安全专业人士正受到多种力量的联合打击:随着IT系统变得越来越难以防御——更加开放、移动和共享——网络威胁也在演变,以更快的速度渗透企业防御。
这是由普华永道(PricewaterhouseCoopers)和CSO联合进行的第11届全球信息安全年度调查(Global Information Security Survey)的核心发现之一。调查还发现,尽管接受调查的9600多名高管中有许多人表示,他们的组织已经增加了IT安全支出,但他们遭受的攻击数量和这些攻击的成本仍在上升。不仅袭击事件在增加,而且每次事件的损失也在增加,每次事件的平均损失比去年增加了23%。报告每次事故损失超过1000万的人数比两年前增加了75%。
过分的自信
尽管有这些挫折,今年的调查揭示了在受访者的安全努力的稳健性的信心出乎意料地高的水平。CEO和首席信息官的82%的高达84%认为他们的计划是有效的在其当前状态。即使是首席信息安全官,传统上谨慎一堆,仅略少肯定的是,有78%表示信心。
这种乐观维持尽管安全事故数来检测大大累计上涨超过一年:从报2,989 2012年3741,2013年A的受访者充满18%的受访者不知道他们检测到事件的数量。
这并不是说企业没有采取许多正确的措施来保护它们的数据——它们确实是这样。调查显示,即使是那些没有采取足够的预防计划的企业,也要做好未来的工作。许多公司表示,他们将很快为外部合作伙伴、客户和供应商设定最低安全标准,并建立员工安全意识培训项目。
毫不奇怪,许多安全从业人员不同意关于IT安全的整体状况,今年的受访者。“坏人基本上去他们想去的地方去,做他们想做的事,和他们没有停止。也许对于每一个组织,真实有效的阻止攻击,有100个正在破坏,”估计埃里克郭伯伟,Providence医疗卫生及服务的首席信息安全官。
当这些入侵发生时,其影响仍然很高:35%的受访者报告说员工记录被盗用,31%的人报告说客户记录被盗用或不可用,29%的人说内部记录丢失或损坏。同样重要的是,今年有关内部记录丢失或损坏的报告比去年增长了100%。
这些损失正在发生尽管是冲着安全挑战增加资源 - 安全预算平均为今年的$ 430万的51%,比2012年增加。
然而,尽管支出巨大,企业仍在追赶。当IT组织掌握了一组技术的安全和管理时,总会出现一些颠覆性的和新的东西,无论是虚拟化、云计算、IT购买的消费化还是工人流动性的增加。而正是这种变化,如果管理不当,就会给cio和他们的安全团队带来很多危险。
一个正确对齐
确保企业技术不会超过IT保护IT的能力的最好方法之一是保持业务管理和IT安全管理的一致。
独立研究公司Securosis的总裁Mike Rothman表示,业务管理和IT安全仍然不一致的主要原因之一是缺乏适当的度量标准来衡量安全活动的业务影响。“这仍然是一个巨大的差距。业务经理了解业务指标,而IT安全——无论好坏——并不适合这些业务影响指标。而且存在脱节,”罗斯曼说。
“在过去的10年里,我们只是争取获得CISO识别,必须在餐桌的座位,”蒂姆·麦克特,CISO说,艾伯塔省政府。尽管首席信息安全官得到越来越广泛的认可,现在,他们并不都具有影响力的相同水平。该位置是指在不同的组织不同的东西,所有这些组织都在不同层次的安全成熟。在一些地方,CISO是深藏在管理结构埋没,而在其他国家它是相当于一个副总裁,直接向C-套件。
在太多的组织中,有关新的IT项目、应用程序设计和部署以及采购的服务的决策都是在没有从IT安全组获得任何输入的情况下做出的。当安全问题真正被提上日程时,通常已经到了计划的最后阶段,这时候要提出建设性的建议或建立经济有效的安全控制就为时已晚了。
为了提高组织做出更明智的风险决策的能力,McCreight将Alberta的CISO角色转变为企业的风险顾问,而不是服务提供商。例如,一个业务经理最近要求McCreight为一个新的计划批准架构。
“我没有说,这是你的架构,”他说。
现在,单个业务单元所有者接受了他们系统的风险态势。McCreight是如何让组织达到这一目标的?它要求每个人在讨论风险时都说同样的语言。
作为东西看似简单的确定哪些低,中,高风险的手段,可在现实中令人难以置信的复杂,因为“可接受的风险”意味着不同的事情取决于他们的经验和个性不同的人。为了让每个人都对齐,McCreight汇集了一批主题专家从不同的业务部门和管理团队,包括业务连续性团队,IT团队的代表和项目负责人的行列。“我们得到了大家进了一个房间,他们没有出来,直到他们确定高,中,低风险的他们共同的定义 - 他们明白了什么可能性,[安全事件的抗冲意味着他们,”他说。
