当今最引人注目的技术给您带来了最大的安全问题。Twitter、Facebook和LinkedIn等社交网站加强了合作,帮助你的公司与客户建立联系,但它们也让你的员工比以往任何时候都更容易与外界分享客户数据和公司机密。
虚拟化和云计算允许您简化物理IT基础设施并削减开销成本,但您才刚刚开始认识到所涉及的安全风险。把更多的基础设施放在云上会让你容易受到黑客的攻击,他们会加倍努力来启动拒绝服务针对谷歌、雅虎和其他基于互联网的服务提供商的攻击。今年早些时候谷歌的大规模宕机说明了依赖云计算的企业可能会遭受的那种中断。
但也有好消息。尽管数十年来最严重的经济衰退迫使你少花钱外包安全服务,并在公司内部做多,您的安全预算保持稳定。而更多的你是采用首席安全官。
如从第七年度大外卖全球信息安全调查,这与普华永道在今年早些时候进行的CIO和CSO杂志。全球近7300业务和技术高管来自不同的行业,包括政府,医疗保健,金融服务和零售回应。
要了解更多关于安全性的信息,请参阅:装载机,吊车,采取走阻断服务攻击和社交网络的恶意软件:三种方法保护自己。
查看完整的调查结果这里。
看看我们是怎么得到这些数字的。
这些趋势正在塑造你们的信息安全议程。科学应用国际公司(SAIC)首席信息官查尔斯•比尔德(Charles Beard)表示:“每家公司都担心保护自己的数据,尤其是客户数据。”“在旧的商业模式下,每个人都必须聚集在同一地理区域的同一幢大楼里。现在每个人都在使用互联网和移动设备来相互协作。这就是社交网络的前景所在。另一方面,我们暴露在网络空间的黑暗面。这项技术的采用远远领先于适当保护和管理它的努力。”
请继续阅读,了解我们的发现。
顶级IT安全优先
新的投资都集中在保护数据,验证用户
1.生物识别技术
2. Web内容过滤器
3.数据防泄漏
4.一次性密码/智能卡/令牌
5.减少或单点登录软件
6.基于ip安全
7.Web 2.0的安全
8.身份管理
9.可移动媒体加密
趋势# 1
社交网络的前景和危险
在不到两年的时间里,社交网络已经从一个抽象的好奇变成了许多人的生活方式。当有人在Twitter、Facebook或LinkedIn上更新状态时,他们可能白天工作时更新状态,晚上在家用公司的笔记本电脑更新状态。
是什么让IT主管烧心是与当他们告诉你他们午餐吃什么用户可以共享客户数据或敏感企业活动的难易程度。Cyberoutlaws知道这一点,使用社交网络来发动钓鱼诈骗。在一个流行的攻击,他们发送看起来像是从一个Facebook好友来了受害者的消息。该“朋友”可以沿着他们坚持你看看一个URL发送。它可投作为一个新闻故事迈克尔·杰克逊去世或股票提示列表。在现实中,链接将受害人的黑幕网站,自动删除恶意软件到计算机上。该恶意软件熄灭搜索存储在计算机或更广泛的公司网络上的任何有价值的数据,无论是客户信用卡号码或秘方新的抗癌药物。
这并不奇怪,那么,每一个IT领导者接受调查的人承认他们担心基于社会工程学的攻击。百分之四十五的特别害怕对Web 2.0应用的钓鱼式攻击。
然而,对于许多公司高管,阻止社交网络是不可能的,因为其潜在的业务好处。现在,公司纷纷要求通过这些网站发布信息,所以cio们面临的挑战是在安全性和可用性之间找到合适的平衡。
普渡大学Calumet分校信息服务副校长h·弗兰克·切尔沃内说:“对于应该与他人分享多少信息,人们仍然难以置信地天真,我们必须更好地教育他们什么适合与他人分享,什么不适合。”“我们必须做得更好,加强我们对哪些内部组织信息不应该共享的理解。”
但在大学的课程设置,它的关键,通过社交媒体吸引人们,塞文补充道。即使在商业领域,他没有看到组织如何避免它。
然而今年 - 第一,我们要求有关社交媒体的受访者中,只有23%的人说他们的安全努力,现在包括规定捍卫什么可以在社交网站上发布的Web 2.0技术和控制。一个积极的迹象:每一年,越来越多的企业员工奉献监测员工使用网络资产 - 在显示器的受访员工什么张贴到博客外2006年百分之三十六57%,今年与去年同期相比50%和40%和社交网站。
为了防止逃跑的敏感信息,公司的65%使用的Web内容过滤器,以保持数据在防火墙的后面,和62%的确保他们使用的是他们选择何种浏览器的最安全的版本。百分之四十表示,当他们评估安全产品,支持和对Web 2.0的兼容性是必不可少的。
不幸的是,社交网络的不安全感是不是一个可以只用技术解决马克Lobel,在普华永道安全实践的合伙人。
“这些问题是文化,而不是技术。你怎么教育人们明智地使用这些网站?”他问。“从历史上看,安全人员已经从技术路径,而不是社会学家路径上来了。因此,我们有很长的路要走找到合适的安全平衡中去。”
华盛顿州社区和技术学院委员会的安全管理员盖伊·佩斯说,他的组织采取了上述许多预防措施。但他同意Lobel的观点,认为真正的战场是办公室文化,而不是技术。“最有效的缓解措施是用户教育和有创意的、有效的安全意识项目,”他说。
趋势# 2
跳进云三世降落伞
考虑到费用,以保持身体的IT基础设施,更换云服务的服务器机房和随意配置家电的想法简直是太辛苦了很多企业的抵制。但急于到云没有安全策略对于风险的良方。
根据调查,43%的受访者使用云服务,如软件作为服务或基础设施作为服务。更多的人正在投资虚拟化技术,以帮助实现云计算。67%的受访者表示,他们现在使用服务器、存储和其他形式的IT资产虚拟化。其中,48%的人认为他们的信息安全得到了改善,而42%的人认为他们的信息安全水平与之前差不多。只有10%的人认为虚拟化造成了更多的安全漏洞。
阴云
有关供应商主导的云安全隐患的担忧。
什么是最大的安全隐患,以您的云计算战略?
