網(wǎng)絡安全 企業(yè)面臨的最大安全威脅
分享 2010.06.19 瀏覽次數(shù):8801次
現(xiàn)在企業(yè)面臨的安全挑戰(zhàn)比以往任何時候都要嚴峻。隨著滲透工具和漏洞利用攻擊包逐漸商品化,安全舊患(如惡意軟件等)又被賦予了新的力量。而安全研究人員與網(wǎng)絡攻擊者之間無休止的戰(zhàn)爭,以及越來越多的員工與客戶需要隨時隨以多種方式進行網(wǎng)絡通信,又更增添了攻擊的復雜性。
更糟糕的是,不景氣的經(jīng)濟環(huán)境讓企業(yè)不得不消減對安全基礎設施的投資?;谌蛐畔踩珷顟B(tài)調(diào)查報告(對來自130多個國家的7200位CEO、CIO、首席信息安全官、首席財務官以及其他負責企業(yè)IT和安全投資的執(zhí)行人員的調(diào)查)的PricewaterhouseCoopers' 2010報告指出,安全項目范圍減小以及項目部署推遲成為安全項目的成本控制的主要方法。
在過去五年中,認為“安全開支將增加”的受訪者百分比顯著下降(6個百分點),超過50%的受訪者表示他們擔心成本減少將更難實現(xiàn)安全保護,同時他們表示對企業(yè)資產(chǎn)的安全威脅正在增加。
由于威脅的增加和預算縮減的壓力,IT管理員的工作量也相應減少了,不僅包括抵御攻擊的工作(他們現(xiàn)在應該已經(jīng)非常熟悉工具和戰(zhàn)略了),也包括向企業(yè)財務人員說明安全投資的工作。在很多公司,企業(yè)已經(jīng)不愿意花太多資金在安全上了。現(xiàn)在首席信息安全官們不僅需要證明企業(yè)資產(chǎn)的安全性,還要提供數(shù)據(jù)說明這種安全性的價值。
業(yè)務領導與IT安全領導間協(xié)作加強是非常具有戰(zhàn)略重要性的。在經(jīng)濟低迷時期,越來越少的資源被用于專門的安全功能上,然而業(yè)務領導在確定開展安全項目前,通常會要求周密且有說服力的計劃。現(xiàn)在如果沒有明確目標以及衡量是否成功的可靠方法,部署新的或者升級現(xiàn)有安全措施幾乎不可能實現(xiàn)。
管理層的這些要求給安全人員帶來新挑戰(zhàn)。警報和報告形式的信息不僅能夠確保安全設施有效運行,也能夠記錄安全設備的有效性。企業(yè)對管理、風險和合規(guī)的高度關注都驅使IT安全部門實現(xiàn)更大透明度,首先就需要部署精心設計的完整的且能夠進行集中管理的安全方法,例如防惡意軟件、DLP(數(shù)據(jù)丟失防御)、漏洞評估和軟件漏洞修復等。管理威脅的能力以及結合報告與解決方案日志的能力變得越來越重要。
保護數(shù)據(jù)免受有組織罪犯的攻擊
無論是來自內(nèi)部還是外部的攻擊,都不是什么新型攻擊。很多報告表明在過去一兩年中,經(jīng)濟不景氣的狀況導致網(wǎng)絡犯罪幾率上升,這是因為經(jīng)濟問題促使惡意團體不斷進行網(wǎng)絡偷竊,然而很多公司卻認為網(wǎng)絡威脅主要來自于新型攻擊形式,而不是因為經(jīng)濟狀況不佳。
不管是否是新型攻擊,數(shù)據(jù)偷竊已經(jīng)越來越受到C級管理人員的關注。上面提及的PricewaterhouseCoopers報告也同樣指出“在這最關鍵的時期,保護數(shù)據(jù)成為首要任務”。受訪企業(yè)部署數(shù)據(jù)丟失防御策略的比率已經(jīng)從2008年的29%上升到2009年的44%。很多調(diào)查受訪者指出他們的企業(yè)不斷對數(shù)據(jù)和信息安全資產(chǎn)根據(jù)其風險水平進行優(yōu)先等級排序。
現(xiàn)在的信息安全戰(zhàn)爭的重點就是金錢。最近國際犯罪集團開始出租僵尸網(wǎng)絡,隨后還幫助較低級別的網(wǎng)絡罪犯洗黑錢。以前只有高技術程序員才能涉足網(wǎng)絡犯罪,現(xiàn)在即使技術門外漢也能利用網(wǎng)絡上的工具包來發(fā)動攻擊,大部分攻擊工具包都有保修期、技術支持和軟件版本升級。整個網(wǎng)絡秩序已經(jīng)失去控制,M86在其四月報告中指出,我們開始看到國際服務經(jīng)濟的演化,即“犯罪軟件即服務”。
