企業(yè)安全威脅嚴(yán)重　已知漏洞是主因

近日， IT軟件解決方案廠商BMC聯(lián)合《福布斯觀察》共同發(fā)布了一項(xiàng)關(guān)于企業(yè)網(wǎng)絡(luò)安全的調(diào)查報(bào)告，被調(diào)查對(duì)象為300多名企業(yè)高層管理人員。報(bào)告顯示，已知安全漏洞是企業(yè)面臨數(shù)據(jù)泄露和網(wǎng)絡(luò)威脅的主要因素。此外，報(bào)告還證實(shí)安全團(tuán)隊(duì)和IT運(yùn)維團(tuán)隊(duì)之間存在較大的差距（簡(jiǎn)稱SecOps分歧），最終導(dǎo)致企業(yè)不必要的數(shù)據(jù)丟失、生產(chǎn)系統(tǒng)停運(yùn)以及聲譽(yù)受損的可能性。

 調(diào)查顯示，即便企業(yè)之前已經(jīng)發(fā)現(xiàn)了安全漏洞并采取了相應(yīng)補(bǔ)救方法，44%的安全泄露還是會(huì)發(fā)生。通常來(lái)說(shuō)，一旦廠商推出補(bǔ)丁，用戶往往需要花很長(zhǎng)的時(shí)間來(lái)堵住安全漏洞。針對(duì)這個(gè)問(wèn)題， 33%的受訪高管都表示，確定哪些系統(tǒng)應(yīng)該優(yōu)先被打補(bǔ)丁頗具挑戰(zhàn)性，因?yàn)榘踩珗F(tuán)隊(duì)和運(yùn)維團(tuán)隊(duì)可能會(huì)選擇不同的優(yōu)先事項(xiàng)。

 企業(yè)的安全和IT運(yùn)維團(tuán)隊(duì)的共同努力決定了企業(yè)安全的綜合實(shí)力，但這兩個(gè)團(tuán)隊(duì)的目標(biāo)常常不一致。因此，企業(yè)所面臨主要風(fēng)險(xiǎn)便演變成為，未及時(shí)同步的內(nèi)部程序阻礙了針對(duì)已知威脅所需要采取的防范措施。調(diào)查過(guò)程中60%的被訪者表示，IT運(yùn)維和安全團(tuán)隊(duì)其實(shí)很少能夠相互了解對(duì)方的真正需求。事實(shí)上，50%的企業(yè)并沒(méi)有協(xié)調(diào)團(tuán)隊(duì)之間的不同需求。

 BMC公司的云計(jì)算、數(shù)據(jù)中心和高性能產(chǎn)品線總裁Bill Berutti表示：“許多公司常常要花幾個(gè)月的時(shí)間來(lái)修補(bǔ)已知安全漏洞，這意味著它們?cè)谂ο阎{的幾個(gè)月當(dāng)中，都存在潛在的數(shù)據(jù)泄露威脅。想迅速發(fā)現(xiàn)安全漏洞、確定優(yōu)先級(jí)以及修復(fù)漏洞，勢(shì)必需要加強(qiáng)安全團(tuán)隊(duì)和IT運(yùn)維團(tuán)隊(duì)之間的協(xié)作。減少SecOps分歧對(duì)企業(yè)安全以及企業(yè)品牌來(lái)說(shuō)都非常重要，同時(shí)能夠讓客戶對(duì)企業(yè)的安全能力抱有信心。”

 由于許多公司在為2016年做準(zhǔn)備，CIO們需要具體的計(jì)劃來(lái)消除SecOps分歧。報(bào)告建議采取如下措施：

• 設(shè)立跨職能部門的工作小組，互相交流安全、合規(guī)、運(yùn)維等方面的問(wèn)題，定期召開(kāi)會(huì)議，提高信任度和忠誠(chéng)度。
• 制定通力協(xié)作的工作流程，確保安全人員、IT運(yùn)維人員和合規(guī)人員之間的聯(lián)系通暢。
• 將容易出錯(cuò)的人工流程換成自動(dòng)化、智能化的合規(guī)和安全平臺(tái)，實(shí)現(xiàn)測(cè)試、安全補(bǔ)丁部署的自動(dòng)化，并提供集中式的信息管理工具。

 Morningstar公司的首席安全官M(fèi)ichael Allen表示，“鑒于信息安全漏洞目前存在于世界各地，安全和IT運(yùn)維需要盡可能緊密高效地協(xié)作，去應(yīng)對(duì)潛在威脅。減少SecOps分歧，采用集成的方式讓信息安全流程更加自動(dòng)化，大大提升了Morningstar的數(shù)據(jù)安全性。”

 “由于企業(yè)安全威脅越來(lái)越復(fù)雜，我們需要去反思以往各自為政的孤島式傳統(tǒng)安全理念。CIO們必須讓安全小組和 IT運(yùn)維小組都能夠迅速識(shí)別和修復(fù)問(wèn)題，并整合安全工作和IT運(yùn)維工作，進(jìn)一步保護(hù)企業(yè)組織，” 對(duì)此，IDC集團(tuán)主管安全產(chǎn)品和服務(wù)部門的副總裁Chris Christiansen持有同樣的觀點(diǎn)。

 報(bào)告中的數(shù)據(jù)來(lái)自《福布斯觀察》，該機(jī)構(gòu)在2015年秋季開(kāi)展了該調(diào)查。調(diào)查主要針對(duì)北美和歐洲諸多行業(yè)的 304名高級(jí)主管開(kāi)展。受訪者一半在北美，一半在歐洲。所有調(diào)查對(duì)象都來(lái)自年收入至少1億美元的公司，其中，27%來(lái)自年收入在10億美元至50億美元之間的公司，23%來(lái)自年收入50億美元或更高的公司。

 想閱讀這份報(bào)告《消除安全與運(yùn)維差距的行動(dòng)計(jì)劃》，請(qǐng)點(diǎn)擊這里：http://bmcwx.wmwebpro.cn/uploadFiles/BMC_SecOps_F-Insights_Report.pdf

 想要了解調(diào)查報(bào)告的其他參考資料:

• 白皮書：Face The Facts of Compliance
• 博客：Reduce IT Vulnerabilities by Bridging the SecOps Gap
• BMC.com: IT Compliance and Security