问诊全球信息安全“病况”
来源:计算机世界 更新时间:2007-11-09


     
  (昆月 编译)当5年前CIO杂志与普华永道联合开展首次“全球信息安全状况调查”时,只有极少数的人知道信息安全状况到底有多糟糕。但在“全球信息安全状况调查”进行到了第5届的今天,每个人都已 
经意识到了安全问题的严重性,而人们所不知道的只是如何去解决这些安全问题。

如今,人们对于信息安全问题的关注度已经达到了有史以来的最高峰,在1美元的IT投入中就有15美分是用在了信息安全方面,同时,负责信息安全的员工的雇佣比率也在逐年攀升。然而,令人不解的是,相对于不小的投入,企业的信息安全状况却并没得到多大的改善。

而信息安全的持续升温让CIO与普华永道携手开展的“全球信息安全状况调查”进行到了第5年,可以说这是全球最大、最全面的年度信息安全调查,这其中包括了对这一年中全球范围内的信息安全状况的深入分析和总结。

调查中的首要问题就是,您对现在企业的安全状况感到担忧吗?还有就是,您感到担忧的原因是在于您无法确保自己企业的安全?还是恼于认识到无论花多少时间、多少金钱来努力防止这些“现代瘟疫”——垃圾邮件、bots、rootkits等,但它们仍将持续对您的企业发动攻击?也或者是由于您终于意识到了自己不知道的安全问题实在是太多了。

如果是这样的,那您的感觉就对了。您之所以有这样的感受,正是因为您现在能够实时地了解自己企业的安全状况。据2007年全球信息安全状况调查,在对遍及全球的7200位受访者进行了深入的调查之后发现,今年的信息安全问题比以往的任何时候都更为突显。当然,您会有这样的发现,也要归功于您所创建的用来观察信息安全状况的工具和系统。包括以下几个部分。

部署了安全策略  3年前,在所有被调查的企业中,仅有37%的企业部署了整体的安全策略,而今年这一比率则上升到了57%。此外,在这些部署了整体安全策略的企业中,约有4/5的企业实施了企业风险评估。

部署了技术  调查发现,在每10位受访者中就有9位表示他们在使用防火墙、用户监控技术和入侵检测设备。如果将受访者的范围缩小到较为大型的企业(年收入在10亿美元以上)时,这一比率就接近了98%。另外,加密技术的使用达到了有史以来的最高点,有72%的受访者都使用到这一技术,而去年这一比率仅为48%。

雇拥了安全人员  对CISO(首席信息安全官)和CSO(首席安全官)的雇佣比率持续上升,而负责企业信息安全的工作人员的人数也在不断增加。

事实上,现在企业一般都设置了智能的基础设施,这可以让它们很好地了解到企业的安全状况,这也正是您开始对信息安全问题感到担忧的原因所在。企业正经历着从对计算机安全状况懵然不懂而有几分沾沾自喜,到对信息安全状况了解后感到失落的巨大转变。

如今,企业的安全意识可能是达到了历史的最高峰,但知道并不等于做到,意识也并没有带来改进。更可悲的是,迄今为止所做的一切努力也并没实现从意识到行动的飞跃。

“现在,信息安全还远未达到一个成熟的水平。”普华永道咨询服务相关负责人表示,“我们是掌握了技术,但我们现在仍围绕着‘哪些信息是重要的’、‘哪些信息我们应给予监控和保护的’等问题打转。因此,我们经常会听到控制台有这类的对话‘信用卡号码正穿过防火墙泄露出去,这是PCI的问题吗?会对实际业务有影响吗?’”

