你的CIO是按季度批準(zhǔn)預(yù)算�。而你,要經(jīng)營整間公司���,所以����,你會(huì)很自然地把用于IT安全的投入放到網(wǎng)絡(luò)安全領(lǐng)域���。因?yàn)���,你覺得這是黑客猖獗的地方,是嗎?
對(duì)錯(cuò)分半��。
大多數(shù)IT安全資源都側(cè)重于保護(hù)網(wǎng)絡(luò)設(shè)備不受黑客和泄露威脅��。聽起來不錯(cuò)����,但事實(shí)真如此嗎?不過大多數(shù)企業(yè)都認(rèn)為黑客最想要的數(shù)據(jù)在數(shù)據(jù)庫和存儲(chǔ)服務(wù)器中。
甲骨文周一出具了一份有關(guān)IT安全開銷的最新研究���,該研究表明�,大多數(shù)企業(yè)正把IT安全資源分配到網(wǎng)絡(luò)設(shè)備上,而不是保存著大量公司和用戶數(shù)據(jù)的服務(wù)器����。
有110家公司接受了甲骨文的調(diào)查——從金融服務(wù),政府機(jī)構(gòu)到高科技公司不等——約66%的受訪對(duì)象采用的是“由內(nèi)而外”的策略��,這樣的策略將大部分的資源都用于保護(hù)網(wǎng)絡(luò)層級(jí)�����。同時(shí)�,只有不到四分之一的員工和預(yù)算資源被用于保護(hù)核心存儲(chǔ)部件,服務(wù)器����,應(yīng)用和數(shù)據(jù)庫。
僅有一半的受訪者認(rèn)為數(shù)據(jù)庫是安全的����,因?yàn)閿?shù)據(jù)庫被深深嵌入周邊安全設(shè)備的保護(hù)之中。
Dropbox就是一個(gè)例子��。“被盜的密碼曾被用于訪問員工的Dropbox賬戶����,這些賬戶里包含帶有用戶郵件和地址的項(xiàng)目文檔,”2012年Engineering Aditya Agarwal Dropbox副總裁在其博客中如是說。黑客不是非得深度挖掘——他們只需手中的鑰匙進(jìn)入Dropbox就可以了�����。
這還只是一個(gè)例子�。還有很多的數(shù)據(jù)泄露事故�����,事實(shí)上都是由用戶密碼的疏忽導(dǎo)致���,而并非黑客利用了公司系統(tǒng)的零日漏洞���。
報(bào)告中還提到:
1.90%的受訪者稱在過去12個(gè)月里,對(duì)IT安全的投入都保持不變��,或有所增加��。
2.40%的受訪者表示����,不平衡和碎片化的保護(hù)方式,使得營業(yè)�����,企業(yè)和用戶數(shù)據(jù)在面對(duì)威脅和內(nèi)部數(shù)據(jù)泄露時(shí),不堪一擊�。
3.近乎三分之二的公司計(jì)劃在未來一年增加對(duì)IT安全的投資。
4. 超過三分之一的企業(yè)是因新聞報(bào)道和負(fù)面消息而增加IT安全的投資���,并非是因?yàn)閮?nèi)部識(shí)別出的威脅而增加投資���。
甲骨文首席安全官M(fèi)ary Ann Davidson稱:“各組織不能繼續(xù)把錢花在錯(cuò)誤的地方。當(dāng)攻擊者突破防線的時(shí)候����,他們就可以通過尋找優(yōu)先的用戶訪問權(quán),帶漏洞的應(yīng)用和過量訪問的賬戶�,利用核心系統(tǒng)的薄弱環(huán)節(jié)。”
“所以各組織應(yīng)該獲取最根本的權(quán)限——包括數(shù)據(jù)庫安全�,應(yīng)用安全和身份管理。”
