在过去的十年中,私营或公开上市企业已经在加强安全性方面花费了数百亿美元,然而,恶意攻击者们依然一直能够通过各种方式成功地逃避企业所设置的重重安全防范措施。
这一趋势已经使得许多企业纷纷接受并采用一种回归到基本的方法:开始将重点放在工作人员、流程和技术上。而不是把安全功能方面的支出视为企业经营的一项麻烦的成本,越来越多的企业开始将其作为一项大力推动的新的战略举措。
“安全性和产品开发并不是相互排斥的。” 万事达卡的首席信息安全官Ron Green表示说。“我们并不将安全性作为一项孤立的责任。”
相反,万事达卡的安全专家们都在与其他专注于身份验证创新业务的团队合作,包括诸如万事达实验室、新兴的支付和企业安全解决方案团队,Green说。此举的重点是产品的长期管理和使用安全,并利用安全提高持卡人的用户体验。
“我们的高管团队期望我们能够将安全性纳入到我们每一项标准的实践中。” Green说。虽然这种做法可能会增加项目进度的时间成本,但这些成本是值得的。 “安全性已然成为吸引客户的一大筹码,而每家企业都需要为其客户提供足够的安全性。”他说。
企业的IT领导们在战略层面需要从如下五大关键措施入手,以加强安全性。而不同企业实施这些措施的方式可能会因企业具体的战术和操作水平有所不同。但关键的是要把重点放在高层次的目标上。
1、加强网络边界的保护
周边技术,如防病毒工具,防火墙和入侵检测系统,长久以来一直是企业安全战略的支柱。这些周边技术通过寻找特定的标记,或签名,已知病毒和其它类型的恶意软件,然后阻止恶意程序。
较之其他更多安全产品类别的产品,多年来,公共和私营企业都倾向于在周边安全工具方面花费更多的成本。但分析师们则警告说,对于保持系统的安全而言,仅仅靠外围防护是远远不够的。
但是,多家大型企业遭遇严重的数据泄露事故的残酷现实已然表明,基于签名的周边安全工具对于应对现如今恶意黑客所采用的有高度针对性的攻击行为是无效的。少数企业似乎准备完全放弃周边安全技术,而仍有许多企业坚持认为这些工具对于防止恶意软件发挥了重要作用。尽管如此,将周边安全技术作为唯一的,甚至是主要的防线是不够的,IBM安全研究员Marco Pistoia说。 |
