大家的安全管理政策及规程是否真的能够提升安全水平，或者说您所在的企业仅仅关注恶意软件、却忽略了人为因素在安全保障工作中的重要作用?要在这么多因素之间取得平衡绝非易事，而众多企业也在不断探索最理想的可行途径。

最近美国各大企业及组织机构遭遇的一系列数据泄露事故给我们提出了新的挑战——即现有安全工具及解决方案在应对新兴威胁时是否仍然具备效力?

私营与上市企业在过去十年当中耗资数百亿美元来提升安全水平，然而恶意攻击者们仍然能够突破重重阻碍，顺利完成自己邪恶的预期目标。

这一趋势使得很多企业开始尝试一种新的基础性处理方式，即将关注重点放在人、流程以及技术身上。相较于单纯将安全功能作为企业运营工作中的一类令人头痛的成本支出项目，如今越来越多的企业开始将其作为值得大力推动的战略性新举措。

“安全与产品开发这两类工作并非互相排斥，”万事达卡首席信息安全官Ron Green指出。“我们并不会把安全看作一种独立的职责，而倾向于将其与业务运营相结合。”

具体来讲，万事达卡的安全专家们开始积极吸纳其他关注于实现身份验证创新成果的团队，包括来自万事达实验室以及新兴支付与企业安全解决方案部门的成员，Green解释称。此举旨在从长远角度进行产品管理，并利用安全机制强化持卡者的使用体验。

“我们的高管团队希望我们能够将安全机制渗透到每个角度，并将作为标准化实践流程，”Green表示。而且虽然这类实践可能会让项目的日程表排得更满，但却绝对物有所值。“安全目前已经成为拉拢客户的一种有力筹码，而且每家企业都希望手握这一筹码，”他解释道。

IT领导者们应当从以下五个关键性角度出发，切实提升安全体系的保护能力。这些措施的具体实现方式可能会根据大家的实际思路及运营能力而有所变动，不过用户及从业专家一致认为，最重要的是专注于更高层级的发展目标。

1. 强化网络边界保护

边界保护技术，例如杀毒工具、防火墙以及入侵检测系统，长久以来一直被企业作为安全战略中的首要实施方案。它们通过对特定的标记或者签名进行比照来识别出已知病毒或者其它类型的恶意软件，而后对包含恶意内容的程序加以阻断。

过去几年以来，各公共与私营组织都倾向于利用更多边界安全保护工具来维持稳定，而不愿接纳更多其它安全产品类型——然而事实表明，分析人士普遍提醒称单靠边界防御机制已经不足以保障系统安全。

而残酷现实也告诉我们，已经有多家大型企业遭遇严重的数据泄露事故，这意味着基于签名的边界保护工具在对应当前恶意攻击者所普遍使用的高针对性入侵手段时表现并不理想。几乎很少会有企业准备放弃传统边界保护技术，相反绝大多数企业继续坚持将其作为主要甚至是惟一的防御手段——但这是远远不够的，IBM公司安全研究员Marco Pistoia指出。

“网络攻击活动的各种最新征兆证明，攻击者们如今几乎已经能够绕开任何类型的物理限制手段，”Pistoia表示。“基于边界保护设计思路的防御方案虽然仍很必要，但却无法真正保证计算系统的安全。”

从战略及战术角度来看，企业必须将边界防御机制视为安全链体系中必要的组成部分之一——注意，只是之一，他强调称。

同样重要的还有模式识别与预测分析等工具，它们能够帮助企业建立起以正常网络活动为参考对象的基准，而后借此揪出各种不符合常态的活动。正如我们需要利用网络防火墙来将已知威胁阻隔在边界之外，Web应用防火墙能够帮助我们找出那些已经突破了边界的恶意软件，Fenwick &West公司CIO Matt Kesner表示——这是一家位于加利福尼亚州山景城的法务企业。

“在技术层面，我们仍然需要将大量时间与资金投入到边界保护方案的研发当中，”Kesner指出。但除了坚持使用以签名为基础的网络边界阻断功能，Kesner还在网络中的各个层面构建起冗余恶意软件阻断系统及防火墙，其中包括该公司的Web应用程序服务器。Fenwick &West公司利用一套日志事件协调系统帮助IT部门对日志记录进行收集、整理与分析，并为网络中全部设备上的信息设定管理规则。

Kesner还部署了多款来自利基供应商的产品，旨在提供各类专项功能，例如搜索可疑的权限提升活动并寻找与隐藏极深的网络潜伏者相关的证据。“我们将大量时间投入到确保边界方案能够如预期般顺利起效方面，”Kesner表示。“我们假定信息泄露事故必然发生，并希望能够从这个角度出发更好地加以预防及应对。”

