思科:让所有人脱离网络安全贫困线
在进行RSA安全大会主题演讲之前,思科安全与协作执行副总裁Jeetu Patel向媒体透露:“确保安全贫困线以下的每个人都拥有一定程度的安全是我们的公民义务,因为这最终会成为一个人权问题。”
“金融服务、医疗保健、交通运输,这些都是关键基础设施,像供水、电网一样,一旦被破坏,所有这些服务都会马上陷入停滞。”
早些时候的RSA会议上,思科CISO顾问团队主管Wendy Nather就提出了网络安全贫困线的概念。这一概念主要是指处于贫困线以下的组织或个人没有预算或人力资源来实现安全措施。
Patel称,应该重视将所有公司提升到贫困线以上,即使已经安全脱贫的公司也应重视此事,因为当今软件依赖、数据共享和混合工作模式的局面下,个人和组织都变得更加互联互通。
“我们所处的生态系统是一个整体,最薄弱的一环可能会破坏整个链条。”他解释道,“汽车制造厂的小供应商掉链子,汽车公司的整条生产线都可能因而关停。”
而且,“每个人都是内部人”。
实体的高墙围栏和虚拟的软件边界不再能将组织内外的人员和信息区隔开来。而由于人员和设备能与传统企业边界之外的其他人和设备连接并共享数据,潜在攻击面也随之扩大。
Patel表示,“如果我们不照顾安全贫困线以下的人,那么即使你处在安全贫困线之上,可以采取种种办法保护自身,最终你还是会暴露的。”
在整个组织中树立安全规程需要足够的预算,用来购买安全产品和聘请有能力抵御威胁的安全专业人员。然而,影响力也在区分安全富豪和安全贫困户方面发挥了作用,思科安全业务集团高级副总裁Shailaja Shankar补充道。
她表示:“在这个互联体系中,安全贫困线之上的大型组织能够与其供应商谈下相当实惠的条款。但如果体量太小,你就很难与之周旋而只能接受供应商愿意给你的。”
共担风险,共同防御
至于行业是如何最终出现大量组织低于安全贫困线的情况,那就有很多原因值得探讨了。有人说,互联网让我们更加互联互通就是个错误。同时,复杂性也是个问题:安全架构越来越精密的同时也变得越来越复杂。
思科高管还承认,供应商社区也有责任,因为他们销售的大量产品根本无法相互操作,也不总能信守他们的防护承诺。
于是,想要摆脱这个烂摊子,就需要大家的共同努力。这就涉及到安全供应商提供专业知识和贡献及共享威胁情报了。
为此,Shankar举出了思科Talos威胁情报团队的例子,称该团队为乌克兰关键基础设施客户提供全天候安全产品运营服务,并向战乱国家的组织提供免费的云安全产品。
她还补充道,思科是网络威胁联盟的创始成员。“我们与30多家全球安全供应商合作,共享威胁情报,这些情报使我们能够保护客户并捍卫这个数字生态系统。”Shankar称,“共担风险需要共同防御。”
Patel则表示,商业模式也需要转变。“人们开始考虑在供应链层面实施保护,而不是在单个组织层面:考虑整个生态系统,而不仅仅是我这个小范围里的东西。”
Patel补充道,这就延伸到向非营利组织和非政府组织提供免费或低成本安全的供应商,也涉及大公司利用其购买力帮助小型组织改善他们的安全状况。
Patel表示:“我不认为这是一朝一夕就能达成的事,但我觉得这种认知开始强烈冲击人们的思维。100美元产品中仅仅价值7美分的小部件,一旦其供应商遭遇安全事件,整条产品生产线都有可能因而停工。这种影响不可小觑,因为成百上千乃至数万亿美元都有可能因为恶意对手的系统性攻击而停转。”
参考阅读
