思科:讓所有人脫離網絡安全貧困線
在進行RSA安全大會主題演講之前,思科安全與協作執行副總裁Jeetu Patel向媒體透露:“確保安全貧困線以下的每個人都擁有一定程度的安全是我們的公民義務,因為這最終會成為一個人權問題。”
“金融服務、醫療保健、交通運輸,這些都是關鍵基礎設施,像供水、電網一樣,一旦被破壞,所有這些服務都會馬上陷入停滯。”
早些時候的RSA會議上,思科CISO顧問團隊主管Wendy Nather就提出了網絡安全貧困線的概念。這一概念主要是指處于貧困線以下的組織或個人沒有預算或人力資源來實現安全措施。
Patel稱,應該重視將所有公司提升到貧困線以上,即使已經安全脫貧的公司也應重視此事,因為當今軟件依賴、數據共享和混合工作模式的局面下,個人和組織都變得更加互聯互通。
“我們所處的生態系統是一個整體,最薄弱的一環可能會破壞整個鏈條。”他解釋道,“汽車制造廠的小供應商掉鏈子,汽車公司的整條生產線都可能因而關停。”
而且,“每個人都是內部人”。
實體的高墻圍欄和虛擬的軟件邊界不再能將組織內外的人員和信息區隔開來。而由于人員和設備能與傳統企業邊界之外的其他人和設備連接并共享數據,潛在攻擊面也隨之擴大。
Patel表示,“如果我們不照顧安全貧困線以下的人,那么即使你處在安全貧困線之上,可以采取種種辦法保護自身,最終你還是會暴露的。”
在整個組織中樹立安全規程需要足夠的預算,用來購買安全產品和聘請有能力抵御威脅的安全專業人員。然而,影響力也在區分安全富豪和安全貧困戶方面發揮了作用,思科安全業務集團高級副總裁Shailaja Shankar補充道。
她表示:“在這個互聯體系中,安全貧困線之上的大型組織能夠與其供應商談下相當實惠的條款。但如果體量太小,你就很難與之周旋而只能接受供應商愿意給你的。”
共擔風險,共同防御
至于行業是如何最終出現大量組織低于安全貧困線的情況,那就有很多原因值得探討了。有人說,互聯網讓我們更加互聯互通就是個錯誤。同時,復雜性也是個問題:安全架構越來越精密的同時也變得越來越復雜。
思科高管還承認,供應商社區也有責任,因為他們銷售的大量產品根本無法相互操作,也不總能信守他們的防護承諾。
于是,想要擺脫這個爛攤子,就需要大家的共同努力。這就涉及到安全供應商提供專業知識和貢獻及共享威脅情報了。
為此,Shankar舉出了思科Talos威脅情報團隊的例子,稱該團隊為烏克蘭關鍵基礎設施客戶提供全天候安全產品運營服務,并向戰亂國家的組織提供免費的云安全產品。
她還補充道,思科是網絡威脅聯盟的創始成員。“我們與30多家全球安全供應商合作,共享威脅情報,這些情報使我們能夠保護客戶并捍衛這個數字生態系統。”Shankar稱,“共擔風險需要共同防御。”
Patel則表示,商業模式也需要轉變。“人們開始考慮在供應鏈層面實施保護,而不是在單個組織層面:考慮整個生態系統,而不僅僅是我這個小范圍里的東西。”
Patel補充道,這就延伸到向非營利組織和非政府組織提供免費或低成本安全的供應商,也涉及大公司利用其購買力幫助小型組織改善他們的安全狀況。
Patel表示:“我不認為這是一朝一夕就能達成的事,但我覺得這種認知開始強烈沖擊人們的思維。100美元產品中僅僅價值7美分的小部件,一旦其供應商遭遇安全事件,整條產品生產線都有可能因而停工。這種影響不可小覷,因為成百上千乃至數萬億美元都有可能因為惡意對手的系統性攻擊而停轉。”
參考閱讀
