勿讓安全成為“裹腳布”

多年以來，由于普遍缺乏專業(yè)的安全技能和人員，許多中小型企業(yè)都在安全問題上苦苦掙扎。幸運的是，已有的和新出現(xiàn)的一些技術(shù)和工具可幫助企業(yè)簡化繁重的安全任務(wù)。

減少安全復(fù)雜性的可能性、技術(shù)、工具

如今，企業(yè)面臨的威脅可謂此起彼伏，而其必需保護的數(shù)據(jù)和設(shè)備數(shù)量卻在與日俱增，因而有人甚至會懷疑簡化企業(yè)安全是否現(xiàn)實。雖然為實施和管理新的工具，企業(yè)需要考慮適當?shù)念A(yù)算和實際的可用技能，并且購買和整合簡化安全的工具需要戰(zhàn)略眼光，但仍存在簡化的可能性。

以前，許多企業(yè)相信其目前的運作模式是最經(jīng)濟實惠的，這是因為即使遭到攻擊和損害，其造成的代價也要比花錢購買新產(chǎn)品、請顧問、買服務(wù)等更便宜。當然，這是以人工過程的緩慢笨重為代價的，而且此模式也不滿足不斷發(fā)展的環(huán)境，特別是BYOD迅猛發(fā)展。最終，企業(yè)會認識到這種淺見會帶來高昂的代價。

如果實施正確的話，檢查策略和重新評估重要工具和過程可以用更少的產(chǎn)品、更少的許可協(xié)議、更少的損害、更少的人員和外包實現(xiàn)長遠的節(jié)約。

我們看到，成熟的安全廠商能夠?qū)⑿录夹g(shù)集成到更大的平臺或服務(wù)中。最終，企業(yè)能夠以新的方式訪問其保護平臺。換言之，企業(yè)可以增加保護的數(shù)量而無需增加管理界面的復(fù)雜性。

簡化企業(yè)安全的技術(shù)和工具是安全市場的一項重大革新，這種技術(shù)中包括安全分析和自動化響應(yīng)。利用機器學習、人工智能以及類似技術(shù)來分析和解釋威脅情報和過往事件可以為企業(yè)帶來改善防御的良機。中小型企業(yè)可以經(jīng)由服務(wù)供應(yīng)商而獲得實施和維護幫助。僅依靠技術(shù)并不能減少企業(yè)安全的復(fù)雜性。使技術(shù)運行仍要求熟練的技術(shù)人員，許多中小型企業(yè)甚至要尋求外包。此外，許多CISO（首席信息安全官）還面臨著遷移到公有云和私有云的問題，以及不斷地監(jiān)視這些基礎(chǔ)架構(gòu)的需要。為此，企業(yè)需要做許多工作才能為這些環(huán)境提供必要的參考架構(gòu)。可管理的安全服務(wù)和統(tǒng)一威脅管理（UTM）方案提供了許多安全特性，其中有些廠商還在UTM方案中提供了移動設(shè)備管理和無線訪問點功能。采用基于IaaS的安全可以使用多種有效的虛擬安全控制，從而保障公有云中重要負載的安全。

如何做

基于云的安全廠商可以提供介于SaaS云和云消費者之間的大量安全服務(wù)，從而簡化安全問題。這對于強制實施安全控制并發(fā)現(xiàn)一些不正確的SaaS實施也是有益的。

許多企業(yè)知道自己需要簡化安全卻不知道如何做。而且，安全市場的產(chǎn)品可謂數(shù)目繁多，其中當然包括一些優(yōu)秀產(chǎn)品，但這些產(chǎn)品未必適合企業(yè)需要。企業(yè)此時需要清醒，必須在市場宣傳的產(chǎn)品和自己真正需要實施及管理的產(chǎn)品之間做出區(qū)分。

建議企業(yè)每年都進行安全資產(chǎn)的審計，其中包括對每一種獨立的安全控制都制定業(yè)務(wù)案例。此外，每年還要為內(nèi)部安全人員評估最具有戰(zhàn)略性的安全任務(wù)，并盡可能對剩余任務(wù)尋求外部幫助（如，外包）。

企業(yè)應(yīng)當注重保護其高價值的資產(chǎn)，但公司在安全問題上的實際投資水平在許多情況下要少于實際的需求水平?？傮w情況下，任何花費都應(yīng)當注重那些能夠創(chuàng)造最大價值的信息資產(chǎn)，并根據(jù)這種信息資產(chǎn)進行風險評估。

不堪重負的IT人員缺乏計劃策略和實施策略的時間以及人力。無法承受“宕機時間”的企業(yè)（檢查和更新老的安全系統(tǒng)必然要花費時間）都有可能拒絕簡化安全進程。企業(yè)不妨重點從面向客戶的系統(tǒng)開始，或從直接支持公司收入流的系統(tǒng)開始，循序漸進。