合作伙伴进行一番公司安全策略教育,就足防止一个老实人通过电子邮件、即时通信、或是点对点网络泄露客户的信息。如果这样想,那可大错特错了。虽然2007年受访美国公司最关注的安全措施就是建立和强化用户对安全的意识,占37%。但这要低于2006年的42%。一小部分的美国公司还计划安装更好的访问控制、监控和安全远程访问系统。在中国,公司更专注的是安装应用防火墙、更好的访问控制和监控软件。
只有19%的受访者表示安全技术和政策培训对消除与员工相关的安全威胁有重大影响,该数字与去年持平。“这可不只是给他们放几个视频就了事。”顾问麦克林回应道,“你要跟踪员工的培训,确保至少在培训结束后员工对你希望灌输给他们的安全理念有个基本认识。”
在过去一年里,加利福尼亚州兰乔米拉奇(Rancho Mirage)市艾森豪威尔医疗中心(Eisenhower Medical Center)正面临巨大变更,因为该机构开始从纸质病历向电子病历系统转移,这也给安全带来巨大的影响。“这给我们带来更重大的责任,以确保病人的数据是安全的。” CIO大卫•佩雷兹(David Perez)表示,“挑战不单是因为现在要改用在线数据,而且数据的超大容量也是个问题。几年前一次CAT扫描会生成250到500张图片,而我们的新系统则会产生高达5,000张图片。”
随着越来越多的医生和医疗人员登陆艾森豪威尔医疗中心的内部网门户处理工作,佩雷兹和他的团队必须提高对安全的监控,并确保其符合健康保险流通与责任法案(Health Insurance Portability and Accountability Act)的相关规定,使医生和员工只能访问各自的病历资料。“使用者在加入医疗中心时必须要签订保密协议,” 佩雷兹说。“我们还会在员工门户站点张贴相应的提示信息。”
老大哥式的做法
有些公司宁愿采用老大哥式的监控方法。在美国受访者中有的公司监控员工行为,其中51%的监控电子邮件,40%监控网站浏览,35%监控电话,大致与去年的数字相同。然而,其它的数据泄露源头就较少受到关注:只有29%监控即时通信的使用,22%检查电子邮件的附件,20%监控向外发送的电子邮件内容。而只有寥寥几个公司密切关注移动存储设备的使用。
然而,42%的受访者认为数据泄密是严重事故,一旦经过培训,员工就应该为导致安全泄密而受到解雇或惩罚。而顾问麦克林的做法则更严苛:“开除的处理是很严厉。但在某些事例上,这样的处理是恰当的,甚至可以提请民事甚至刑事诉讼。”
============ 图 =================
量化投资
您所在的公司如何衡量在安全投入上的投资回报?
美国 中国
43% 37% 员工处理安全相关的问题的工作时间减少
35% 29% 客户数据得到了更好的保护
33% 50% 安全漏洞减少
33% 40% 网络宕机时间减少
27% 26% 改进了对知识产权的保护
25% 29% 采取更好的风险管理策略
24% 46% 用于处理偶发事件的时间减少
24% 9% 我们不对此进行量化评估
注:允许多选。
数据来源:《InformationWeek》与埃森哲咨询公司合作进行的2007年“全球信息安全调查”。全球3,092位商业科技和安全专业人士参与调查。该数据来自其中1,101位美国受访者和1,991位中国受访者。
============ 图 =================
相当大一部分的受访者希望填补安全漏洞的责任由提供技术的安全厂商承担。46%的美国公司和47%的中国公司认为安全厂商应该对他们产品和服务里的安全漏洞负法律和经济责任。
