Maria Korolov Charles

增強網(wǎng)絡安全成為啟動數(shù)字化轉型項目的推動因素。然而，實施過程中如果出現(xiàn)錯誤則會產(chǎn)生高昂的代價。

數(shù)字化轉型對于很多企業(yè)的長期發(fā)展至關重要，因為這可以幫助企業(yè)抵御敏捷的初創(chuàng)企業(yè)的沖擊，更好地滿足客戶期望，同時發(fā)現(xiàn)新機遇，降低成本。

此外，還有助于提高安全性。據(jù)451 Research公司去年年底進行的一項調查，49%的IT專業(yè)人士和業(yè)務經(jīng)理表示，保護客戶數(shù)據(jù)是他們的主要轉型目標之一。

研究公司Lucid今年夏天對IT領導進行了一次調查，49%的IT領導表示，更好地保護網(wǎng)絡安全是他們公司尋求數(shù)字化轉型的原因之一。40%的IT領導表示，網(wǎng)絡安全是他們公司投資最多的數(shù)字化轉型領域。

發(fā)起此次調查的安全供應商Nintex公司的安全與合規(guī)主管Monica Bush評論說：“我們實際上看到有越來越多的IT領導通過數(shù)字化轉型項目來支持他們的網(wǎng)絡安全策略?！彼f，這包括在員工上崗和離職期間保持清晰明確的訪問權限，甚至還有大型項目，在這些項目中跟蹤敏感數(shù)據(jù)的位置以滿足GDPR和其他合規(guī)要求。

此外，遷移到現(xiàn)代基礎設施（包括基于云的解決方案，例如，Office 365）通常僅依靠這些解決方案本身就能提高安全性。RiskLens公司的專業(yè)服務副總裁Chad Weinman表示，他最近為考慮轉向云供應商的大型企業(yè)進行了風險分析。他說：“我們越來越擔心停機和數(shù)據(jù)保護問題，因為我們的電子郵件環(huán)境不再是內部部署的了。但是我們發(fā)現(xiàn)，微軟對Office 365的管理往往遠遠領先于我們公司本身的管理，因此，總的來說，當遷移到云上時，實際的風險會降低，而不是增加?！?/p>

但是，專家指出，數(shù)字化轉型項目也可能導致企業(yè)環(huán)境可視化能力下降，人為檢查點減少，還會面臨新威脅。事實上，根據(jù)Fortinet最近的一項調查，到目前為止，安全是數(shù)字化轉型工作面臨的最大挑戰(zhàn)，85%的首席安全官和首席信息安全官認為這是很大的障礙。

普華永道的美國網(wǎng)絡安全和隱私主管Sean Joyce在最近的一份報告中指出，很少有企業(yè)能將網(wǎng)絡和隱私風險管理正確地融入到數(shù)字化轉型中。他說：“未來的贏家將是那些從設計階段到生產(chǎn)階段都建立在風險管理基礎上的企業(yè)。這是打造品牌的好機會?！?/p>

以下列出了企業(yè)在數(shù)字化轉型過程中解決安全問題時所面臨的4個重大挑戰(zhàn)。

數(shù)據(jù)、過程的可視化程度降低

據(jù)RiskLens公司的Weinman，當基礎設施由第三方托管時，企業(yè)不太容易控制自己所收集到的數(shù)據(jù)。他說：“如果把數(shù)據(jù)放在本地，可視化會很好，可以隨時控制任一點的環(huán)境，也能獲得很多信息?！彼a充說，供應商可以提供一些控制和報告，但不如企業(yè)控制自己的基礎設施那么方便。

如果企業(yè)沒有提前計劃好怎樣管理新的基礎設施，那么在本地安裝新系統(tǒng)時，可視化也會成為問題。Digital Guardian公司高級威脅保護主任Will Gragido說：“每次遇到與資產(chǎn)狀態(tài)有關的不確定因素，或者將新軟件部署到該資產(chǎn)時，都會面臨風險。因為被攻擊的可能性變大了?！?/p>

例如，能夠在本地、混合或者云環(huán)境中運行的容器。Gragido說：“多年來，不能很好地保護容器一直是個問題。”

他說，有一個問題是安全不會產(chǎn)生收益。他說：“大多數(shù)企業(yè)并沒有從安全中盈利。因此，從歷史上看，大部分人最關心的不是安全問題，盡管這些年來安全問題有所改善。結果，在很多情況下，基礎設施成熟、建設和增長的速度都快于企業(yè)從安全角度出發(fā)所能應付的水平?！?/p>

