现在大多数企业都有某种安全部门。有些公司甚至有六到七人组成的首席信息官团队,负责监管IT安全。但是,当我今天早上准备我在西加拿大信息安全会议上的主题演讲时我突然想到温尼伯,大多数IT安全组织的结构没有为当今的威胁级别提供足够的覆盖范围。
安全威胁也发生了变化。不幸的是,IT部门反应过度,从来没有领先过。你能举出一个IT部门在公司高管开始使用互联网电子邮件之前就引进了它吗?PDA的怎么样?无线网络吗?所有用户采用和IT部门争相控制的技术。安全问题也是如此。防火墙一度是事后才想到的。我把Check Point卖给了那些已经接入互联网、对危险毫不知情的大汽车公司。AV吗?为什么在问题出现之前就投资呢?反间谍软件吗?反垃圾邮件?所有的购买都是事后进行的。
我来问这个问题。在你们的组织中,谁负责防止网络入侵?是的,我知道,你有台式机的人,他们偶尔会对木马病毒感染的机器做出反应,你有网络人员,他们在路由器中设置防火墙和ACL来阻止高级端口。有很多人确保您符合PCI-GLB-HIPPA-SOX,并能以高分通过下次审核。但是,谁会花时间去考虑你的数字资产、它们的价值、它们的脆弱性,以及下一次攻击会从哪里来?
我认为,大多数组织甚至还没有想过遭到针对性攻击意味着什么。最近几个月,有一些零售商明白了这意味着什么。损失高达一亿美元,刑期为20年联邦贸易委员会审计为例。
您的桌面安全人员正在做一项伟大的工作,与昨天的蠕虫、病毒和垃圾邮件的背景辐射作斗争。但他们甚至没有想到,首席财务官的桌面上有一个Haephrati风格的木马,将他的电子邮件和电子表格转移到了俄罗斯的服务器上。您的网络管理员已经设计了一个具有过剩容量的网络,以支持假日购买季节的需求激增。但他们有没有想过恶意拒绝服务攻击,比如去年4月让爱沙尼亚陷入瘫痪的那次攻击?您认为您的ISP知道它在做什么,但是攻击者可以使用简单的BGP路由公告将您的客户重定向到博茨瓦纳吗?
我不是在指指点点。我并不是说这种情况要怪谁。我只是想说,CIO们应该意识到,他们的组织中没有一个人会考虑全局。随着威胁的升级,这种情况将会改变,这是肯定的。我唯一的建议是,你应该尽早开始考虑这件事。就像现在。