“盲人”终于见到“光明”

回忆5年前的全球信息安全状况,调查报告中显示,36%的受访者表示他们没有发生信息安全事件,而今天这一比率已经下降到了22%。

这是否意味着今天的信息安全

 
事件更多了呢?当然事实并不是这样的。我们认为,这仅能说明有更多的企业意识到了安全的问题,而事实上,这些企业一直以来都有发生安全事件,只是他们并没有意识到这些事件的属性,直到现在他们才意识到这些都是安全问题。

现在,人们知道了以往那些莫名其妙的网络停机也是安全事件。也许在此之前,垃圾邮件的爆发并不被认为是安全事件,但现在电子邮件有可能会携带恶意软件,因此它也被列入是安全事件的范畴。当然,现在人们的安全意识提高了,也不得不归功于企业花了过去5年的时间创建了很多能够了解到安全问题的基础设施。

在今天的企业,人员、策略和技术的部署都呈现出了持续稳步的增长,有时还会出现大幅上扬的趋势。但在那些仍未适当部署信息安全技术的企业中,技术的增加仍在其任务优先级中排在极靠后的位置,这也显示出了大多数人虽然认为他们需要这些技术,但现在却仍未真正落实(如表1所示)。

安全事件的“元凶”

可能就是你自己

在2007年,“员工”第一次打败了“黑客”,这成为了信息安全领域中具有标志性意义的事件。其实,在安全领域,信息安全主管是对安全事件最有发言权的人

 
,他们现在甚至认为可能最直接的安全事件“元凶”就是自己的员工。认识到了内部的威胁是安全意识提高的一个重要标志。

是不是因为员工忽然带有了更多的恶意?是不是因为内部工作忽然比过去更为高效了呢?也许并不是。大多数安全专家会告诉我们,内部人员的威胁是相对稳定的,但却通常比所怀疑的要更为严重些。当然,我们中并没有人会故意去怀疑自己的员工。

但是,漏洞和攻击的责任可能要归咎在员工身上,这无疑让那些说自己是零安全事件的企业掀起滔天大浪,这些企业的管理人员突然意识到了有些问题是一直存在的,只是他们先前并没有意识到而已。

“事实上,我们应该更好地做好安全状况的了解和记录工作。”TD Ameritrade安全工程顾问Ron Woerner表示,“曾经有一段时间,我认为无知就是福,而现在,随着所有安全技术的部署到位,我们已经认识到了我们同样都存在着的安全问题。”

另外,如果创建基础设施的方式不当,也很可能会导致更多的员工成为安全事件的“元凶”,所以在企业中,CISO的存在是非常有必要的。而CISO拥有工具,可以调查内部网络的异常和授权情况;CISO也拥有权力,可以要求业务单位领导为其提供调查所需要的信息。

CISO可以部署用户监控工具来帮助自己识别内部的威胁;可以实现安全信息管理软件的集中化,来自动检测异常网络行为;还可以添加定期的风险评估流程(据调查显示,这是另一正在上升的趋势),免得突然发现其办公室内有未知的漏洞正在遭受攻击时手忙脚乱。或许,CISO还可以增加一种匿名的电子邮件,通过其将所有这些以及其他更多的未涉及的方法都部署到位,相信企业检测到安全事件的胜算会更大一些。

不过,与此相矛盾的是,尽管在过去5年的时间里进行了大范围的人员、流程和技术的扩增,但相反,表示没有发生安全事件的受访者的比率却是减少了,表示不知道有多少安全事件的受访者的比率则提高到了40%,而去年这一比率仅为29%。而且,“不知道”安全事件类型及攻击所使用方法的受访者的比率还仍在不断增加。

你所不知道的

可能正是你所缺乏的

在那些有关信息安全问题的回答中,当问及安全事件的数量和属性时,给予“不知道”回答的人越来越多(如表2所示)。

这显得有些不妙,因为经过这么多

 
年购买并安装系统和部署策略来改进安全情况后,仍有近50%的受访者对其自身现有的安全问题没有明确答案。而在本应对安全事件最为了解的CSO和CISO中有1/3的人表示,他们不知道所发生过的安全事件的具体数量,而更为糟糕的是,他们甚至不知道这些事件是如何发生的。