公司机构对IT安全的不安也许可以归咎于大多数公司都缺乏一个集中式的安全主管来评估风险和威胁,并针对这些威胁进行整治。在大多数公司,安全策略的设置都是合作进行的,包括CIO、CEO、IT管理人员和安全管理人员组成的团队都会提出自己的意见。艾森豪威尔医疗中心也没有首席信息安全官(CISO),而是依靠它的顾问组把握对常规管理条例的决策,而CIO佩雷兹则和系统管理员一起设置安全策略。“我们从各部门主管那儿收集信息,以确定他们需要访问哪些系统和数据。” 佩雷兹总结说,“这个你进我退,讨价还价的过程很有意思。医生们希望访问更便捷,而我们则尽量使系统更安全。”
在过去一年里,CISO的数量大大地增长了。大约四分之三的受访者表示他们的公司有CISO,对比2006年只有39%。CISO都是直接向CEO或CIO汇报工作。
就投资决策而言,半数的美国公司表示由CEO决定安全开支。在美国,高达37%的受访者表示公司的风险和威胁评估没有CISO的意见参与,而令人震惊的是有22%的公司说他们根本不会定期进行安全风险和威胁评估。
在美国,IT预算里用于安全的比例仍然很低;今年公司平均计划在安全上使用12%的IT预算,对比去年为13%。而中国,则是另一种情况,他们在安全开销上相对大方得多:今年用于安全的IT预算占19%,对比2006为16%。有意思的是,39%的美国公司和55%的中国公司都期望2007年的安全开销水平超过去年。
情况听起来不妙,但也不用太紧张。随着信息安全变得越来越复杂——攻击者不断改变攻击手段和目标,而公司运用到业务中的安全产品也越来越多。所谓魔高一尺,道高一丈。好的一面是大多数安全漏洞的处理方式已逐渐为人们熟知。安全的态度已经成为一种优秀员工或经理人的职业素养。(译/朱筱丹)
中国企业的惊人变革
尽管中国已深度参与全球化经济,但中国公司才刚迈入信息安全的早期阶段。
《InformationWeek》的全球信息安全调查暴露了对于中国而言的风险所在。由于他们面临着巨大的攻击威胁,中国的机构也许不会有闲暇用按部就班的方式来发展IT安全技术,常规的“进化过程”更不可能发生。
中国正在经历的情况与美国15年前的不同。全球化经济的需求使中国必须快速地与高级国际标准接轨。幸运的是,中国的机构为了在国际舞台上证明自己是安全和有控制力度的,正加速自己发展安全的步伐。
例如,中国的公司在信息安全上的开支占全部IT预算的19%,而美国只有12%。这是个令人吃惊的数字。
调查显示的安全问题,无论来自美国还是中国的受访者,都与埃森哲咨询公司客户所反映的问题一致。他们需要评估IT安全风险、获得相关建议、降低安全复杂度、并量化安全投资的价值,这些要素也为安全开支提供了商业案例依据。
中国在这3个方面的注意力主要表现在基础架构上。这毫不奇怪,万事总要有个切入点。随着中国公司的关注深入到安全自动化领域,中国公司就可以从美国公司的过往经验里获得帮助。现在美国公司开始认识到他们需要更灵活的IT系统以处理快速变化的流程和机遇,中国公司也正在逐步赶超。
我们的调查显示出许多中国公司已在吸取教训前人的教训。几年前,安全常常是亡羊补牢的事后措施。例如一家银行决定要增加一项客户服务,他会在新服务已经上线后,才考虑怎样加固它。现在的中国公司会说:“我们需要一项新服务,作为现有服务的一部分,安全需要怎样做?”于是,安全在设计初期就被考虑进去。
目前中国企业的安全还是采取专项解决的方式。逐渐地,庞大的修补工作量会令安全变得难以管理。如果中国机构能恰当地评估风险、制定安全策略的量化方式而不是局限于继续对漏洞进行修修补补,他们也许就可以大步越过这个进化过程。尤其在面临先进技术如无线应用和服务导向架构时,高效的安全手段显得尤为重要。
随着机构远离原来那种支离破碎的安全管理模式,他们就可以把安全嵌入到业务流程中,提供更好的整合度,把人工干预变得更自动化,从而提升管理和监控的效能。中国的机构也认识到,要获得高效的安全和达到真正的国际化水平,他们需要更深入与国际安全标准的接轨。
文/Alastair MacWillson, 埃森哲安全实践部门全球管理总监 译/朱筱丹
|