最近几年新近出现的一类产品正是所谓“杀链”工具。Palo Alto Networks等多家厂商都在推出此类方案，这些系统不仅能帮助企业客户揪出恶意软件;它们还能支持企业监控黑客利用恶意程序出入网络环境的具体方式，并收集相关信息以帮助用户彻底消除安全威胁。

大部分此类工具都基于这样的设计前提，即个别黑客及黑客团体通常会在攻击目标的过程中使用同样或者类似的恶意软件工具，并遵循同一套行为模式。有鉴于此，通过识别攻击活动背后的个体或者黑客团队，我们就能更轻松地构建起足以应对其所使用的特定工具以及攻击手段的防御机制。

2. 建立检测与响应能力

时至今日，绝大多数针对企业的攻击活动都来自有组织的犯罪团伙或者由国家作为背后支持者。过去那种随机且漫无目的的攻击活动已经日渐减少，现在我们需要认真考虑的是那些经过精心设计，旨在窃取商业信息、偷盗知识产权、窥探商业机密及财务数据的恶意活动。相较于以往那种哪痛医哪的思路，如今我们应当高度重视那些表现得非常低调，而且倾向于一点点慢慢获取数据的攻击行为。事实上这帮黑客变得极有耐心，他们可以拿出很长时间逐渐拼凑出自己想要的信息。

在这样的环境当中，任何安全战略都应当做出针对性调整，特别是将检测与响应机制纳入预防工作并作为重中之重。

“以静态规则与签名为基础的预防性工具无法阻止那些熟悉环境且水平高超的攻击者们的恶意入侵，”RSA技术解决方案主管Rob Sadowski——RSA为隶属于EMC的安全事业部。因此最重要的是重视早期检测与响应工作，从而确保入侵活动不会给正常业务造成影响或者损害，他表示。

为了推动这一变化，IT领导者需要利用各类工具让自己拥有更为透彻的审视角度，从而准确把握当前基础设施当中发生的一切状况，Sadowski指出。

举例来说，我们有必要将网络数据包捕捉与端点监控技术引入到现有以日志为核心的监控机制当中，从而保证安全管理员能够对攻击者的一举一动拥有更为明确的了解。

利用身份管理、身份管控以及行为分析工具，我们也能够更加深入地了解验证凭证与用户身份所受到的危害并阻止由此导致的进一步影响，Sadowski表示。

万事达卡的Green指出，企业需要制定多层解决方案来实际安全保障。“如果大家只从一种角度出发审视问题，则明显无法涵盖自己需要了解的各个方面，”他指出，这里强调的当然是那些单纯依赖基于签名的边界安全方案进行自我保护的企业。

多层解决方案中应当包含一套用于对抗内部攻击活动的机制，并将其提升到与防范外部攻击同样的高度之上。“内部威胁通常更具挑战性，”Green解释道。“因此大家应当制定一套强大的分层安全规划，利用其同时解决内部与外部威胁，并保证自身能够快速识别并纠正刚刚出现的异常状况。”

3. 安全代码开发

存在漏洞的Web应用程序通常给黑客们留下了可乘之机，使他们得以侵入企业内部并访问网络及数据，因此消除漏洞就成了确保数据完整性与保密性的重要前提。

常见且广为人知的安全漏洞包括SQL注入错误、跨站点脚本漏洞、存在缺陷或者损坏的难及会话管理功能，这一切已经让无数企业成为恶意攻击的受害者。不过在最近的几波针对大型企业的入侵活动中，我们发现真正能够解决问题的仍然是提高应用质量——换言之，使用更为安全的代码。

“如果大家着手开发一款应用程序，那么同时也有制定与之相关的安全预期，”Green表示。“大家还需要对自己的供应商设定安全预期，毕竟我们购买的技术方案完全由他们一手开发，而我们的安全与隐私保护也会与其产品密切相关。”同样的道路，供应链合作伙伴与其它产品及服务供应商也应该接受同样的要求，他补充称。

强化计算系统中的软件组件绝不是项简单的工作，因为安全漏洞往往深深隐藏在代码当中，IBM公司的Pistoia指出。为了防止应用程序受到攻击，进而保障数据完整性，企业必须将安全环节引入到软件生命周期的每个阶段当中，并部署各类必要的代码审查实践，他强调道。

对于很多大型企业，手动代码审查会带来极为高昂的成本。因此我们可以选择另一种具备可行性的替代方案，即针静态与动态程序分析机制加以结合，同时配合代码分析流程从而在应用程序开发内部实现自动化代码审查。

“高级应用开发系统如今已经能够对每一次提交内容或者以周期性方式检查应用程序代码，”Pistoia表示。这类方案可以帮助开发人员了解自己编写出的代码中存在哪些问题，及时做出修正并持续追踪，他补充道。

“应用层已经成为网络安全战场中的最新阵地，因此除了安全团队之外、开发及系统开发生命周期队伍也需要对其给予高度关注，”Viewpost公司总顾问兼首席安全官Chris Pierson表示——这是一家在线发票与支付平台供应商。