當業(yè)務部門在沒有IT部門反饋的情況下購買新技術時，問題就加劇了。特別是云服務，不需要太多的技術就能夠快速、輕松地建立和使用。Gragido指出：“我已經(jīng)看到業(yè)務部門開始著手建設自己的基礎設施。他們不想等IT部門了。這是一個老原則——不去申請許可，而是事后請求原諒。這會導致問題?！碑斊髽I(yè)甚至不知道這些系統(tǒng)存在時，那么對系統(tǒng)就會沒有任何可見性。

把人的因素排除在安全過程之外

企業(yè)中相當多的安全問題都是由員工造成的。他們進入交易時打錯字，忘記啟用安全控制功能，打開釣魚電子郵件，點擊惡意鏈接，他們落入騙局，他們不論在哪里都一直使用同樣不安全的密碼。

SecurityFirst公司的首席技術官Trevor Brown說：“通常，我們的網(wǎng)絡解決方案比人類更健壯，因為人類容易被操縱?！彼a充道，人類其實也有很關鍵的常識，但是當過程完全自動化后，這種常識就沒用了。

舉個例子，就像SQL注入這么簡單的事情。人類能夠立即從代碼中識別出有效的提交表格，從來都不會覺得有問題，但是計算機只有在編程后才能做到這一點。他說：“我們看到一些問題，直覺地感覺到事情不對。機器不擅長這些?！?/p>

他敏銳地意識到這個問題，因為他自己的公司正在逐步提高自動化水平。他說：“我們現(xiàn)在用自己的產(chǎn)品來討論這個問題。我不能讓員工在一個高效率、低成本的環(huán)境中隨時待命。”

未知的未知

數(shù)字化轉型有時會帶來不可預見的新的攻擊載體。例如，使用Amazon S3存儲桶。便宜、方便、易于設置、容易實現(xiàn)安全——也容易意外泄露。

在過去的一年里，很多企業(yè)，包括幾家非常精通技術的企業(yè)，在亞馬遜上存儲的敏感數(shù)據(jù)都被泄露了，例如，埃森哲、道瓊斯、Verizon和軍事情報機構INSCOM。同樣的，Kenna安全公司的研究人員最近發(fā)現(xiàn)，企業(yè)由于公共谷歌組的設置而泄露了敏感的電子郵件。這些企業(yè)包括財富500強公司、醫(yī)院、大專院校和美國政府機構。

總部位于倫敦的身份認證技術供應商Callsign公司的首席執(zhí)行官Zia Hayat介紹說：“谷歌的G套件是很多轉型公司在轉型過程中所采用的產(chǎn)品。事實上，上個星期我還在現(xiàn)場與使用G套件的客戶進行過交流。但是在這方面，由于缺乏持續(xù)的警惕性而出現(xiàn)了錯誤配置，導致不同行業(yè)的很多企業(yè)面臨數(shù)據(jù)丟失的風險?！?/p>

首席安全官該如何發(fā)揮作用

首席安全官在企業(yè)數(shù)字化轉型策略中發(fā)揮著重要作用。Hayat認為，提高效率的關鍵在于關注企業(yè)中最重要的問題。

Hayat說：“我是一名安全人員。我們一般習慣于用專業(yè)術語說話。但是你應該把一些清晰、具體的例子擺出來，這些例子不僅僅體現(xiàn)了技術，而且還能說明對企業(yè)的品牌會有什么樣的影響。”

他舉例說，泄露事件對企業(yè)市值的影響。他說：“你可以畫出一個簡單的圖表，說明Equifax的成本與市值的關系是什么，Target的成本是多少，臉書由于疏忽了消費者隱私和安全而導致市值有多大損失。這類成本一直在大規(guī)模增長?！?/p>

RiskLens公司的Weinman說，首席安全官既要有說服力，也不能過于危言聳聽。例如，太多的安全專業(yè)人員只關注與將數(shù)據(jù)和過程遷移到云中相關的額外風險，而沒有考慮這種遷移有哪些好處。

Weinman說：“這不是實際的分析工作，這是在散布恐懼、不確定性和懷疑，會讓首席安全官在業(yè)務部門那里聲譽掃地。但是，業(yè)務部門仍然會把項目進行下去，因為他們看到了價值、機會和成本節(jié)約——而首席安全官卻被邊緣化了?！?/p>

Weinman補充說，如果首席安全官能夠客觀地討論業(yè)務部門的風險和安全，那么他們就會更有影響力。他建議安全專業(yè)人員查看風險評估方面的國際標準，例如，F(xiàn)AIR風險評估框架。他說：“這與FUD無關，也不是說云是危險的，而是要幫助做出明智的決定。”