2020年的网络安全：从安全代码到深度防御

自2014年以来，信息管理协会的权威调查IT趋势研究数据显示，CIO在面对IT管理问题时，已经将网络安全提升至数一数二的位置了。然而，在2013年，同样的调查中，网络安全还只是第七的位置。一年的时间发生了什么?那不得不提的事件应该是臭名昭著的Target数据泄露事件了，该事件直接导致1850万美元的罚款和Target首席执行官的离职。

自那之后发生的一系列的数据泄露事件就像开了阀门的水闸，倾涌而出，Target事件简直是小巫见大巫，不足为奇。这给大家传达了一个信息：年复一年，随着网络威胁事件的数量和严重程度不断攀升，促使企业倒闭的数据泄露风险似乎越来越高。

如今，企业的首席安全官们就像握着这个烫手的山芋一样。有些人被迫采用一种单点解决方案来应对每一个新的威胁，而这种解决方案直接参与了安全软件行业的营销策略。然而，任何组织的网络安全预算都是有限的。CSO如何最有效地分配其安全防御资源?

简单的答案有两个：合理地确定风险的优先级，同时充分利用现有的有效防御措施。在大多数组织中，无可争辩的是未修补的软件和社会工程(包括网络钓鱼)风险最高，其次是密码破解和软件配置错误。减少政策因素和运营障碍，确保及时进行补丁修复，建立有效的安全意识计划，培训操作人员锁定配置并实施两因素身份验证，这样企业将大大降低总体风险。

当然，任何人都可以避免其他重大风险和漏洞。例如，如果是一家电力公司，那么负责人需要了解对关键基础设施针对性很强的威胁，以及如何防御这些威胁。当黑客真正入侵组织系统之后，在系统内部进行身份验证的零信任措施则发挥作用，阻止攻击。

将风险管理日常化

自软盘时代以来，恶意软件和黑客攻击就一直困扰着计算机用户。然而，近几年，又出现了一种新的威胁，创新压力下的技术漏洞。在CIO撰稿人BobViolino的《安全vs创新：IT行业最棘手的权衡》文章中就揭示了数据化变革时代的阴暗面，文章的核心观点就是如果以安全和隐私为代价，那么中变革性的创举也将会失败，而且还可能会以惊人的方式失败。所以在创新时也要考虑到安全架构，这样子不但有利于整体创新的成功还会增加最终成果的吸引力。

InfoWorld特约编辑Isaac Sacolick在《如何将安全性引入灵活开发和CI/CD中》一文中从软件开发的角度详细探讨了该主题。开发人员往往会认为安全性不是他们的问题，而是将这个责任推到安全团队身上，而安全团队是在后期才参与到开发过程中来的，因此无法注意到在构建应用程序时，业务流程中存在的漏洞。DevSpsOps是DevOps的产物，这让安全性成为开发人员和操作人员的主要关注点，不仅避免了代码缺陷，而且还使安全测试自动化，并在应用程序投入生产后对其进行监控。

《计算机世界》高级记者LucasMearian也在《UEM最终会在漫长的求爱之后嫁给安全》一文中探讨过将安全集成到软件中的话题。过去，使用MDM(移动设备管理)，EMM(企业移动管理)或最新版本UEM(统一的端点管理)来管理移动或桌面设备，这与端点安全管理重叠了，但仍需要单独进行。据Lucas说，供应商现在将两者合并在一起，以“提供一个集中化的策略引擎，用单个控制台管理和保护公司的笔记本电脑和移动设备。”在某些情况下，这种发展涉及了机器学习算法，该算法基于一些参数自动为用户分配安全策略，比如地理位置、使用的设备类型以及网络连接是公共的还是私有的等。

然而，尽管有时候新的网络安全技术大张旗鼓地出现，而有些用户仍毫不知情。NetworkWorld的撰稿人ZeusKerravala在《IT专业人员应该了解但可能不知道的5种防火墙功能》中，揭开了现代防火墙的神秘面纱，从网络分段到策略优化再到DNS安全。不费吹灰之力就充分利用了防火墙的功能，Zeus在书中提供了合理、详细的建议。

最后，我们所有人都必须做好准备，抵御当下时代最恶劣的外部威胁——勒索软件。CSO高级作家LucienConstantin在《更具针对性、更复杂、更昂贵：为什么勒索软件可能是最大的威胁》一文中警告我们，勒索软件已变得如此隐秘和复杂，可以与高级持续威胁(APT)相媲美。此外，最近的安全事件也证明，勒索软件攻击者的目标已从勒索个体用户转移到了能够提供更多赎金的企业组织。这个问题有多严重?FBI表示，虽然事件数量一直相对平稳，但支出却更高。由于组织不愿报告勒索软件的勒索事件，因此没人真正知道具体情况。

网络安全可能是一门沉闷的科学。随着威胁的增加，甚至民主机构也受到攻击，似乎不仅是制度，而且文明本身也在受到围攻。但是在这种情况下，只能鼓励CSO及其企业组织加倍努力地开发出更为先进的安全防御体系。