本次黑帽大会有将近8000名数字安全专家参与,黑客们在会上讨论了企业安全防御系统中的最新安全漏洞。
在会议中,智能手机成为用于窃听的秘密录音机工具;运行在制造工厂的传感器和石油管道被远程入侵并控制;WiFi网络遭遇破坏,用户的浏览习惯和密码等被盗取……
当然这些只是在台上的演示活动,但其传达的信息是明确的:新时代的智能手机和互联网是一个充满危险的地带。这对于CIO来讲,最大的安全威胁无异于密码就像是写在便利贴粘在电脑显示器上一般。
虽然这些威胁有时被夸大了,但新的威胁是真实存在的。比起解决每一个新的漏洞,CIO和公司的技术高管更需要关注的是整个大的安全环境。
从黑帽大会上,或许可以带给CIO们很多思考:
数字世界扩大的同时也意味着危险随之扩大。智能手机、传感器网络和新的计算设备创造了新的移动商机,但同时也带来新的漏洞。厂商倾向于谈论机会超过谈论风险,但CIO需要对每个加入公司网络的新设备进行风险评估。CIO应该属于核心的安全角色,这也是解释为什么新技术应该需要一个集中的审批流程的一个不错的理由。
创建一个安全过程比购买最新的安全产品更为重要。发现安全漏洞和供应商提供修复是一个连续循环的过程。或许建立起一个将每日、每周和年度技术评估及投资作为安全防护一部分的程序是困难的,但当你整日奔波于试图修补最新漏洞时,这或许是唯一解脱的办法。
云计算是一个企业基础设施的永久部分。目前,很多企业正在评估是否要建立自己的云,是使用外部公有云之外的混合私有云,还是完全迁移到公有云上,每个客户必须找到自己的解决方案。
虽然大部分关于云的讨论都集中于成本问题上,但这是一个错误的策略,云安全同样应该作为一个讨论的重点。云安全的范围非常广泛,包括各种各样的云基础设施和产品,它们都应该被进行评估和测试。
很多用户已经开始花费一些时间进行应用隐私和安全设置,这是一个很好的开始。但随着网络犯罪的日益严重,很多企业仍然发生数据泄露事故,这是因为用户(即使是IT 管理员)总是使用容易猜到的密码、没有使用移动安全双重身份验证程序、或没有定期更改密码和安全设置。
今年的黑帽大会和DEF CON大会表现出社会的一些动荡,黑客和政府之间的关系因为国家安全机构的监视和信息泄漏而变得微妙。供应商则更加频繁地避开公众泄漏启示过程,并提供奖励金让黑客们寻找他们的产品的漏洞。
与此同时,,黑客也必须跟上新产品和服务了。要知道,随着市场的变化,很多对于黑客入侵个人电脑的需求已经不多见了。虽然这种混乱的状态将会如何发展我们无从所知,但是客户和CIO们需要看到这些趋势,并考虑他们的公司应该如何对此作出反应。