能够执行供应商的安全策略:23%
培训不足和IT审计:22%
在供应商的网站访问控制:14%
能力恢复数据:12%
能够审计供应商:11%
公司数据接近别人的:10%
供应商的继续存在:4%
提供合规性:4%
安全性很可能已经改善了一些,但像克里斯·霍夫,在思科系统公司云计算和虚拟化解决方案的总监专家认为,消费者和供应商需要确保他们了解风险与技术,业务和组织变革这些技术相关带给熊。
“当你看看人们是怎么想的虚拟化意味着什么,虚拟化的定义是要么非常狭窄 - 这是关于服务器整合,虚拟化应用程序和操作系统,并整合一切下降到较少的物理盒子 - 或它的任何数量的其他元素组成:客户端台式机,存储,网络,安全,”他说。“那你让人困惑的云计算,正在由微软推动的概念,许多较小的新兴公司。你留下摸不着头脑想知道这意味着什么,你作为一个公司,它是如何影响您的基础设施?”
幸运的是,有一些证据表明,企业在这方面采取了谨慎的态度。一个例子是Atmos能源公司,根据CIO Rich Gius的说法,该公司正在使用Salesforce.com来加快对客户的响应时间,并帮助营销部门管理不断增长的客户。
到目前为止,这一努力是成功的,因此Gius正在研究运营公司的可行性电子邮件在云中。“这将帮助我们应对日益严峻的挑战,其中电子邮件启用如移动设备黑莓手机在员工中广泛增殖,”他说,但他不准备采取这样的一大步,因为风险,包括安全性,仍然很难牵制。中断的一个例子,云相关的公司可以体验排在五月所有互联网流量的5%,其含量占 - - 当搜索巨头谷歌,遭遇了大规模的停电。当它落下去,有许多企业开始依赖于它的基于云的业务应用程序(如电子邮件)进行死在水中。
这次宕机不是由黑客造成的,但有迹象表明,网络犯罪分子正在探索利用云技术达到恶意目的的方法。网络中断之后,攻击者将恶意链接淹没在谷歌搜索结果中,促使美国计算机应急响应小组(U.S. CERT)发出警告,提醒基于云的服务网站存在潜在危险。
攻击病毒利用Adobe软件漏洞知道要安装在受害者的计算机恶意程序毒死几千合法网站,美国CERT说。然后程序会从受害者窃取FTP的登录凭据并使用这些信息本身进一步蔓延。它还劫持受害者的浏览器,谷歌取代搜索与攻击者所选择的链接结果。尽管受害的网站并不特别是那些提供基于云的服务,类似的方案可以在云服务提供商为目标。
IT组织往往讲得很差,所以易于查找和利用漏洞被留下配置物理和基于云的IT资产,使攻击者的工作变得更加轻松。当被问及在他们的虚拟化环境中的潜在漏洞,36%的受访者误配置和执行不力,而51%的人认为缺乏充分的培训IT人员(其知识缺乏导致的对配置毛刺)。事实上,受访者22%的人认为培训不足,与审计不足(来发现安全漏洞)一起成为最大的安全隐患,以他们公司的云计算战略。
正是这种意识,使Atmos的能源的Gius谨慎行事。“我们没有CSO。如果我们是一家金融服务公司可能是一个不同的故事,或者,如果我们有一个巨大的头数,” Gius说。“但我们是一个小到中等规模的公司,工作人员限制使得这些类型的实现变得更加困难。”
即使有合适的资源,云中的安全也是跨多个平台管理各种风险的问题。没有单一的云。相反,“有很多云,它们没有联合,它们在应用程序层没有天生的互操作,它们的平台和操作都是专有的,”霍夫说。“那种认为我们都在耗尽精力,把自己的内容和应用放在某个通用(且安全)的存储库中,放到别人的基础设施上的想法是不现实的。”
Lobel,普华永道表示,完美的安全性是不可能的。“你必须积极着眼于安全控制,而你是跳跃到这些服务,”他说。这是企业难以回头,一旦他们有让他们的数据和应用程序松动,因为他们往往很快就摆脱他们需要把服务返回的内部硬件和技能本身。
“如果你俯冲下来一个良好,无一根绳子,你会发现你想要的水,但你不会得到井出不绳子,”他说。“如果你有一个缺口,你需要离开云?你能不能出去,如果你有什么打算?”
趋势# 3
内包安全管理
几年前,技术分析师曾预测管理安全服务提供商(MSSPs)将无限制地增长。当时,许多公司将安全视为一个陌生的概念,但萨班斯-奥克斯利法案(Sarbanes-Oxley)、《医疗保险可携带性和问责法案》(Health Insurance Portability and Accountability Act)以及影响金融服务的《金融服务现代化法案》(Gramm-Leach-Bliley Act)等法律迫使它们解决入侵防御、补丁管理、加密和日志管理等问题。
数据的危险
对数据的攻击增加了比其他任何安全快捷漏洞。上方目标:数据库。
攻击者是如何让您的数据
数据库:57%
文件共享应用程序:46%
笔记本电脑:39%
可移动媒体:23%
备份磁带:16%