安全评估已成鸡肋？.docVIP

从1.3亿受害者到百度被黑：安全评估已成鸡肋？ 鲍勃·卡瑞，Heartland Payment Systems 的CEO直言不讳地表示：“我们内部和外部的所谓安全评估及审计毫无用处”。这家公司遭受了历史上最大一起安全攻击，使656家机构、1.3亿持卡人的机密账户信息被盗用。而百度被黑长达11小时，其总裁李彦宏也禁不住在自己的微博客产品“i贴吧”中说:“史无前例，史无前例呀！”。 这些大型优秀企业都一直很重视信息安全和风险防范，而安全评估和审计（Security Assessments and Audits）则是多数大型企业安全战略的核心组成部分。它们一般包含安全控制措施的落实情况检查，确保运行过程的有效性，并检验它们是否准确满足企业的业务需求。 但是，仅仅依靠这些评估和审计已经越来越明显地成为靠不住的办法。虽然很多企业都进行了安全评估和审计，但因数据泄漏造成的事故数量、规模和损失却呈逐年增加的趋势。Verizon业务风险研究团队分析了最近500起数据泄漏事故并得到一个结论： 如果安全控制措施得到落实，87%的事故都是可以避免的，——而这些恰恰是安全评估和审计应该检查出来的问题。百度的被黑只是最新的一个例证。 根据安全事故分析发现，有下列几个原因使传统安全评估无法满足企业的需求： 当今信息系统环境已经进入不断变化发展的状态。系统、软件和配置等会经常面临修改、增添和删除等操作。在某个时间点进行的安全评估很可能在评估完成后几天就过时了。 当今信息系统规模越来越庞大。安全评估只能抽取其中很小的部分并假设它能够代表整个系统环境。但不幸的是，在任何地方的一个小错误都会导致整个企业漏洞毕现。这类隐蔽和独立的错误很难在安全评估的IT基础设施的少量抽样中被发现。 当今信息系统变得越来越复杂。安全隐患往往涉及网络、主机和软件之间的微妙互动和关联。这些问题很容易被执行评估的普通人员（甚至是不堪重负的专家）所忽略或错失。 安全业界的顶级专家已经认识到（传统）安全评估已经走到其能力的极限并开始建议和强制要求采用新的途径。 美国联邦政府所属的国家标准和技术研究院 (NIST)与国防部、国家情报局长和国家安全系统委员会共同对联邦信息系统进行了可信度的再检查，在最新发布的SP 800-37报告中, NIST已从传统的静态评估转向“采用坚固和不间断的监控过程来实现接近实时的风险管理和持续的信息系统授权核准”。这种新的措施成为所有联邦政府和下属服务商的强制性要求。 与此类似，著名安全培训机构SANS Institute正在提倡和推广使用一致性审计准则，严格落实20个关键性基准安全控制措施。这些措施的核心理念就是安全控制需要采用自动监测技术来实现持续性的监控，以确保它们处于有效运行状态中。越来越多的企业和政府组织已开始采纳这些规范和准则。 在下一代安全保证机制中，有三个反复强调的基本要求： 持续性： 只要IT环境发生变化，就应该对安全进行重新评估，这意味着需要每天进行而不是每年一到两次。 综合性： 整个信息系统都需要进行安全检查，再也没有所谓90%安全的系统这种说法。 自动化： 对一个复杂系统环境进行精准评测的工作量是非常巨大的。思科最近评估说采用传统方式需要一个专家不吃不喝不睡地干上4年才能完成对网络的评估。只要不是最简陋的IT系统，自动化永远都是非常重要的基本要求。 这些变化从多方面证明安全已成为IT管理渐趋成熟的一个重要组成部分。在IT管理的其它方面，如故障和性能管理，也经过了类似的进程。早期的故障和性能管理也是靠人工监测和被动处理问题的办法，当它们无法胜任时，信息部门开始部署各类系统和工具来实现主动性的自动化管理。在当今安全威胁肆虐的环境中，对安全管理的新要求代表了坚固的系统安全防护和系统的可用性以及性能管理是同等重要的IT管理工作。 赛诺朗基的全局事件管理系统因同时满足了持续、综合和自动化等核心要求，受到了各行各业用户的青睐。通过赛诺朗基专利的免数据库技术、智能解析、深度跨设备关联等创新科技，能够对系统中所有设备、系统和软件的日志进行收集、分析和监测；其网格型部署架构避免了系统瓶颈，能无限扩展系统处理性能，对复杂、庞大和不断变化发展的信息系统实现了真正的新一代安全管理。 关于赛诺朗基： 赛诺朗基总部位于美国加州旧金山，成立于2002年5月。赛诺朗基一直专注于开发功能强大、易于使用的事件和日志分析管理软件。无论用户的需求怎样变化，我们始终坚持管理功能、使用简单和产生结果的原则，基于专利创新技术的全局事件管理（Global Event Management – GEM）解决方案致力于简化和可视化公司安全管理、性能管理和操作规范管理等领域以支撑用户的业务发展，节省管理费用。 欲了解更多相关信息，请登录网站 媒体联络：info@