企业网络似裸奔 信息防护现状不容乐观

风中の感觉

今天面对频发的网络攻击事件，企业网络仿佛裸奔一般毫无防护性可言，甚至令人怀疑部署于IT系统中的网络安全设备都形同虚设。然而从知名网络巨头思科（Cisco）近期所发布的“2015年度安全报告”中了解到，业内有高达75%的首席信息安全官都相信自己公司所部署的安全设备、解决方案非常或极为有效。那么假使这些设备或方案有效，为什么企业的信息安全问题还会层出不穷呢？

信息安全状况并不容乐观

　　下面就来回顾下2014年曝出的若干影响广泛的信息安全事件吧。

　　·2014年，Sony影业被黑，据称有110TB的资料被黑客盗走，包括部分还未上映的电影，以及大量员工的个人信息，并且将公司电脑硬盘中的资料撤底抹除。

　　·去年10月摩根大通被黑，导致近7600万个家庭和700万家小型企业的客户资料外泄，而摩根大通在黑客攻击行动开始后两个月才发现其网络被黑。

　　·美国白宫网络遭受攻击，但白宫强调黑客入侵的是“总统办公室的非机密网络”，机密资料并没丢失。

　　·南韩核电厂网络被黑，电厂平面图等敏感信息外泄，黑客以此威胁南韩关闭核电厂反应炉。

　　·名为“暗黑饭店”（Darkhotel）的APT攻击被曝出，黑客借此入侵饭店Wi-Fi再入侵房客的电脑，随后锁定制造、投资、国防、汽车等企业高级主管作为对象，范围包括中国、日本、南韩等亚太地区国家，此攻击行动至少从2007年开始。

不难看出，从国际影视、金融巨擘，甚至政府、国家公共事业，到公共区域的Wi-Fi，在安全威胁面前都无一幸免。因此上述75%相信公司所使用的安全方案“非常或极为有效”的信息安全官似乎过于自信了。

安全更新并不及时 盲目自信引风险

　　不仅安全事件频出，对于一些已经曝出的安全漏洞来说，即使相应的更新补丁已经推出了，但仍存在大量设备并未及时更新的情况。以去年4月开源代码OpenSSL曝出HeartBleed漏洞为例，利用该漏洞黑客可以入侵到服务器存储器中窃取敏感资料，预计全球2/3的网站都会受到影响。

　　然而根据相关的安全筛查发现，通过扫描引擎检查目前使用OpenSSL套件的设备，可以发现56%的设备仍然使用50个月之前的OpenSSL版本，这就意味这些网站维护人员根本没有将其安全设施更新到最新、修补过的安全版本。因此这些网站也依旧暴露在被攻击的风险中。

　　而根据思科2015年度安全报告指出，91%的受访企业或组织表示由高层主管直接负责安全事务，并有高达90%的公司对自己的安全策略、流程和程序很有信心。不过在受访者中，只有64%的人认为自己的安全基础设施非常先进，在利用现有最好的技术进行不断升级；仅有33%的人表示会定期更换或升级安全技术；同时还有3%的人表示只在原有安全技术无法使用、已过时或有新的需求时，才会更换或升级安全技术。

　　该报告通过调查不同国家、不同规模企业中担任信息安全职务的员工共计1738人，并从公司投入到网络安全的资源，安全营运、策略和规程，以及网络安全营运的完善度等三个维度上展开询问。

    可见虽然多数被调查的公司对自身信息安全表现出了极大的自信，但在实际的网络安全营运中管理者或维护人员并没有强烈的信息防护意识，也没有切实履行积极地安全防护程序。

　　随着企业网络应用的日益频繁，企业在网络上的信息资产也越发重要，因此不法黑客也会不断翻新手法，伺机攻击各大企业的IT基础设施来获取利益。而一些企业表现出的盲目自信，无疑给企业陈旧的网络安全设施、松懈的管理规范带来了更为致命的威胁。