數字化轉型面臨的4大安全挑戰

Maria Korolov Charles

增強網絡安全成為啟動數字化轉型項目的推動因素。然而，實施過程中如果出現錯誤則會產生高昂的代價。

數字化轉型對于很多企業的長期發展至關重要，因為這可以幫助企業抵御敏捷的初創企業的沖擊，更好地滿足客戶期望，同時發現新機遇，降低成本。

此外，還有助于提高安全性。據451 Research公司去年年底進行的一項調查，49%的IT專業人士和業務經理表示，保護客戶數據是他們的主要轉型目標之一。

研究公司Lucid今年夏天對IT領導進行了一次調查，49%的IT領導表示，更好地保護網絡安全是他們公司尋求數字化轉型的原因之一。40%的IT領導表示，網絡安全是他們公司投資最多的數字化轉型領域。

發起此次調查的安全供應商Nintex公司的安全與合規主管Monica Bush評論說：“我們實際上看到有越來越多的IT領導通過數字化轉型項目來支持他們的網絡安全策略。”她說，這包括在員工上崗和離職期間保持清晰明確的訪問權限，甚至還有大型項目，在這些項目中跟蹤敏感數據的位置以滿足GDPR和其他合規要求。

此外，遷移到現代基礎設施（包括基于云的解決方案，例如，Office 365）通常僅依靠這些解決方案本身就能提高安全性。RiskLens公司的專業服務副總裁Chad Weinman表示，他最近為考慮轉向云供應商的大型企業進行了風險分析。他說：“我們越來越擔心停機和數據保護問題，因為我們的電子郵件環境不再是內部部署的了。但是我們發現，微軟對Office 365的管理往往遠遠領先于我們公司本身的管理，因此，總的來說，當遷移到云上時，實際的風險會降低，而不是增加。”

但是，專家指出，數字化轉型項目也可能導致企業環境可視化能力下降，人為檢查點減少，還會面臨新威脅。事實上，根據Fortinet最近的一項調查，到目前為止，安全是數字化轉型工作面臨的最大挑戰，85%的首席安全官和首席信息安全官認為這是很大的障礙。

普華永道的美國網絡安全和隱私主管Sean Joyce在最近的一份報告中指出，很少有企業能將網絡和隱私風險管理正確地融入到數字化轉型中。他說：“未來的贏家將是那些從設計階段到生產階段都建立在風險管理基礎上的企業。這是打造品牌的好機會。”

以下列出了企業在數字化轉型過程中解決安全問題時所面臨的4個重大挑戰。

數據、過程的可視化程度降低

據RiskLens公司的Weinman，當基礎設施由第三方托管時，企業不太容易控制自己所收集到的數據。他說：“如果把數據放在本地，可視化會很好，可以隨時控制任一點的環境，也能獲得很多信息。”他補充說，供應商可以提供一些控制和報告，但不如企業控制自己的基礎設施那么方便。

如果企業沒有提前計劃好怎樣管理新的基礎設施，那么在本地安裝新系統時，可視化也會成為問題。Digital Guardian公司高級威脅保護主任Will Gragido說：“每次遇到與資產狀態有關的不確定因素，或者將新軟件部署到該資產時，都會面臨風險。因為被攻擊的可能性變大了。”

例如，能夠在本地、混合或者云環境中運行的容器。Gragido說：“多年來，不能很好地保護容器一直是個問題。”

他說，有一個問題是安全不會產生收益。他說：“大多數企業并沒有從安全中盈利。因此，從歷史上看，大部分人最關心的不是安全問題，盡管這些年來安全問題有所改善。結果，在很多情況下，基礎設施成熟、建設和增長的速度都快于企業從安全角度出發所能應付的水平。”