他提到，对于静态及动态代码的审查已经成为产品开发流程中的必要环节，并补充称IT喜剧之王人正投入大量精力解决Open Web应用安全项目中所提出的十大安全风险。

更重要的是，不断普及的DevOps实践给了各类企业一个将安全整合进软件开发生命周期各个阶段当中的绝佳机遇。“安全正是DevOps实践的最佳推动力之一，”DevOps.com网站主编兼信息安全专家Alan Shimel强调称。

开发与运维团队需要意识到，安全问题人人有责，而且应当在产品生命周期之初就将控制手段集成进去。另外，我们还需要进一步对现有方案的安全重视水平加以提升，他指出。“我们目前还处于大多数企业需要努力向员工强调安全性的重要意义以及DevOps对安全性的提振作用的阶段，”Shimel表示。

4. 重视人为因素的影响

近年来有不少重大攻击活动在初期都表现得人畜无害，而攻击者们会伪装成合法用户使用必要的登录凭证访问网络，例如员工、业务合作伙伴或者供应商等等。黑客们拥有高超的社交工程技术以及经过精心设计的网络钓鱼邮件，能够借此获取到用户名及密码并顶着其身份访问对应企业网络，而后再利用这一立足点搜寻并访问关键性业务系统及数据存储内容。

这种战术可谓屡试不爽，倒在其面前的知名企业包括Target、Home Depot以及美国人事管理办公室等等。面对这一严峻现状，各组织机构开始抓紧时间对员工及其他授权用户进行培训，帮助他们更加透彻地了解现有安全风险，从而确保其能够识别并抵御这类潜在威胁。

“员工需要切实了解自身在保护企业资产当中所扮演的重要角色，”万事达卡的Green强调称。

在多数情况下，访问企业数据的用户并不会意识到自己作为个人对所访问资产承担着保护义务。而为了鼓励这部分用户积极接纳这样的业务系统维护责任，Green表示万事达卡“建立了一套学习文化，这样我们就能够定期对员工进行培训，帮助他们了解自己该如何保护资产安全，特别是在新兴威胁不断涌现的当下。”

作为这项工作的一部分，万事达方面将传统培训手段与Green所说的“寓教于乐”机制加以结合，从而向员工传达最为重要的信息。“因为犯罪分子们变得越来越聪明，所以我们必须得抢在他们前头培养安全与保护意识，”他表示。这一思路旨在为员工留下深刻的印象，强调他们属于安全团队的重要组成部分——即使不会有人直接向他们汇报当前安全状况。

“如此一来，我们的安全体系中已经开始出现各类极具创造力的实现途径，”Green指出。他同时表示，目前公司开始推行名为SafetyNet的安全项目，旨在保护自今年10月以来持有万事达卡的用户们的数据安全。

5. 保护业务流程

即使拥有了最出色的安全技术手段，企业仍然有可能被糟糕的实践方式与流程执行水平所拖累。为了避免这类状况，Fenwick &West公司的IT部门开始推行被Kesner描述为针对管理政策与执行流程的一系列大大小小的调整工作，旨在利用新模式处理敏感数据。

举例来说，过去这家法务企业的管理政策要求对往来客户数据尽可能全部进行加密，但现在这已经成为一条不容商量的硬性规定——必须加密。Kesner的团队还推行其它一些新型管理政策，旨在确保企业存储区域网络当中正在使用以及处于闲置状态的数据都经过加密处理。企业当中所有笔记本电脑及台式机中的敏感数据都需要经过加密，而IT部门则每六个月定期对这方面工作进行审计与测试。

这家法务企业还引入了第三方及安全厂商定期进行渗透测试与模拟攻击，帮助其寻找还有哪些漏洞可能引发安全风险。“在严格的保密协议的要求之下，我们请安全工程师进入内部环境，并对业务流程中的每个环节进行渗透测试，”Kesner指出。在此之后，IT团队会要求安全厂商出具一份包含五项改进举措的名单，帮助其进一步完善现有安全管理政策。

Fenwick &West公司目前要求所有合作伙伴必须以书面形式披露其安全实践的完整细节，并正式认可其了解并遵循这家法务企业所做出的一切安全政策及执行流程规定。各合作伙伴必须采用基于令牌的双因素身份验证机制，以配合用户名及密码一同访问Fenwick公司的业务网络。

目前很多企业都在采取类似的处理办法。网络安全已经成为首要任务之一，而企业中的领导团队以及董事会也认清了这一现实。”董事会希望并要求了解公司当前的网络安全水平，以及立足于控制、治理以及运维角度的具体定位，”Viewpost公司的Pierson解释道。

“如果大家希望留住客户并取得他们的信任，那么安全与隐私保障成效将成为我们企业文化及价值主张的有力基础。”