事实上,系统、程序、工具、软硬件以及安全知识是迄今为止我们能做的所有努力。正如Woerner所说的,“当你有所了解时,就会发现自己并不能发现所有的潜在问题; 你会发现可能自己正在投入资金加以保护的内容是错误的; 你会发现一名好意将工作带回家干的好员工,当他丢失了自己的笔记本电脑或是将数据拷贝到家中计算机上时,他可能也就成为了安全事件的‘元凶’。这类的事件数不胜数、防不胜防。”

Woerner和很多其他安全主管都认为,“安全纪律”正在逐渐代替风险分析和前瞻性智能采集技术,变得与防火墙、IT管理和入侵检测等技术同等重要。

假如说大部分投资是用于技术,那么大部分投资回报也应该来自于技术。这些技术工具可以很好地发挥作用,它们将告诉您企业的实时情况并拦截大部分的低级攻击。但技术大多是反应性的,它只是提供警报以及事后异常报告。例如,入侵检测在面对威胁防护时并不非常有效,它只能在威胁影响到眼前时帮您了解安全漏洞属性,所有的入侵检测系统只能让您得知预先设置的规则已遭到破坏。而这就好比安装在博物馆窗户上的传感器,当有人破窗而入时,它能很有效地告诉你有人破窗而入,但却没办法解释一幅画是如何被偷的以及为何会被偷,它也不能保证这类事情不会再次发生。

经粗略观察后,我们得出了这样的结论,信息安全的对手可能是员工或黑客,他们所持有的工具甚至比那些防护它们的工具更为精密,因为大多数恶意软件是通过恶意网站、Botnets、Keyloggers来分发的。企业花了过去5年的时间来扩增其基础设施,但同时破坏分子也没有闲着。所以此次安全调查还告诉了我们这样的一个道理:要认识到自己对破坏分子的了解太少,而在双方的“军备竞赛”中,破坏分子总能领先一步。

IT反击战

面对所有这些安全状况,我们能做些什么努力呢?应该更多地从战略上着手,安全投入必须要改变以往以技术为重的路线。比如,信息安全主管应该把更多的资金投在行业信息的共享上。

 
协作是关键。”Woerner强调: “信息安全主管应该在安全研究、技术和员工等方面同时投资,这样才能截取和剖析恶意软件,并由此理出联网地下活动的最新趋势和方向。其实现在已经有很多企业在这么做了。”

Woerner还表示,“我们必须着手致力于信息安全的人为因素,而不能只将注意力放在技术因素上。只有到那时,企业才能摆脱被动挨打的局面;只有到那时,企业才有能力进行反击。”

说到反击,在2007年的安全调查报告中显示出令人振奋的趋势,IT部门想要再次将安全职能掌握在自己的手中了。

在这项调查进行的第一年,CIO和CSO就强调,企业对其安全问题越自信,则其企业安全组出现的问题就会越少,而实际上这些企业在安全方面的投入也越多。

明智的CIO和CSO总是主张IT与安全分离,因为他们都不希望出现引狼入室的问题。假设CIO既要掌管致力于IT创新的项目,又要控制项目的安全,而这很可能会导致项目进行速度的降低以及成本的增加,那么也势必会面临严重的利益冲突。在2003年的调查中,一名CISO就表示,冲突过多就难以克服;还有一位CISO还提交了IT报告,表示那真的是一个死结。

在那之后的各年,安全职能部门都获得了越来越多的自治权利,并且这成为了一种趋势。而安全主管的位置越高,就有更多的决策权从IT主管手上转移出来,转到了安全人员的手上。同时,也有很多的安全组是向IT部门以外的职能部门进行汇报的,比如法律部门、风险部门或CEO等。这一趋势在大型企业中表现得更为明显。

