直达公司网络的危险路径

　　

　　公司当前所面临的IT安全上的风险是什么？本文将为您解开谜题。

　　市场观察员承认：“高级持续威胁(Advanced Persistent Threats，APTs)对商业和政府机构来说是最可怕的长期威胁。”那些目标黑客攻击小型、有时是非常重要的网络时，使用的手段比那些安全专家们所能想到的更为老练，因而占有了领先地位。德国云经销商Softshell公司CEO Gerald Hahn认为，在德国，这一问题非常突出，原因在于大家一直忽视IT安全问题。IT安全问题，现在还停留在管理层讨论的阶段。Hahn说，“德国在这个方面已经远远落后了于其他国家了。”

　　那些关键基础设施的安全性很低；而那些手法老练的攻击也没有被完全查清，攻击的危险性也没有被充分认识。Hahn经计算后得出结论：“网络罪犯的预算比IT安全行业的预算高数倍。”从当前形势看，由于有针对存有珍贵信息和数据的网络发起的老练攻击，使得管理重要基础设施变得越来越难；如果不可能的话，就只能预先发现他们。CSC咨询公司的Alfred Zapp说，“新型威胁的发展到将战略目标作为目的。”

　　威胁在持续加重。M86安全是一家网络安全解决方案供应商，他们认为APTs在2010年甚至会变得更加复杂。最新出版的《M86安全实验室报告》(M86 Security Labs Report)中提到，“网络攻击将影响大量公司、政府机构和军方组织的关键基础设施。”德国联邦信息安全办公室(Germany’s Federal Office for Information Security(BSI))也在《德国IT安全情况2011》(The IT Security Situation in Germany 2011)报告中指出：“有组织的犯罪对商业、政府机构和私人进行着高度专业的IT攻击，攻击的手法变得越来越老练，而对击退这些攻击的时间和技术要求越来越高。”

　　德国巴伐利亚州宪法保护办公室(Bavarian State Office for Constitutional Protection)的Michael George发现，在安全政策职责和技术性/战略性企业之间的差距将是未来十年内最大的挑战：“很多在职的人员对此毫无概念。我只是担心直到在IT界发生类似福岛大灾害那样的灾难之前，我们甚至都没有尝试回击。”政府和企业仅仅是在数字威胁预防领域开始进行缓慢合作。

　　很多类似的不信任情绪和对职责产生疑问是应对网络威胁的障碍，并还远远没有开始解决。但德国人希望与国家网络防御中心(National Cyberdefense Center，NCAZ)一起，沿着正确方向迈出一大步。

　　网络间谍的受害者

　　

　　企业为避免成为网络间谍和恶意破坏的受害者，可以立刻采取什么行动呢？数据安全供应商SafeNet的区域销售主管Thorsten Krüger坚信，从各方面看，对网络流量的常规监控、加密所有数据、员工安全意识培训和引入适当的身份认证管理，对抵抗大部分攻击者能起到一定作用。对此，Krüger建议道：“根据重要程度和职能将数据分散储存。”这使目标网络间谍对信息(专利或战略计划书)的攻击将尽可能多的耗费其金钱和劳动力。这些现在立刻就可以完成。

　　BoyD——内部威胁

　　

　　对于公司用户来说，“使用你自己的个人设备(BYOD)”这个潮流是由IT客户定制化所创造的，而这种潮流从短期或中期看来是一个不断增大的问题。“公司中使用的新技术已经不会再从商业环境中得来，反而是在私人领域中出现；内部企业IT不断追随其员工的喜好。”Softshell的CEO Hahn先生总结了因为大量移动终端而增加的威胁，这里所指的移动设备同时包括商务用途和私人用途的移动设备。

　　Accenture对250名德国籍员工进行过一次调查，调查显示：67%的受访者至少是偶尔使用其个人电脑或智能手机进行过工作。尽管这些受访者通过个人电脑或智能手机主要是登录电子邮箱和社交网络；但是这些受访者也越来越多地使用个人电子设备登录商业关键领域——Avanade的一篇学术报告中如是说，“要消除在IT定制上的6个迷思。”Avanade在调查了德国和其他17名国家的605名CEO和CIO后，得出了上述结论。Krüger指出，“移动设备刺激了商业生产力。”

　　向等级下限移动

　　

　　“让我非常惊奇的是，CRM(客户关系管理)系统，以及工作市场和企业支出路径被越来越多的人使用，并且已经可以在个人设备上使用。”管理服务提供商Avanade的网页服务总监Willi Backhaus发出这样的感慨。从中我们可以发现一个明显的变化趋势，那就是从保守方法到具有建设性的商用，横跨组织各个级别。

　　迅速使用

　　