顯然,惡意軟件已經(jīng)成為所有人(從消費者到首席信息安全官)的安全關注問題的首位問題。在過去一年中,我們已經(jīng)見識到單個攻擊(完全無視于簽名防惡意軟件功能)變種數(shù)量的瘋狂增加,以及不斷增加的被攻擊并被植入惡意軟件(基于域名分析的Web內(nèi)容過濾解決方案完全失效)來攻擊訪問者的合法網(wǎng)站。有針對性的攻擊也同樣在上升。McAfee在其2009年12月發(fā)布的“2010威脅預測”報告中描述了感染蔓延網(wǎng)絡問題并探討了僵尸網(wǎng)絡,該網(wǎng)絡導致103個國家1295電腦受到感染。
修復系統(tǒng)和更新軟件已經(jīng)成為很多企業(yè)的關鍵工作。在2009年,幾乎所有供應商(賽門鐵克、McAfee、IBM等)都報告了應用程序攻擊數(shù)量的增加。McAfee指出,“攻擊者最喜歡使用的載體是Adobe產(chǎn)品,主要是Flash和Adobe閱讀器”。安全研究人員發(fā)現(xiàn)很多最常被利用的漏洞都是五年前甚至更早以前公布和修復的漏洞。只需要定期丟服漏洞就能夠避免這種威脅,然而,修復漏洞是乏味的且費時的。
社交網(wǎng)絡問題
Web 2.0的普及又為網(wǎng)絡犯罪提供了新的方式。用戶自己提供的信息成為惡意攻擊的主要來源。IBM ISS在2009年年底報告中指出,在合法網(wǎng)站(如PlayStation.com)發(fā)現(xiàn)的惡意軟件比可疑網(wǎng)站發(fā)現(xiàn)的還要多。免費博客服務也被用來發(fā)布色情鏈接從而誘使用戶點擊并下載惡意軟件。社交網(wǎng)絡(如Facebook和Twitter)在用戶之間建立了某種信任錯覺,為攻擊提供了完美的攻擊載體。
然而,Web 2.0作為威脅載體的影響無疑會越來越嚴重,社交網(wǎng)絡幫助網(wǎng)絡罪犯將所有個人信息都集中到一臺在線服務器上,完全不受用戶控制。通常情況下,身份盜竊只需花5分鐘閱讀社交網(wǎng)站就能夠完全掌握用戶信息。URL縮短服務(如bit.ly和TinyURL.com)不僅簡單易用,而且能夠很好地混淆真正的URL,并讓人和機器都很難分辨鏈接的安全性。
HTML 5即將到來,這又將帶來全新的攻擊方式。一旦web應用程序和桌面應用程序間的區(qū)別消失,攻擊者將能夠很快掌握主動權。企業(yè)安全領導人應該深入評估HTML 5以及下一代谷歌Chrome操作系統(tǒng)來確定風險是否大于回報。這種本地資源與互聯(lián)網(wǎng)資源的合并早期將不會給公司帶來很多利益,企業(yè)應當保持謹慎。隨后首席執(zhí)行官就會會要求企業(yè)支持某種消費者應用程序,因此安全、桌面和web開發(fā)團隊必須做好準備。
另一方面就需要保護企業(yè)的web 2.0服務器。不僅企業(yè)自身容易受到攻擊,員工、客戶和業(yè)務伙伴都會受到攻擊。每個公司對于互聯(lián)網(wǎng)社會都有一定責任,那就是防止自身服務器被用于攻擊其他服務器。在網(wǎng)站架構和質(zhì)量保證體系中建立安全檢測,運行web應用程序防火墻和IPS(入侵防御系統(tǒng)),查找包括跨站腳本漏洞、網(wǎng)頁掛馬和SQL注入攻擊造成的不良驗證形式等問題。
現(xiàn)在面臨的威脅與以往的威脅并沒有明顯不同,只是攻擊者更容易利用現(xiàn)存的威脅載體。而在同時,企業(yè)又在盡一切可能控制安全成本。在這種情況下,企業(yè)要想確保企業(yè)網(wǎng)絡和數(shù)據(jù)的安全,就必須部署精心策劃的安全措施,并取保業(yè)務領導與安全領導間的密切協(xié)作。
歡迎轉載,本文版權歸于杭州網(wǎng)站建設(http://szfjc.cn)
-
杭州網(wǎng)站設計公司:品牌網(wǎng)站開發(fā)助力企業(yè)成長
日期:2024-12-20瀏覽次數(shù):823次
-
杭州網(wǎng)站建設公司:商城網(wǎng)站建設的六大關鍵步驟
日期:2024-12-18瀏覽次數(shù):865次
-
杭州網(wǎng)站制作:醫(yī)院網(wǎng)站設計與域名備案的復雜性探討
日期:2024-12-18瀏覽次數(shù):856次
-
杭州網(wǎng)站制作公司:打造安全可靠的醫(yī)院網(wǎng)站
日期:2024-12-11瀏覽次數(shù):1020次
-
杭州網(wǎng)站設計公司:數(shù)據(jù)庫在高端網(wǎng)站制作中的關鍵作用
日期:2024-12-11瀏覽次數(shù):992次
相關新聞
整合同類新聞,相關新聞一手掌握
-
蕪湖網(wǎng)站建設公司哪家比較好?
