信息安全复杂行为管理的闹剧

云计算和移动计算时代来临,传统的网络安全架构受到前所未有的挑战和冲击,各种企业机构开始重建信息安全管理体系,以期采取“与时俱进”的安全战略——将核心防范力量和主要安全投资放置在云端和终端。

不过尽管依赖桌面计算机、企业内部网络和机房中心的传统计算架构已经开始显示出颓废之相,但是大型组织仍然不会轻易大规模使用基于互联网的云计算,所以互联网边界安全仍然是一项重要的控制点。整合众多网络安全的一体化安全网关设备也因硬件性能的不断提升而逐渐获得市场的认可和接受,加之可以集成功能可以简化网络管理和运营,所以类似UTM的设备在基础架构升级潮中开始受到欢迎。

安全厂商也不断地往产品中添加更多功能,除了网关层面、应用系统和数据库层面,最大的竞技战场无疑就是终端了。终端设备和用户的数量都很巨大,人人都有不错的至少自认为聪明的想法,所以终端安全产品的功能越来越强大,体积越来越臃肿。大而全才能适合更多消费者的口味,才能将竞争者比拼下去,实际上解决客户问题的可能只是“大而全”产品中非常小的一部分功能,但不幸的是这一部分功能却只能凑合着满足需求、或者只是打个擦边球,甚至仅仅只是一个功能上的噱头。

不少安全厂商和安全管理团队都在反思,外来商业产品功能强大,却不能得到有效的发挥,白白浪费开发资源和计算系统资源,内部定制开发成本高昂,没有足够的财力会让运维折腾不起。就拿员工上网行为的控管为例来讲,部署实施控管系统是为了提升员工们的生产力和防范恶意网站代码的入侵,但是实际操作时却问题重重,每个部门每位员工都不一样,理想的庞大的行为控管需要细力度到每位员工,比如甲员工每天上午访问财经网站有利于提升生产力和公司形象,乙员工在下午访问一个技术站点有利于公司内部一项技术问题的解决,甲乙调换则是在浪费工作时间……员工网络行为监管系统的管理员就需要为甲乙两名员工设置不同的策略,并且时时来监控他们的使用。还有,今天甲员工情绪低落,是否要过滤一下诸如自杀类的消极网站,而将流量移至励志类网站?而这名员工昨天却表现得太亢奋了。

您可能觉得上述这例子有些夸张,但是实际上细想想,从广义上讲,我们苦苦追求的所谓“控管目标”,以及我们的信息安全团队日常在做的,不正是类似这些的缩影吗?所以啊,我们更得反思:是否该这样建立员工网络行为监控防火墙?如何设置适当的可疑、不正常的和违规的行为特征或标准?如何有效平衡员工们的合规感及反抗欲?如何真正将安全行为控管系统与业务安全的大目标和战略有效结合?

如果有人告诉您这些问题的答案在于大数据,您需要保持半信半疑的态度,大数据的确可以帮助让看似混沌的事物变得清晰,但是在目前,将大数据分析用于实现安全行为的细力度控管,显然是不值得的。大数据应该用于能够创造更多业务价值的关键领域,而不是这个类似后勤行政管理的角色。

说到底,很多针对员工的上网行为管理系统已经远远超出安全管理人员可预期承受的范围了。昆明亭长朗然科技有限公司的移动计算安全专员James Dong说:移动计算终端的应用情况很复杂,通过越来越“智能”的“大而全”系统加之足够的人力微调,可以实现控管目标,不过问题是这种控管成本太高了,不值得。

信息安全复杂行为管理的闹剧该停一停了,如同统一威胁管理UTM解放了不同设备之间的协调障碍、简化网络基础架构、并让网络故障点大大减少一样,我们需要在计算终端方面的创新之举。亭长朗然公司James说:计算终端安全的管理,传统上过于关注的是机器,而不是机器的操控者和使用者——员工们。要将终端安全化繁为简,需要从计算终端的用户着手,强化安全意识沟通教育,因为要想真正控制了用户们的行为,最高的境界通过是指导人们的思维习惯,让人们拥有正确的安全思想。