一些安全行業(yè)巨頭揮舞四肢、使勁強(qiáng)調(diào)，警告參加2012年信息安全世界會(huì)議和博覽會(huì)(the 2012 InfoSec World Conference and Expo)的與會(huì)者，單純依靠科技來確保網(wǎng)絡(luò)安全是一個(gè)非常不可取的IT安全策略。

一些安全界的知名人士：Tenable網(wǎng)絡(luò)安全公司(位于哥倫比亞馬里蘭州)的首席安全官M(fèi)arcus Ranum，Lares咨詢公司(位于丹佛)的創(chuàng)始人和首席安全顧問Chris Nickerson，以及一位前Verizon的風(fēng)險(xiǎn)分析師、目前擔(dān)任一家金融機(jī)構(gòu)運(yùn)營風(fēng)險(xiǎn)部門主任的Alex Hutton，他們都直言不諱的對(duì)與會(huì)者表示，他們?cè)诒Ｗo(hù)公司網(wǎng)絡(luò)方面是失敗的，而且，如果他們不擺脫滿足合規(guī)性的心態(tài)、不了解他們的業(yè)務(wù)是如何工作的、不更為積極主動(dòng)進(jìn)行安全防護(hù)，他們將繼續(xù)失敗。專家小組說道，與其購買另一臺(tái)自動(dòng)化安全設(shè)備，首席信息安全官應(yīng)該弄清楚自己公司的核心資產(chǎn)是什么，并聘請(qǐng)和培養(yǎng)人才來分析他們的系統(tǒng)日志、保護(hù)公司的核心數(shù)據(jù)。

“安全這東西不是火箭那類難度的科學(xué)，它注重的是細(xì)節(jié)，”Ranum說道，“安全產(chǎn)業(yè)有一個(gè)趨勢(shì)，即將一些東西從聰明人的手里轉(zhuǎn)移到蠢人的進(jìn)程。處理大數(shù)據(jù)是救不了你的，真正救你的是那些檢查大數(shù)據(jù)的人。”

與會(huì)者：很難接受演講者說的話

據(jù)會(huì)議的組織者說，該會(huì)議中有一部分是輕松的討論，而大多數(shù)是設(shè)定好的話題，這是為了給聽眾們一些真相，盡管那些話就像苦不堪言的藥，實(shí)在令人難以下咽。在一個(gè)同與會(huì)者進(jìn)行問答的環(huán)節(jié)中，當(dāng)Nickerson要求一位聽眾解釋自己公司的使命時(shí)，該聽眾說不出來，他在麥克風(fēng)前啞口無言。

“我認(rèn)為你們應(yīng)該試著去保護(hù)對(duì)公司重要的東西。你必須去問問題，”Nickerson面對(duì)與會(huì)者這樣說道，“如果只是同質(zhì)化(homogenous)，說我可以保護(hù)所有東西，這就是個(gè)失敗的策略。當(dāng)你用這種思路工作、試圖保護(hù)整個(gè)企業(yè)時(shí)，那就太瘋狂了。”

對(duì)于那些試圖運(yùn)用合規(guī)標(biāo)準(zhǔn)或其他模式來保護(hù)企業(yè)，而沒有基于企業(yè)的業(yè)務(wù)定制合適模式的首席信息安全官們，Nickerson抨擊了他們。標(biāo)準(zhǔn)化和同質(zhì)化注定是失敗的策略，他補(bǔ)充道。

“我們應(yīng)該通過計(jì)劃的第一步，承認(rèn)我們有問題，然后試著解決并從中學(xué)習(xí)，”Nickerson說道，“在學(xué)習(xí)一般戰(zhàn)斗規(guī)則方面我們已經(jīng)失敗了，我們現(xiàn)在要保護(hù)的東西是基于某些人的標(biāo)準(zhǔn)竭盡所能的保護(hù)那些東西。而不是根據(jù)自己的能力范圍(什么能做什么不能做)。”

作為與會(huì)者，一位不愿透露姓名的IT安全主管表示，小組成員們坦率和毫無歉意的語氣可能讓一些安全專業(yè)人士感到受辱。他說道，許多負(fù)責(zé)企業(yè)安全計(jì)劃運(yùn)營的人是在有限的IT員工和經(jīng)費(fèi)條件下努力監(jiān)視并保護(hù)關(guān)鍵系統(tǒng)的。

“我們是被企業(yè)業(yè)務(wù)本身所約束和限制的，我認(rèn)為我們已經(jīng)盡了最大努力通過手上僅有的工具完成工作，”與會(huì)者說道，“對(duì)我們大多數(shù)人來說，大幅度改變總體方案然后向高層管理人員證明的成本太高了。”

反威脅業(yè)務(wù)發(fā)展

此外，小組成員還以他們的觀點(diǎn)，解釋了一些企業(yè)如何正確的實(shí)施安全。Hutton介紹了他公司的海量數(shù)據(jù)倉庫。該公司幾乎所有的東西都關(guān)系到其數(shù)據(jù)倉庫，它捕獲MAC地址并關(guān)聯(lián)來自不同系統(tǒng)的日志數(shù)據(jù)來跟蹤用戶、檢測異常行為。

該公司基本上把IT人員從安裝者和維護(hù)者變成了反威脅業(yè)務(wù)專家，他說道。但大多數(shù)企業(yè)與此相反，它們專注于購買技術(shù)，以滿足一個(gè)特定的合規(guī)目標(biāo)。

“你的威脅主要來自審計(jì)師和監(jiān)控者，因?yàn)槟愕拇蟛糠謺r(shí)間都花在這上面了，”Hutton說，“我們測量一切，除了對(duì)行為進(jìn)行統(tǒng)計(jì)分析，我們什么都不做。”

在回答與會(huì)者的問題時(shí)，Ranum說道，沒有一個(gè)企業(yè)把安全做得很好。有一些政府機(jī)構(gòu)是“深刻知道的”。他解釋道，找到一個(gè)安全法寶是非常隨機(jī)的。目前正在做的一些最好的信息安全企業(yè)有生物技術(shù)方面的巨頭Amgen和化妝和身體護(hù)理零售商玫琳凱，后者依靠其產(chǎn)品的獨(dú)立經(jīng)銷商賺錢。

據(jù)Ranum，企業(yè)最大的憂慮之一是顧問人員從其他咨詢公司挖走客戶。所以企業(yè)已經(jīng)設(shè)計(jì)了一個(gè)數(shù)據(jù)庫，不允許一個(gè)人去查詢客戶資料。“他們發(fā)現(xiàn)了數(shù)據(jù)管理問題，解決該問題，然后繼續(xù)向前。”