日期:2023-02-08瀏覽次數(shù):1838次
-
如何應對直播類蕪湖app開發(fā)問題?
日期:2021-02-05瀏覽次數(shù):2163次
-
蕪湖app開發(fā)之物流app是否有必要?
日期:2021-02-05瀏覽次數(shù):2180次
-
蕪湖網(wǎng)頁設計:作為優(yōu)秀的網(wǎng)站設計者要做好什么事情
日期:2020-09-11瀏覽次數(shù):2273次
-
蕪湖網(wǎng)站制作:如何定位新聞類網(wǎng)站設計風格
日期:2020-09-11瀏覽次數(shù):2125次
最新新聞
與互聯(lián)網(wǎng)同行,實時掌握網(wǎng)建行業(yè)最新動態(tài)
-
網(wǎng)站建設成本為什么總是超過“預算”?
日期:2020-04-02瀏覽次數(shù):4589次
-
APP開發(fā),你可能會遇到這些問題
日期:2020-06-22瀏覽次數(shù):4658次
-
心理咨詢APP開發(fā)優(yōu)勢及功能分析
日期:2021-02-22瀏覽次數(shù):2163次
-
杭州app開發(fā)之“直播+”商業(yè)布局
日期:2021-07-26瀏覽次數(shù):4387次
-
淮南網(wǎng)站建設公司哪家好?求推薦。
日期:2023-02-08瀏覽次數(shù):1711次
隨機新聞
新聞新動態(tài),您需要的新聞管家
洞悉市場趨勢演變讓傳播回歸社會
免費獲取網(wǎng)站建設與網(wǎng)絡推廣方案報價
-
關于我們
杭州帷拓科技有限公司,是一家新型的全案網(wǎng)絡開發(fā)公司,作為以互聯(lián)網(wǎng)高端網(wǎng)站建設、APP開發(fā)、小程序開發(fā)為核心的專業(yè)網(wǎng)絡技術服務供應商,帷拓科技致力于全面分析市場環(huán)境、衡量與預測市場需求、整合區(qū)別于行業(yè)競爭對手的絕對優(yōu)勢,結合品牌理念深度挖掘項目優(yōu)勢和產(chǎn)品價值,提升客戶品牌認知、認可度。
-
我們的客戶
帷拓科技歷經(jīng)十年沉淀,與國內(nèi)外上千家客戶達成合作關系,其中穩(wěn)定合作的公司有:浙江華為、浙江移動、浙江5G產(chǎn)業(yè)聯(lián)盟、浙江省社科院、綠城足球俱樂部、娃哈哈雙語學校、健康中國杭州峰會、科雷機電等,帷拓科技始終堅持“帷有專業(yè),才能拓展無限”的服務理念,堅持“認真堅持細節(jié)”的優(yōu)質(zhì)服務理念,不斷完善自身,成就企業(yè),最終實現(xiàn)共贏。
-
我們的業(yè)務
帷拓科技主營業(yè)務范圍包含互聯(lián)網(wǎng)高端網(wǎng)站建設、APP開發(fā)、小程序開發(fā)、商城網(wǎng)站建設、公眾號運營以及數(shù)字營銷等,涵蓋了服務、房產(chǎn)、數(shù)碼、服裝、物流貿(mào)易等行業(yè),根據(jù)品牌現(xiàn)狀,為每個客戶量身定制項目整體服務方案,以敏銳的市場洞察力、創(chuàng)新的市場策劃能力,全面把握市場變化,為客戶實現(xiàn)從企業(yè)到消費者的價值轉換。