大数据分析俨然成为目前各行业了解用户潜在需求、挖掘商业价值、改进服务质量和提升客户满意度的一大利器,也是各大信息服务提供商决战企业级大客户市场的焦点。的确,行业内人士相见,三句不离大数据,否则就恍如隔世。
如同电子商务、在线赌博以及网络色情服务业,网络犯罪分子也是大数据技术的先行体验者,他们部署最先进和快速的方案,用来窃取价值不菲的商业信息。昆明亭长朗然科技有限公司大数据行业观察员James Dong说:我们已经进入一种由智能化驱动的安全时代,传统的静态化安全防范措施无法应对被高度智能化武装过的信息窃贼,我们需要走在网络犯罪分子的前面,比他们更加聪明和智慧,这样才能赢得大数据时代的信息安全战争。
索尼和塔吉特这类世界级的知名公司都被黑客搞成国际头条新闻,集团高管们连续几个季度睡不安稳都是小事儿,客户严重流失、商业信誉不保、生意亏损尚能撑着则是常态,严重点儿的话就是昔日的世界五百强公司在瞬间倒闭!
黑客们早已不再简单通过单一的方式入侵,比如分析网站和应用的技术漏洞,通过钓鱼邮件和诈骗电话等社工攻击,他们变得日益狡猾,狡猾到熟知业务流程。昆明亭长朗然James表示:攻击者打探业务流程中的安全弱点这种事儿是很可怕的啊,其实大型公司中的绝大多数员工都不清楚业务流程中的严重安全弱点,因为人们的专业技能、职责范围、精力和视野都是很有限的,即使是专注于业务内部控制、风险防范和安全审计的人员也不是商业流程安全方面的全能人士。
但是狡猾的训练有素的黑客们却能借助大数据来快速学习和分析攻击目标,在很短的时间内超越多数公司内部人员,对攻击目的的内部业务流程的安全控管和薄弱之处一览无余。针对塔吉特Target的攻击便是明显的一例,犯罪分子通过业务流程中的关键一环——PoS零售终端进而渗透到PoS后台系统,直取客户信用卡信息。事后,Target花了不少功夫找懂安全防范的人才,最终找了一位没有IT背景的高管。
其实我们再看看Stuxnet伊朗核设施攻击案例——攻击者选择的是利用西门子工业控制系统的安全漏洞,这是事先业界几乎都无人知晓的薄弱环节。
那如何能够应对掌握大数据分析这类高科技武器的网络犯罪分子呢?信息安全业界专家们常常呼吁复合型跨学科的安全人才,来进行信息安全风险评估,的确,万精油式什么都懂的安全精英在适当的环境和舞台下能够全面发掘业务流程中的安全弱点并提供修复建议。然而这种人才是很难培养和获得的,也是如同夏洛克福尔摩斯一样的稀缺资源。
有没有替代的方案呢?昆明亭长朗然公司James说:最佳的方案是让业务一线人员了解基本的信息安全理念,让他们将这些理念应用到实际工作之中,这样,业务流程中的安全漏洞方能被有效发掘和修复。
信息安全人员通常发现不了业务流程中的安全问题,是因为信息安全人员不是业务流程方面的专家,简单说不懂业务。而业务流程相关人员通常也发现不了业务流程中的安全问题,是因为业务部门人员不懂信息安全。传统的思维是让信息安全人员学习更多业务相关知识,了解更多业务流程,为什么不换一个角度,让业务人员了解更多信息安全知识呢?
大数据分析是业务流程的创新,离不开业务人员,网络犯罪分子在利用大数据分析来发现安全漏洞,我们要做的是在大数据分析领域超越这些坏家伙们,武装起我们的业务团队人员的头脑,早于坏家伙们之前发现业务流程中的安全漏洞并及时修复之。
要让众多专注于创新和效率的业务单元部门员工们了解基础的信息安全理论和知识,我们无疑需要强化基础信息安全意识教育,并鼓励员工们积极思索和找寻业务流程中的不安全因素和潜在安全隐患,并与信息安全团队人员保持密切沟通和交流。昆明亭长朗然科技有限公司,专注于保障信息安全管理团队与业务部门或单元的顺利沟通,欢迎和我们联系洽谈业务合作。