现在的情形与过去可是大不一样了。
网络连接正在驱保移动性、网上交互和协作越来越强。网络沟通现在成了商业的基础。公司雇员很分散,他们在多个地方使用多种设备和应用程序。协作能够让工作效率迈上新的台阶,而最终用户和公司企业之间的界限随之模糊起来。交易事务以及它们包含的敏感信息都在网上传输。在这样一个新的Web 2.0世界,人们成了边界。
遗憾的是,诸多黑客和网络犯罪分子也在这个新的领域“与时俱进”。如今的攻击者们是越来越狡猾、越来越有组织性。实际上,他们已经开始采用类似传统软件开发和商业惯例的手法。随着安全措施开发出来并加以部署,从而保护计算机、保护存储在计算机上面及通过其传输的数据,攻击者也在相应改变新的手法和策略,以便规避这些安全措施。
另外,随着攻击活动变得更加以牟利为动机,攻击的许多方面都变得职业化和商业化。从许多方面来看,如今的攻击工具体现了一种繁荣的地下经济,需要专门工具才能满足这样一个暴利行业的要求。
更糟糕的是,来自外部的威胁只是问题的一方面。许多企业还容易受到来自组织内部的威胁的攻击:无论是心怀不满的雇员窃取敏感的客户信息,还是注意力分散的承包商弄丢了里面装满机密但未经加密的信息的笔记本电脑。
显然,在这样一种高度互联的商业世界,昔日的安全方法再也不管用了。随着从事交易的新方式随着Web 2.0出现在世人面前,我们必须采取下一代安全方法,才能确保企业安全进入更明智的一个时代。不妨称之为安全2.0(Security 2.0);这种不断进化的安全方法不仅仅致力于保留系统、把黑客拒之门外;还致力于保护信息和联系的安全。它采取了一种更加动态的视角来看待安全;许多技术和流程可以根据设备、人员和应用程序的声誉或者行为,进行相应调整。策略驱动安全2.0;技术实现安全2.0;操作加强安全2.0。
保护策略
从设计上来说,安全策略记录了一家组织用来定义所需安全基本级别的诸多规则。在Web 2.0世界,安全策略必须不但致力于保护设备,还要致力于保护信息安全。毕竟,组成IT基础架构的诸多设备和系统的主要目的就是,传输及控制一家组织当中最宝贵的资产:信息。
因而,安全策略必须帮助一家组织管理及控制出入内容,从而保护它们、以防有人无意或故意分发;或者以防有人访问机密及敏感的信息。为此,市面上各种各样的解决方案,让组织能够知道自己的信息在何处、制订访问信息的策略、过滤电子消息中的敏感内容,以及管理和控制数据库泄露风险。结合雇员安全教育和安全意识加强,这些解决方案就能防范数据丢失。
安全和风险
如今的攻击越来越狡猾,这就需要更具可扩展性的安全方案。如今,企业需要积极主动的安全措施,能够灵活应对,以防范某家组织面临的最直接、最紧迫的风险。比方说,虽然几年前,传统的反病毒软件、反间谍软件及其他基于病毒特征的保护措施(它们主要是被动型的)可能保护组织的重要资源很有效,但面对Web 2.0世界,它们需要结合更加积极主动的基于行为的技术。
一种更加有效的安全方法需要兼顾各种各样的考虑因素:从与威胁有关的风险级别,需要保护的信息,直到企图访问组织的系统和信息的那些人其声誉如何。在安全2.0环境,积极主动的技术可自动分析应用程序的行为和网络通信,从而检测及阻止可疑活动;而设备和应用程序控制功能让管理员可以拒绝被认为高风险的设备和应用程序的某些特定活动。这些下一代技术甚至还能够根据用户的位置来阻止某些动作。更棒的是,不符合安全策略的端点设备会自动得到补救,从而进一步保护了公司的信息资产。
标准的操作程序
也许安全2.0需要的最重要的其中一个变化是,需要把安全变成一种标准的业务流程。传统的企业安全方法调动的是组织当中各自独立工作的单个部门,往往使用没有联系的流程和技术;而下一代安全策略结合了标准安全和数据管理,从而把安全融入到了组织的业务流程当中。然后,这些流程实现标准化和自动化,不但可以降低日常安全活动的成本,同时还提供了更加积极主动的保护机制。
由于在连接性和协作性越来越强的Web 2.0环境下,企业面临来自内外的威胁,所以需要一种新的方法来保护信息和联系。
安全2.0就代表了安全的未来。它有望让组织不但能够保护信息资产、避免越来越多的威胁;还能够充分利用互联环境下出现的新机会。这种新的保护方法使安全的角色从仅仅锁定系统,变成了有助于保护用户和信息。
在Web 2.0世界,进化和动态的安全2.0确实必不可少。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
安全自动化是企业安全“一劳永逸”之法吗?
有时候安全团队似乎过分依赖于“一劳永逸”的安全机制,而没有足够的安全专业人员提供人性化的分析和判断。在这方面,安全自动化的风险是什么?企业如何利用安全自动化的优势,而确保自己受到保护?
-
企业安全防护:防御未知威胁的能力是关键
网络威胁形势只会变得更为严峻,为了在资源有限的情况下最大程度的保护企业安全,部署能够防御未知威胁的产品是摆在企业面前一个重要的课题。
-
雇佣前黑客:这是企业安全的解决之道吗?
如今有些企业开始雇佣更多的黑客来帮助他们改善安全态势。虽然黑客拥有很高的技能,但这真的是好主意吗?这一战略的利弊是什么?真的有道德黑客吗?
-
人工智能会让安全更好还是……
尽管由狭义的AI进化到真正的人工智能还需要加以时日,但可以肯定的是,AI会让安全变得更简单,这对一直想解放人力物力财力去专注业务创新的企业们来讲无疑是值得雀跃并期待的。