这些会议花了一年时间。“现在,当我们谈到高风险——无论是物理安全风险、it风险还是雇佣员工——我们都知道‘高风险’是什么意思,”McCreight说。
到云
云计算正在改变许多组织是如何看待风险。这一年,47%的受访报告使用云计算,以及使用云那些,59%的人认为他们的安全状况有所改善,但只有18%,包括有关其安全政策的云规则。软件服务仍然是最广泛采用的云服务,在%的采用69保持稳定,平台即服务节目最强的一年,比去年同期增长,从29%提高到37%。
Blue Cross Blue Shield的企业安全架构师Martin Sandren解释说,他相信保险公司通过转移到云计算,已经大幅降低了风险。“我们已经向云计算做出了巨大的转变——目前我们建造的所有系统中,大约80%是基于云计算的。几乎没有任何东西会进入我们的内部系统,”Sandren说。
Sandren解释说,这一举措帮助减轻了相当一部分由其较小合作伙伴的安全措施带来的风险。“作为一个付款机构,我们有很多小型供应商,他们运营着非常小的IT业务,但他们真的很擅长一项特定的业务任务。这是一种潜在的风险,尤其是在共享受监管数据的情况下。
Sandren补充道:“对于这些(类型)业务来说,云让他们和我们更容易管理风险。”以前,这些10人的公司通常在别人的办公桌下运行两台服务器。“现在,这些小企业的服务器托管在我们审查过的云提供商上。突然之间,它们拥有了我们在企业数据仓库中发现的相同类型的物理安全性。这对我们量化风险有很大帮助。
市值255亿美元的电子产品分销商Avnet的首席信息官史蒂夫•菲利普斯(Steve Phillips)也对云计算供应商的安全能力和成熟度进行了严格审查。Phillips说:“你不能把风险或声誉损失外包给别人。”Phillips说:“这就是为什么我们要对供应商进行认真的评估——而不是简单的勾选——以确保他们有能力提供我们所期望的安全级别。”
以确保它和云服务提供商履行索赔,菲利普斯也确保他们的合同包括某些条款,比如要求对任何违反传递信息的提供者,另一个给Avnet一个逃生出口如果违反是严重到足以让一个终止关系。
后面的步骤
为什么数据泄露的成本上升,尽管在安全投资的受访企业间的大幅增加?当然,有一些可以归结为应对违反披露的成本上升,增加的威胁,以及更高的优先级放在网络安全。但是,成本上升的一个重要组成部分是,太多的重点放在预防和定位攻击时,当不可避免的出现组织也应制定反应能力。
许多受访者仍无法充分识别或应对入侵。事实上,只有61%的人检查他们的入站和出站网络流量,而使用恶意软件分析来对抗高级威胁,或使用安全事件和信息管理系统来检测潜在事件的人更少。
“我们都学过安全101,首先要做好基本的防御控制。大多数人都没有达到这个程度,更别说超过了。然而,有一些公司,更成熟的公司,已经建立了应对能力,”罗斯曼说。“问题是,他们不是一般人。通常情况下,如果他们发现了漏洞——即使他们一开始就发现了漏洞——大多数人都会打电话给服务提供商。”即使是在那些确实投资于侦测和应对攻击所需技术的公司中,许多公司的员工也没有充分利用这些工具的能力的专业技能。
如果你看不到威胁,几乎不可能明智地回应它们,这一事实在调查结果中得到了反映。只有18%的组织报告说在报告、管理和拦截网络威胁方面非常有效。大多数人报告说,他们的效果最低,或者不知道他们的效果如何。
私募股权公司黑石集团(Blackstone Group)首席信息官杰伊•莱克(Jay Leek)表示,该行业“在投资预防性控制方面过于严厉”。“我们在侦探和反应控制——我称之为‘反应’——方面投入不够。我认为,我们需要更多地关注如何识别和应对袭击,”他说。
他说:“如果你看看大型机构的安全项目,他们可能会把70%到80%的预算花在预防措施上。我发现,这些预算在很大程度上与资源通常集中的地方相关,只剩下20%到30%集中在侦查和反应控制上,”Leek说。
“这显然不工作,”他补充道。“我会认为,事件响应将是今天的焦点的理想场所,因为IT系统及其复杂性的手段之一,走过安全漏洞的机会的本质一定是高的。你必须假设你需要的能力,回应天一“。
这个故事,“安全消费继续运行的威胁落后一步”最初发表CSO 。