2007年,这样的趋势并没有放缓,反而是加快了,尤其是在大型企业中,受访者选出了12个CISO可能向其提供报告的职能部门,这12个职能部门可分为三大类:1.IT人员(CIO、CTO),2.中立者(董事会、CEO、CFO、COO、法律),3.安全人员(CSO、风险、安全委员会、CPO、审计)。

受访者可选择多个答案,我们创建了“分配方式”——依据与三类部门有报告关系的受访者的百分比,得出了结论(如表3所示)。

向IT主管报告的安全主管的数量的上升趋势很明显,比率上升了12%。如果只计算大型企业的话,其上升比率更是达到了19%。不过,还有一点值得注意的是,企业规模越大,要向中立职能部门报告的信息安全主管就越少。

隐私保护还要做得更好

安全部门与IT部门以及CEO间的沟通足够吗?通过对比他们的答案,我们发现了一些以前不知道的并令人吃惊的问题。

对于企业的安全状况以及员工的可靠性,CEO所持

 
态度要比CIO和安全部门主管乐观得多。与此相反,对安全预算方面,CIO和安全部门主管所持态度又比CEO更为乐观(如表4所示)。

此外,在企业法规遵从方面,CEO的信心也比CIO和安全部门主管更大,这有可能是因为CEO的能力有限,也有可能是因为了解情况的人并没有将真实的情况告之CEO(如表5所示)。

也许是由于安全事件中有很多涉及到了隐私泄漏的问题,因此目前企业都在着手改进隐私保护的方法。它们越来越多地将隐私保护从安全防护中分离出来,也越来越多地将安全管理从战术安全防护中分离出来。这有着更深层次的含义,比如部署监控工具的人与设置这些工具使用策略的人必须相互分离(如表6所示)。

然而,要做到这一点,必须要完成的工作还很多。在主要安全防护步骤中有一些就是用以确保数据隐私权的,比如加密数据库、依据风险级别分类数据等,它们都并没有被列为标准方法。而过去业界很少采用隐私保护方法的原因主要在于技术过不了关。

在调查中,有60%的受访者表示在企业内部配置了隐私保护策略; 但仅有24%的受访者表示在其外部网站上配置有隐私保护策略; 而通过第三方来对其隐私保护标准进行审核的有28%。

隐私保护听起来更像是一种自我保护的方法,毕竟,如果你没有设置隐私保护策略,你就不能对违反隐私法律的行为提出控告,也就不能达到预期的效果。

究竟由谁来负责?

我们发现,在此次调查结果中处处都有着IT控制和影响的痕迹。例如当问及公司所遵从的安全指南是什么时,引用常规IT管理指南(如ITIL)的受访者要比引用特定安全管理指南(如各类ISO安全标准)的受访者多得多,甚至要多上两三倍还不止。

这究竟是什么原因造成的呢?对此,Johnson的一个理论是,“安全发展所遵循的轨迹看起来似乎类似于二三十年前的质量运动,二者惟一不同的就是信息安全的发展速度要快得多。在质量运动过程中,每家企业都创设了质量VP(副总裁)的位置,他们负责向CEO报告。不过,仅十年的时间,这种情况就消失不见了。”

Johnson还表示:“就质量运动来说,可能有部分原因在于质量已变成了固有因素,成为了一种企业价值,而且它也不需要单独地实施。”不过,在调查中有证据显示,安全既不是固有因素,也未成为一种价值。甚至,企业不能明确地知道将安全定位在哪个位置。

这就将我们引向了另一个理论:企业政治。如果将安全从IT中分离出来,那么这是否就意味着即便是IT部门的软件开发也要经过安全部门的检查呢?如果所有调查中显示的都是这样的安全意识,那么这是不是暴露出了典型IT部门的不安全实践呢?

对于IT来讲,一个解决方法就是尝试彻底分离出安全职能。也就是先将敌人关在门外,然后在有能力更好控制它的时候再将这一职能合并。

“我从CIO们那所听到的是,无论如何,最终负责任的仍是他们。无论安全职能是否分离出去,我们都是拴在一根绳上的蚂蚱。”Johnson表示。可以想见,CIO们为什么不将最终需要自己负责任的职能抓在自己的手上呢?

