你的CIO是按季度批準(zhǔn)預(yù)算。而你�����,要經(jīng)營(yíng)整間公司���,所以�����,你會(huì)很自然地把用于IT安全的投入放到網(wǎng)絡(luò)安全領(lǐng)域�����。因?yàn)�,你覺(jué)得這是黑客猖獗的地方,是嗎?
對(duì)錯(cuò)分半�����。
大多數(shù)IT安全資源都側(cè)重于保護(hù)網(wǎng)絡(luò)設(shè)備不受黑客和泄露威脅�����。聽(tīng)起來(lái)不錯(cuò)�����,但事實(shí)真如此嗎?不過(guò)大多數(shù)企業(yè)都認(rèn)為黑客最想要的數(shù)據(jù)在數(shù)據(jù)庫(kù)和存儲(chǔ)服務(wù)器中��。
甲骨文周一出具了一份有關(guān)IT安全開(kāi)銷(xiāo)的最新研究���,該研究表明����,大多數(shù)企業(yè)正把IT安全資源分配到網(wǎng)絡(luò)設(shè)備上��,而不是保存著大量公司和用戶(hù)數(shù)據(jù)的服務(wù)器����。
有110家公司接受了甲骨文的調(diào)查——從金融服務(wù),政府機(jī)構(gòu)到高科技公司不等——約66%的受訪(fǎng)對(duì)象采用的是“由內(nèi)而外”的策略����,這樣的策略將大部分的資源都用于保護(hù)網(wǎng)絡(luò)層級(jí)。同時(shí)����,只有不到四分之一的員工和預(yù)算資源被用于保護(hù)核心存儲(chǔ)部件,服務(wù)器�,應(yīng)用和數(shù)據(jù)庫(kù)。
僅有一半的受訪(fǎng)者認(rèn)為數(shù)據(jù)庫(kù)是安全的����,因?yàn)閿?shù)據(jù)庫(kù)被深深嵌入周邊安全設(shè)備的保護(hù)之中。
Dropbox就是一個(gè)例子���。“被盜的密碼曾被用于訪(fǎng)問(wèn)員工的Dropbox賬戶(hù)�����,這些賬戶(hù)里包含帶有用戶(hù)郵件和地址的項(xiàng)目文檔�,”2012年Engineering Aditya Agarwal Dropbox副總裁在其博客中如是說(shuō)。黑客不是非得深度挖掘——他們只需手中的鑰匙進(jìn)入Dropbox就可以了��。
這還只是一個(gè)例子���。還有很多的數(shù)據(jù)泄露事故���,事實(shí)上都是由用戶(hù)密碼的疏忽導(dǎo)致,而并非黑客利用了公司系統(tǒng)的零日漏洞�����。
報(bào)告中還提到:
1.90%的受訪(fǎng)者稱(chēng)在過(guò)去12個(gè)月里����,對(duì)IT安全的投入都保持不變,或有所增加��。
2.40%的受訪(fǎng)者表示�����,不平衡和碎片化的保護(hù)方式����,使得營(yíng)業(yè),企業(yè)和用戶(hù)數(shù)據(jù)在面對(duì)威脅和內(nèi)部數(shù)據(jù)泄露時(shí)���,不堪一擊�����。
3.近乎三分之二的公司計(jì)劃在未來(lái)一年增加對(duì)IT安全的投資�。
4. 超過(guò)三分之一的企業(yè)是因新聞報(bào)道和負(fù)面消息而增加IT安全的投資�����,并非是因?yàn)閮?nèi)部識(shí)別出的威脅而增加投資�����。
甲骨文首席安全官M(fèi)ary Ann Davidson稱(chēng):“各組織不能繼續(xù)把錢(qián)花在錯(cuò)誤的地方���。當(dāng)攻擊者突破防線(xiàn)的時(shí)候,他們就可以通過(guò)尋找優(yōu)先的用戶(hù)訪(fǎng)問(wèn)權(quán)���,帶漏洞的應(yīng)用和過(guò)量訪(fǎng)問(wèn)的賬戶(hù),利用核心系統(tǒng)的薄弱環(huán)節(jié)�。”
“所以各組織應(yīng)該獲取最根本的權(quán)限——包括數(shù)據(jù)庫(kù)安全���,應(yīng)用安全和身份管理�。”
