2014-《互联网时代的企业安全发展趋势》

互联网时代的企业安全发展趋势第1期 2 2020 年预防将失效：通过普遍监控和集体情报保护信息 11 中国企业安全现状分析 23 企业安全解决方案 28 关于 360 互联网安全中心专题调研报告，调研机构： 2 来自 Gartner 文件： 2020 年预防将失效：通过普遍监控和集体情报保护信息有针对性的高级攻击将使以预防为中心的战到 2018 年，80% 的终端保护平台将包含用户略过时。2020 年，我们需要向以信息为中活动监控和入侵取证功能（2013 年不足 5%）。心和以人为中心的安全战略转变，再结合内部普遍监控和安全情报分享，才能确保企业安全。简介 2020 年，企业的外部威胁会产生多种可能的情景，这取决于攻击者直接针对的是企业资重大挑战产还是个人。这种差异会因为对这些攻击做 • 信息安全无法再预防有针对性的高级出的响应而进一步扩大 — 无论其是协调统攻击。一的机构还是分散的、有组织集团倾向的机构（参见图 1，“2020 年安全和风险管理情景 • IT 部门将无法掌控用户使用的大多数用户设备或服务。 • 在预防攻击方面投入的信息安全支出过多，而在安全监控和响应能力方面的投入不足。 • 如果不对关于威胁和攻击者的情报进行集体共享，单个企业将无法进行自我防卫。建议 • 立即启动一个项目，以了解企业中哪些部门负责创建、移动、转换、存储和存档敏感信息。利用所了解到的情况将投资按优先顺序进行排序。 • 构建普遍监控。为未来五年逐年加强监控而编制预算，增强监控技术的深度和广度。 • 在事故响应能力方面进行投资。设定一个流程来快速了解已检测到的违规行为的范围及影响，并为该流程配备员工。 • 向安全解决方案提供商提供大量企业的大致情况，使之了解威胁和攻击者的情况。规划”、“在未来情景中优化安全控制的四大战略”、“有控制地释放个人数据”以及“加大业务持续性管理力度，以应对‘联盟规则’ 情景”）。不过，各种情景中都存在以下三大主要趋势： • 持续性危害。有针对性的高级攻击将会继续增加，它们会绕开传统的保护机制，在更长的时期内始终不被发现。因此，在所有情景中，必须假设系统和个人都会受到危害。 • 出于财务目的的攻击。大多数情况下，针对企业和个人的有针对性的高级攻击都在试图盗取敏感信息 — 客户信息、信用卡数据、商业机密、配方、流程、计划、价格和类似知识产权。在某些情况下，其目标是通过进入关键系统或者使业务流程中断来给目标企业造成经济损失。 • IT 部门将失去控制权。IT 部门越来越无法直接掌控用户所使用的用户设备或服务，这限制了 IT 部门实施“侵犯性”控制手段的能力。消费化和“携带个人桌面”程序战略规划设想以及基于云的服务的使用量的增大趋势共到 2020 年，60% 的企业信息安全预算将分同创造了一种计算环境，在这种环境中，配到快速检测和响应方法方面（2013 年不足 IT 部门将失去对所使用的消费设备和服务 10%）。的控制。 3 图 1. 2020 年 Gartner 安全情景有组织集团倾向机构邻里监督联盟规则企业个人目标控制型家长式可控风险统一信息来源：Gartner（2013 年 5 月）总之，这些大趋势将在信息安全组织、流程和战略方面引发多方面的转变（我们将在此研究报告中讨论这些转变）： • 在 IT 堆栈结构中，将安全保护提升到保护信息（而非保护系统）的高度 • 从以控制为中心的模式向以人为中心的模式转变 • 使流程和开支朝着持续监控和普遍监控的图 2. 典型的 IT 堆栈人员流程应用程序和服务目标转变工作区 • 朝着利用集体情报和信誉服务的目标进行转变分析向以信息为中心的安全战略转变考虑典型的 IT 堆栈（参见图 2）。 2020 年，企业 IT 部门将不再掌控设备，在使用基于云的服务时，它们可能会也可能不会控制最终用户使用的网络、服务器、操作系统和应用程序。2020 年，IT 部门可以真正直操作系统网络硬件信息来源：Gartner（2013 年 5 月）信息 4 接控制的还剩下什么？答案是信息本身。在信息的媒介（例如，网络基础设施和终端）大多数情况下，信息必须成为信息安全战略到保护数据和信息本身的转变的需要，将是的焦点。所有情景中最重要的转变。这是一种朝向信息安全的基础的回归，因为如果攻击者把企业系统作为目标，信息安全信息安全的目标始终是保护信息的机密性、战略将需要关注那些用于访问、处理和存储完整性、真实性、可用性和实用性，以及保信息的企业系统。具体来说，这包括增加在 1 护对信息的访问。对于许多企业来说，对设应用程序安全方面的投资，例如，应用程序备、应用程序和服务器的控制和加锁是达到安全扫描仪、应用程序安全防火墙、数据库目的的一种手段。为了实现保护信息的目标，审核和保护、文件共享监控和保护以及企业我们利用设备所有权，通过加锁和控制来保内容管理系统的保护（包括诸如 Microsoft 的护信息。