安全高管人员的观念与网络空间安全的现实差距,正在不断的扩大。
这并非危言耸听。思科上周发布的《2015年度安全报告》显示,90%的接受调查者声称他们对未来的安全工作持乐观态度,与此相反的是54%的人报告他们的企业被入侵。实际上,现在的攻击者越来越狡猾,攻击手段也越来越高端精密。该调查报告的调查对象为9个国家的1700名信息安全官和安全管理人员。
补丁灾难
不到50%的人表示,企业使用诸如补丁更新、渗透测试、终端鉴定或漏洞扫描等标准安全工具,但威胁就在其中。拿补丁更新来说,浏览器的更新是经常性的,以防止最新的恶意或漏洞利用软件。但实际上只有10%的公司,其浏览器更新到了最新版。即使是在每次启动后自动更新的Chrome浏览器,官方也表示只有64%的用户使用着最新的版本。一个可能的原因是,好多用户并不关闭计算机,自然也没有重启。
还有一些情况更加无奈,比如在医疗机构,如果你的软件版本合规,那升级软件就是不可以的。
令人难以置信的是,即便从事IT行业的人几乎都听说过心脏滴血,但还是有56%的SSL版本用的是至少四年前的,仍然没有打补丁。
补丁问题是一个大问题,首先在复杂的大型IT系统中,打补丁就是一件极度困难的事,因为需要暂停服务。再者,有些补丁来得很晚,甚至有些软件已经不再有补丁更新。
“我知道有些企业还在使用Windows NT,那是没有补丁的。”--思科首席安全官 约翰·斯图尔特
最后,一个足够复杂并有着多家软件供应商的系统,需要打的补丁可能会让企业应接不暇。
职业化的攻击策略
攻击者的策略愈加以利益为导向,并呈职业化趋势。拿垃圾邮件来说,其规模去年增长了250%,正是因为垃圾邮件的发送者改变了他们的策略。之前的垃圾邮件发送策略是从几个账户中发送海量邮件,但现在则是从海量账户中发送海量邮件,分担了垃圾邮件的发送负载。同时,发送者还会跟踪邮件的发送接收状况,不断地调整邮件内容,以更好地避开邮件过滤系统。
同样,2014年的恶意广告也增加了250%。
恶意广告的发布者也会使用各种策略,包括真正的花钱购买广告位。于是,这些含有恶意代码的广告出现在正规的网站上,极大的增加了防护难度。尤其是对于那些浏览器版本陈旧的企业,难逃其手。
与攻击者“与时俱进”的攻击手段相比,显现出防守一方的巨大落差。
幸运的是,我们还有弥补的机会。已经有企业在选择技术供应商时,关注他们的安全问题。供应商的安全水准已经开始成为一个有力的竞争因素。此外,安全也越来越受到管理层的重视。许多大公司的董事会在作决策讨论时,往往都会针对安全威胁提出疑问并要求可靠的支持。
希望一切还不算太晚。