當業務部門在沒有IT部門反饋的情況下購買新技術時，問題就加劇了。特別是云服務，不需要太多的技術就能夠快速、輕松地建立和使用。Gragido指出：“我已經看到業務部門開始著手建設自己的基礎設施。他們不想等IT部門了。這是一個老原則——不去申請許可，而是事后請求原諒。這會導致問題。”當企業甚至不知道這些系統存在時，那么對系統就會沒有任何可見性。

把人的因素排除在安全過程之外

企業中相當多的安全問題都是由員工造成的。他們進入交易時打錯字，忘記啟用安全控制功能，打開釣魚電子郵件，點擊惡意鏈接，他們落入騙局，他們不論在哪里都一直使用同樣不安全的密碼。

SecurityFirst公司的首席技術官Trevor Brown說：“通常，我們的網絡解決方案比人類更健壯，因為人類容易被操縱。”他補充道，人類其實也有很關鍵的常識，但是當過程完全自動化后，這種常識就沒用了。

舉個例子，就像SQL注入這么簡單的事情。人類能夠立即從代碼中識別出有效的提交表格，從來都不會覺得有問題，但是計算機只有在編程后才能做到這一點。他說：“我們看到一些問題，直覺地感覺到事情不對。機器不擅長這些。”

他敏銳地意識到這個問題，因為他自己的公司正在逐步提高自動化水平。他說：“我們現在用自己的產品來討論這個問題。我不能讓員工在一個高效率、低成本的環境中隨時待命。”

未知的未知

數字化轉型有時會帶來不可預見的新的攻擊載體。例如，使用Amazon S3存儲桶。便宜、方便、易于設置、容易實現安全——也容易意外泄露。

在過去的一年里，很多企業，包括幾家非常精通技術的企業，在亞馬遜上存儲的敏感數據都被泄露了，例如，埃森哲、道瓊斯、Verizon和軍事情報機構INSCOM。同樣的，Kenna安全公司的研究人員最近發現，企業由于公共谷歌組的設置而泄露了敏感的電子郵件。這些企業包括財富500強公司、醫院、大專院校和美國政府機構。

總部位于倫敦的身份認證技術供應商Callsign公司的首席執行官Zia Hayat介紹說：“谷歌的G套件是很多轉型公司在轉型過程中所采用的產品。事實上，上個星期我還在現場與使用G套件的客戶進行過交流。但是在這方面，由于缺乏持續的警惕性而出現了錯誤配置，導致不同行業的很多企業面臨數據丟失的風險。”

首席安全官該如何發揮作用

首席安全官在企業數字化轉型策略中發揮著重要作用。Hayat認為，提高效率的關鍵在于關注企業中最重要的問題。

Hayat說：“我是一名安全人員。我們一般習慣于用專業術語說話。但是你應該把一些清晰、具體的例子擺出來，這些例子不僅僅體現了技術，而且還能說明對企業的品牌會有什么樣的影響。”

他舉例說，泄露事件對企業市值的影響。他說：“你可以畫出一個簡單的圖表，說明Equifax的成本與市值的關系是什么，Target的成本是多少，臉書由于疏忽了消費者隱私和安全而導致市值有多大損失。這類成本一直在大規模增長。”

RiskLens公司的Weinman說，首席安全官既要有說服力，也不能過于危言聳聽。例如，太多的安全專業人員只關注與將數據和過程遷移到云中相關的額外風險，而沒有考慮這種遷移有哪些好處。

Weinman說：“這不是實際的分析工作，這是在散布恐懼、不確定性和懷疑，會讓首席安全官在業務部門那里聲譽掃地。但是，業務部門仍然會把項目進行下去，因為他們看到了價值、機會和成本節約——而首席安全官卻被邊緣化了。”

Weinman補充說，如果首席安全官能夠客觀地討論業務部門的風險和安全，那么他們就會更有影響力。他建議安全專業人員查看風險評估方面的國際標準，例如，FAIR風險評估框架。他說：“這與FUD無關，也不是說云是危險的，而是要幫助做出明智的決定。”