网络安全政策管理服务供应商AlgoSec公司在其2014年网络安全状态报告中,采访了2014年RSA大会上142位安全和网络运营专业人士。该调查旨在确定受访者在平衡业务关键应用的安全和访问要求时所面临的挑战。调查发现,企业内部署的应用正在急剧增加,60%的受访者表示他们的企业有超过50个应用需要管理,而20%的受访者需要负责超过500个应用。
该报告称,这些海量应用正在给安全和网络专业人士带来各种挑战,约有一半的受访者表示,最大的挑战是简单地识别和优先排序关键漏洞。
另外,21%的受访者指责负责这些应用的业务部门,声称他们不愿意或者不能够解决已经发现的漏洞。另外24%的受访者表示他们的企业根本不了解业务方面的安全风险,让他们没有办法及时修复漏洞。
总体而言,AlgoSec报告的受访者中,超过90%的受访者认为企业利益相关者应该承担与应用相关的“自己的风险”,而不是将这种风险全权交给安全和网络团队负责。
AlgoSec公司营销和战略副总裁Nimmy Reichenberg同样认为,业务领导最终需要负责应用风险管理,并将这些利益相关者和户主进行类比。户主可以聘请安全顾问来保护他们的家不会被盗窃,例如,安全顾问的建议可能是建造一个栅栏、安装警报系统,或者甚至挖一条护城河,并在里面喂养鳄鱼。他表示,户主必须权衡每种安全措施的成本和优势,并将其与入侵实际风险进行对比。
同样的道理,Reichenberg表示,“安全从业人员也应该分析这种风险,并回答这些问题,你的风险的承受能力如何?为了得到更好的保护,你想要投入多少资金?最后,企业应用所有者需要了解其应用的风险水平,并确定部署何种措施。”
面对Heartbleed OpenSSL漏洞,非常重要的是强调这个漏洞的严重性以及及时修复漏洞的必要性,但安全专业人员也应该让决策者了解该漏洞存在于业务关键性web服务器还是不会造成太大影响的服务器中。Reichenberg表示,由于大型企业可能会有数百台web服务器,提供这些信息能使企业领导者做出更明智的安全决策,并且,在Heartbleed的情况下,这允许安全团队优先考虑为有漏洞的服务器安装补丁。
“这只是一个漏洞。如果你见过漏洞扫描仪的结果,你会看到几十万漏洞,几乎超过你的能力范围,”Reichenberg表示,“我们的想法是,拿着一个业务应用,并说‘这个应用存在整体水平的风险’,如果这种风险超过企业的承受阈值,那么,你需要采取一些行动。”