相信每家企业都有安全预算,但这些钱是不是花在点子上了?恐怕没有一个精确的衡量指标,要想花费有的放矢就要知己知彼,否则就是花了冤枉钱。
安全投入回报难觅
由微软联合调研机构公布的一项数据显示,2019年全球的网络安全市场整体规模超过1240亿美元,但另一项数据却是全球企业用户因网络攻击所损失的资金达到1万亿美元。与此同时,这些企业对于安全投入的信心也在日益衰退,更多的企业宣传并没有在投入中看到应有的效果。
企业预防要自知
对于企业CIO来说,云安全依然是重大挑战。赛门铁克的调研数据显示,企业CIO对企业所采用的云应用数量并不了解。当被问及这一问题时,大多数受访者认为自身企业所采用的云应用数量最多为40个,但企业的实际应用数量已接近1000个。
这种认知上的差距,可能会令员工在未采取足够政策和流程的情况下使用云端技术,增加使用云端应用程序的风险。赛门铁克预计,云中的安全风险正在逐渐加大,除非CIO能够严格控制企业内部所使用的云应用,否则未来将面临严重的安全威胁。
谁也不敢保证完全安全
此外,安全人员也很难明确在安全投资上带来的回报。相较被攻击之后的疲于应对,有完善的安全机制无疑要更好。有些人可能会选择大规模部署网络基础设施,但这种办法只能拖延黑客的攻击进度,并不能解决问题。与之相比的话,还不如去“屏蔽”那些区域性或者说临时性的地址段,减少受攻击的风险面。
从表面上看, 虽然通用型的勒索软件攻击有下降的趋势,但这些威胁却变得更有针对性。对于很多安全事件来说,没有及时安装补丁和钓鱼类的电子邮件仍是主要漏洞。近年来,电子邮件已经成为网络攻击者实施感染的首选途径,对用户的安全构成了严重威胁。
赛门铁克曾指出,电子邮件中包含恶意链接或附件的比例为1:131——成为五年来最高比率。此外,商务电邮攻击骗局通过向用户发送精心编排的钓鱼邮件进行攻击——攻击者每天将超过400家企业作为攻击目标,并在过去三年内从企业中诈骗超过30亿美元。
威胁溯源一直是难题
而没有安装补丁的漏洞则在于,会为劫持软件带来可乘之机,黑客通过发送的电子邮件、恶意链接等附件让系统感染病毒,也有通过网络脚本运行的恶意程序,对此不少浏览器都开发了拦截功能。不过,黑客又找到了加密劫持的新方式,这种攻击行为可以秘密运行,入侵后会慢慢消耗系统资源,缩短其运行寿命,对设备造成连锁攻击,而且就算被发现,在追溯攻击源头时也较为困难。
环境复杂性提供难防
随着黑客攻击的复杂性提高,站在安全产品供应商的角度,很多销售人员也难以去评估某款产品到底能否客户带来何种价值,专注于应用程序的已知良好行为的概念也曾尝试落地,但挑战始终在于无法全面理解应用程序。要知道,单一的设备已经无法对抗黑客的高级攻击,因此很多企业会找安全厂商来进行网络安全运营,包括监控、分析、响应,甚至高级情报。
例如在云环境中,IaaS在敏捷性、可扩展性、创新性和安全性等为企业带来优势,同时也带来了风险,简单的错误即可导致严重的数据泄露。传统控制措施难以与IaaS层面以上的安全控制良好对接,造成混乱、错误和设计问题,用户无法高效应用控制措施,并忽略新的控制措施。
结束语
企业的安全策略要根据不同的应用环境具有针对性,并且要明确内部的需求到底是怎样的,否则就难免花了冤枉钱。
更多关于云服务器,域名注册,虚拟主机的问题,请访问西部数码官网:www.west.cn