但是，这会把加锁、所有权和控制 SharePoint 之类的平台）。基于云的服务中的等同于信息安全，将手段与最终目标混为一企业信息可以通过加密技术来保护，也可以谈。所有权和严格控制代表着信任。在未来，通过使用云入口安全代理（请参阅“云入口当 IT 部门越来越无法掌控或控制技术的使用安全代理越来越重要”）的令牌化进行保护，或发送时，人们就需要使用新的信任模型了。或者使用专为信息保护和云加密网关设计的信息安全战略需要从自下而上的设备和以网特定平台（请参阅“2012 年云安全的技术成络为中心的战略，转变为自上而下的以信息熟度曲线”）进行保护。在这些情景中，我们为中心的战略，且该战略注重信息本身（参的保护工作集中在图 5 的左半部分。见图 3）。如果攻击者以个人为目标，信息安全战略将根据实际发生的情景是四种情景中的哪一种，需要更加关注消费方面，即保护最终用户设攻击者将更改他们攻击信息的目标和方式（参备上的信息（无论是企业拥有的信息还是个见图 4）。无论如何，从保护用于保存和传输人拥有的信息）。有一种简单而笨拙的方法会图 3. 自上而下的以信息为中心的安全模式人员信息自上而下 — 以信息和流程为中心，“可共享性” 流程应用程序和服务工作区操作系统应用程序、数据库、文件共享和协作系统都是储存和处理信息的容器。企业不能处理好将敏感信息放在何处的问题。需要进行信息生命周期保护。网络硬件信息来源：Gartner（2013 年 5 月）自下而上 — 设备和操作系统定位，“加锁” 5 图 4. 信息安全战略的不同重点保护企业系统对信息的访问保护个人和设备对信息的访问目标个人企业监控用户活动和信息使用监控对企业系统和信息的访问信息来源：Gartner（2013 年 5 月）图 5. 以企业为中心的信息保护模式与以个人为中心的信息保护模式比较以个人为中心以企业为中心 Web 应用程序设备加密传统应用程序 VDI 和远程查看器数据库 eDRM? 文件共享 SharePoint 和其他内容门户信息来源：Gartner（2013 年 5 月）移动操作系统和 Windows 容器 6 加密整个设备以防设备丢失或被盗，但是这从以控制为中心的安全模式转变为以人为种方法对有针对性的高级攻击毫无作用，因中心的安全模式为这种高级攻击进行的是基于凭据的访问。到 2020 年，针对信息安全的传统的技术性方另一种方法是将企业内部的信息以及处理信息的应用程序保存在一个中央位置，使用托管虚拟桌面 (HVD)/ 虚拟桌面基础设施或类似的技术，向最终用户远程呈现信息。同样，使用远程查看器应用程序也可以获得相同的最终结果，无需传输整个桌面，只需查看文档（请参阅“如何控制文件同步服务并防止企业数据泄露”）。法（以控制为中心）将被淘汰。2013 年，这种方法就已经越来越难以维持下去了。最大的难题是：这种方法试图使信息免受由合理访问信息的人员造成的蓄意损害或意外损害，同时又设法最大限度地减小对效率和灵活性产生的消极影响。IT 交付模式的多样性和复杂性以及数据量的剧增，使针对安全问题的传统方法站不住脚。以人为中心的安全模式 (PCS) 创建了一种现代、高效、侵犯性小且成如果允许将企业信息存储在本地设备上，则本较为低廉的安全模式，可以替代传统的“加针对移动和非移动系统，将出现用于特定于锁”模式。应用程序和独立于应用程序进行控制的解决方案（请参阅“用于企业数据管理和安全的移动应用程序容器的技术概述”）。此时，将使用加密技术单独保存潜在的敏感企业信息，以实现逻辑隔离，这将使删除数据就像废除密钥一样简单。 PCS 是一种针对信息安全的战略方法，强调个人的责任和信任，不再强调限制性和预防性的安全控制。PCS 以一套主要原则和个人的权利及相关责任为基础。PCS 的前提是员工拥有一定的权利，但这些权利是与特定责任相连的。这些权利和责任建立在以下理念的基础建议之上：如果个人没有履行自己的责任或者其 • 从传统的方法转变为开始使用信息生命周行为方式没有尊重其同事和企业的利益相关期方法，通过确定在企业用户和系统中创建、操作、转换、存储和存档敏感信息的位置，来保护信息。者的权利，那么这些个人将受到处罚。这种权利和责任的紧密结合在员工之间创造了一种集体的互相依赖性，利用了公司内的 • 假设到 2020 年大多数设备和服务都将现有社交资本。PCS 原则侧重于运用检测性不受信任，从信息层级开始设计保护措及反应性控制以及透明的预防性控制，而不施，一路向上兼顾各层级，直至消费系统侧重于运用侵扰性的预防性控制。同时该原或服务。则还假设个人拥有适当的知识来了解其权利、责任和相关决策。 • 不要对所有应用程序和系统采用相同的保护级别。根据应用程序和系统保存的信息在情景规划象限中，只要目标是个人，就适的敏感性和关键性以及这些应用程序和系合运用 PCS 原则。在控制型家长式情景中，统所