你的CIO是按季度批準預算����。而你,要經營整間公司�,所以,你會很自然地把用于IT安全的投入放到網絡安全領域��。因為��,你覺得這是黑客猖獗的地方�,是嗎?
對錯分半。
大多數(shù)IT安全資源都側重于保護網絡設備不受黑客和泄露威脅���。聽起來不錯�����,但事實真如此嗎?不過大多數(shù)企業(yè)都認為黑客最想要的數(shù)據在數(shù)據庫和存儲服務器中�����。
甲骨文周一出具了一份有關IT安全開銷的最新研究�,該研究表明����,大多數(shù)企業(yè)正把IT安全資源分配到網絡設備上,而不是保存著大量公司和用戶數(shù)據的服務器��。
有110家公司接受了甲骨文的調查——從金融服務���,政府機構到高科技公司不等——約66%的受訪對象采用的是“由內而外”的策略���,這樣的策略將大部分的資源都用于保護網絡層級。同時��,只有不到四分之一的員工和預算資源被用于保護核心存儲部件���,服務器�,應用和數(shù)據庫。
僅有一半的受訪者認為數(shù)據庫是安全的�,因為數(shù)據庫被深深嵌入周邊安全設備的保護之中。
Dropbox就是一個例子��。“被盜的密碼曾被用于訪問員工的Dropbox賬戶�,這些賬戶里包含帶有用戶郵件和地址的項目文檔,”2012年Engineering Aditya Agarwal Dropbox副總裁在其博客中如是說����。黑客不是非得深度挖掘——他們只需手中的鑰匙進入Dropbox就可以了。
這還只是一個例子���。還有很多的數(shù)據泄露事故�����,事實上都是由用戶密碼的疏忽導致����,而并非黑客利用了公司系統(tǒng)的零日漏洞���。
報告中還提到:
1.90%的受訪者稱在過去12個月里����,對IT安全的投入都保持不變,或有所增加�����。
2.40%的受訪者表示��,不平衡和碎片化的保護方式�,使得營業(yè),企業(yè)和用戶數(shù)據在面對威脅和內部數(shù)據泄露時��,不堪一擊���。
3.近乎三分之二的公司計劃在未來一年增加對IT安全的投資。
4. 超過三分之一的企業(yè)是因新聞報道和負面消息而增加IT安全的投資�����,并非是因為內部識別出的威脅而增加投資�。
甲骨文首席安全官Mary Ann Davidson稱:“各組織不能繼續(xù)把錢花在錯誤的地方。當攻擊者突破防線的時候�,他們就可以通過尋找優(yōu)先的用戶訪問權,帶漏洞的應用和過量訪問的賬戶����,利用核心系統(tǒng)的薄弱環(huán)節(jié)���。”
“所以各組織應該獲取最根本的權限——包括數(shù)據庫安全,應用安全和身份管理��。”