　　曾经，企业主管人员和部门经理会因迅速使用智能手机或平板电脑而出名；但是现在，这种现象已在企业中各个级别出现。Thorsten Krüger坚信，“使用个人电子设备这种情况已经在向等级下限移动。”Hahn也评论道：“那些实习生和秘书总是会使用一些新型设备。”但是安全服务提供商Interralis的商业开发经理Sven Gerlach反对Hahn的这个观点，他说，“管理者并不应该给使用个人电子设备进行商务活动树立这样的榜样。”但是，这样也不能阻止客户定制化前进的步伐，顶多只能让客户定制化潮流前进的缓慢一些而已。

　　困扰领导层最火热的主题

　　

　　Alfred Zapp深信，由BYOD而引起的威胁将会继续加大：“仅仅在过去几个月内，对于IT安全咨询业务上的要求已经大量爆发，特别是在移动设备领域。这个问题现在在领导层中可谓是炙手可热。”不足为奇的是，咨询公司Capgemini对CIO进行了一次名为“IT趋势2012”的调查，调查评价认证和访问管理是今年新最热的主题。最后，目标就是在分散的IT上有一个更好的掌控方法，这个方法要考虑到所有的安全风险。

　　同样的错误

　　

　　Symantec安全小组的Candid Wüest声称，在大部分公司的战略中，甚至连提都没有提到移动设备的问题。“没错，十年前这些公司在PC用户上就已经犯过同样的错误。”Wüest说，因为这些公司在将他们的安全政策融入个人电子设备中的工作功能，这最开始的一步上就失败了。近些年来，大部分商务笔记本要求更强的密码、加密技术和远距离擦除功能——但是同样的技术也应该应用到智能手机和平板电脑上。

　　始终潜伏在网络上

　　

　　Markus Henning，Sophos的网络安全CTO，认为将网络应用安全软件插入到APT和BYOD是另外一个至关重要的挑战。“公司决策者不明白，当重要数据通过互联网就能被获取时，他们应该做些什么。”Henning说，这并没有影响到那些在云供应商那里储存的信息，但是却影响了那些存储在公开网站中限定进入空间的信息。“直达内部系统的网络门户是最主要的问题。”Sven Gerlach赞同这个观点。那些将自己网络应用向客户开放的公司——举例来说，客户可以登录SAP数据库——也越来越多得开始遭遇安全问题。

　　当前的部分学术研究也证实了这个结论。由网络应用安全国际财团(Web Application Security Consortium)进行的一项调查显示，95%的网络应用都存在着全球性的安全性能缺陷。文本信息安全(Context Information Security)所做的一项分析显示：他们去年测试了600种网络应用，其中的400个应用容易受到跨站脚本攻击。资料隐码攻击(SQL injection)对于五分之一的网络应用来说都是一种威胁。

　　收入已经不再被列入考虑范围

　　

　　网站背后的内容管理系统软件额可以提供路径——在线零售商对此特别有感触。使用“Google攻击”(Google hacking)——也就是使用高级Google搜索参数——攻击者找到商店的CMS，并且尝试攻击已知的脆弱点。值得一提的是，这些攻击者经常获得成功，这就是电子零售商Conrad在2011年圣诞季时遭到DDoD攻击时的感受。我们至少可以进行一个有根据的推测来看看到底DDoD造成了什么样的伤害：在2010年，公司在线商店平均每小时可以赚55，000欧元。与德国最大的在线零售商相比(举例，Otto2010年每小时在线收益为434，000欧元)，它看上去并没有损失那么多——但是如果在受到攻击后网上商店关闭，那么经济上还是会蒙受损失。

　　损失的收入

　　

　　损失的收入并不是公司必须关注的唯一事件。Henning说，与最新网络技术相结合，比如说HTML5，潜在威胁就出现在浏览器上——虽然威胁的具体内容还尚未明确。

　　数据与安全性

　　

　　安全输出和加密大师Bruce Schneier认为，“大数据”与其相关事务是第四大影响了安全性风险的趋势。Schneier在2012IT防御安全大会(IT-Defense 2012 security conference)的专题演讲中指出，“存储数据要比删除它们经济实惠的多。”问题就是数据的所有者是谁，谁是控制者，谁使用了这些数据并保留了大部分的未应答部分。“这是数据和数字化关系的十年——Google、Facebook、Apple和亚马逊控制了市场，”Schneier说。他已经开始注意到在社交网络和其他网络上大量增长的数据洪流。保持对数据信息控制的高效概念至今为止仍然很模糊。商务——并不仅仅是关于那些想把数据外包给云的人——基本上必须是要发展关于解决这些方面的概念。

　　译自：【德国】CeBIT.news编译：中国贸促会电子信息行业分会 朱岩

　　更多精彩内容参见“中国经济网-国际频道-国际IT行业资讯”

　　

　　（责任编辑：郭彩萍）