随着病毒、病虫(worm)与入侵攻击的演化,因安全措施不当导至的成本支出也在过去五年来每年成长一倍。而一般企业最常见的作法便是不断加码添购安全技术,但最后往往还是不敌黑客或恶意攻击的病毒程式。而到头来只见安全预算节节上升,IT部门却束手无策。
IT安全说穿了就是消弭组织的风险。不论是民间或政府部门都不可能在安全上无穷尽地投入资源,尤其在目前的经济环境下。
但许多企业依然执意测试并修补一些没有立即危险性的漏洞,或者即使已经有相当好的防护措施,但由于不晓得真正的危机在哪,因此还是投入太多心力在电脑相关的漏洞中。
企业/组织应停下来仔细思考下列三个风险因素:威胁、漏洞与成本。
威胁指的是潜在入侵的频率,例如,员工利用同事电脑抓取机密档案的威胁机率为平均每天千分之四;一家拥有千台电脑的组织,每天遭病毒入侵的机率是136次;“攻击类”扫瞄的威胁率则是每个IP每天17次;这些数据还会随着组织的所在地理位置、政治因素或其他因素而有所不同。但一般公司并不需要成为风险专家,只需知道潜在威胁率即可。至于永远不会发生的威胁就不用理会了。
我对漏洞的定义是指某一威胁在一家组织中的实际成功率。多数威胁只会对特定类型的电脑造成影响,企业通常也会有某种程度的保护措施,即使这些控制措施在个别上并不尽理想,可能只有八成效果,但这样还是足以提供相当坚强的防护功能。
因风险产生的成本可分成两种,一是“硬钱成本”(hard-dollar costs),主要衡量实际销售损害、现金损失以及IT人员投入修护的时间与资源;第二则是软钱成本(soft-dollar cost),这包括开会、使用者生产力、公共关系、灾害控制、以及大众信心降低或商机消失等间接损害。
这三者缺一不可,否则称不上对组织有立即风险,此一方法可消除不必要的安全支出,同时也可以利用既有人力与资源作更好的防护策略。
例如,企业层级内建消除漏洞机制已经使得微软半数以上的“危急”修补程式变得多此一举。若你还有过滤程式、网络布局、设定,或其他任何针对特定风险所设置的控制选项,那你还可延后、甚至消除50%至70%的修补程式。
更大的教训是,若我们以汽车来做比拟,公司/组织应该有煞车、安全带与方向盘,而不是加了防锁死系统、防滑煞车,却搭配非动力方向盘系统等。最佳范例永远比不上一套经过全面风险评估的作法来得务实与可行。
企业/组织若能停止盲目遵循安全教条、整天追着漏洞跑、或时时认为要添购先的安全装置,那么就可防止许多真正具有威胁性的攻击。无止境的花钱作安全防护并不能达成真正的安全。你必须针对核心问题进行理性而务实的处理。(完)