从某种意义上讲,也许安全职能从没有像表面看起来的那样分离出去过,企业虽然创设了CISO之类的职位,但却从未给予过他们真正的实权。

“在我看来,安全人员就是替罪羊。”Woerner表示,“也许在下意识里,这种分离方式多少是创建了一组员工来做挨批的角色。”Woerner还认为,安全预算划入IT部门的这种趋势可能是安全审核重心主要放在基础设施上的原因。也就是说,当审核人员看到信息安全漏洞时,他们会推荐进行技术修复,因为IT部门负责购买技术。只是为何IT要对另一个部门的支出负责呢?

无论原因是什么,这一趋势多少对一些安全专业人员造成了困扰,特别是每次他们在企业危机中、在社会中都扮演着举足轻重的角色时,这种感觉就更强烈。

互联网安全状况瞬息万变,人们对在线交易的信任度正日益衰减,这就需要强有力的安全保障来恢复这种信任。而要保持互联网上商务的兴盛和效率的高速,就要求在安全方面的投入不能减少,只能更多。然而,恰恰在安全需要被更好地关注的时候,却往往被忽视了。

链接一

“2007年全球信息安全状况调查”介绍

“2007年全球信息安全状况调查”是CIO和CSO杂志和普华永道携手进行的一项全球范围的研究项目,在线调查从2007年3月6日开始,

 
到2007年5月4日结束。全球CIO和CSO杂志的读者以及普华永道的客户都接到了电子邮件邀请参加此次调查。此次报告所显示的结论是根据来自100多个国家的7200位CEO、CFO、CIO、CSO、VP、IT和IS总监以及安全和IT专业人员的反馈而得出的。在所有受访者中,最多的是来自北美洲,占到了36%,其余分别为欧洲(28%)、亚洲(23%)、南美洲(12%)以及中东和南非(2%)。此次调查误差幅度约在1%上下。

链接二

在5年的“全球信息安全状况调查”中所发现的五大事实

经过5年的“全球信息安全状况调查”,我们总结了一些信息安全方面的主要趋势。我们还揭露了一些传统因素——它们的数量保持不变,且大多都可预测到,因此我们现在称它们为传统思维。以下正是在调查中数量似乎从未变过的五大思维。

业务比投入更重要。将安全策略与业务流程相结合的企业要比将安全投入与业务流程相结合的企业多10%。多年以来,约有85%的企业表示其安全策略完全或多少与业务流程有结合,同时却仅有75%企业说到投入的问题。毕竟,谁不会想要有更多的资金呢?

对自己更有信心。比起合作伙伴、供应商的安全技术来说,企业一般对自己的安全技术更为有信心。在调查中,对自己安全技术非常有信心或比较自信心的企业约占了80%~85%,而当问及合作伙伴和供应商的安全技术时,这一数字就下降为70%~75%。只是别忘了,您的企业本身也是他人的合作伙伴,对方对您可能也并没有信心。

少数企业自视过高。在12家企业中可能就有一家自视甚高。从2003年以来,受访者中表示100%遵从其安全策略的仅占了8%左右。

企业规模与投入比率无关。企业规模的大小与投入比率并没有多大的关系。当信息安全预算作为IT预算的一部分来考虑时,无论企业有多少员工,无论其财政收入是多少,其百分比基本保持不变。企业规模在安全投入方面的影响要比在行业方面的影响小得多。科技企业的安全投入最多;而非赢利性企业或教育机构的安全投入最少。

金融行业表现最好。金融服务公司受到攻击较多而遭遇损失却较少。据报告显示,多年以来,金融业受访者碰到了更多的安全事件,但其损失和宕机的情况却未如预计的有所增加,尽管它们的安全预算也并不会比其他行业多很多。