在我個(gè)人的觀察里,人們往往認(rèn)為復(fù)雜性本身就是獎(jiǎng)賞。如果我們沒有投入大量的精力���,并且把問題簡(jiǎn)化簡(jiǎn)化再簡(jiǎn)化,那么常常我們不能在自己能夠控制的范圍內(nèi)結(jié)束問題����。這才是在安全層面、技術(shù)層面和管理層面的真正的問題所在�����。
記者:在今天的安全環(huán)境下����,您如何看待評(píng)估和管理風(fēng)險(xiǎn)���?
SN:在信息安全方便我們需要確保自身不會(huì)輕視任何一個(gè)問題����,我們力求把風(fēng)險(xiǎn)呈現(xiàn)給企業(yè)的高級(jí)管理人使得他們可以做出明智的決策��。我覺得可以做到以下3點(diǎn):
1使用計(jì)量檢測(cè)和定量風(fēng)險(xiǎn)���。使用工具如安全信息�、事件管理(SIEM)和漏洞管理產(chǎn)品等���,始終在內(nèi)部提供定量評(píng)分�����。
2 需要描述業(yè)務(wù)目標(biāo)的風(fēng)險(xiǎn)�����。不要總是說"可能遭到黑客攻擊"���,我們需要解釋數(shù)據(jù)異常�、數(shù)據(jù)破壞或者篡改的造成的金融成本��。
3 我們需要在管理層面上很好的呈現(xiàn)信息����。
記者:邁入云計(jì)算時(shí)代風(fēng)險(xiǎn)會(huì)增加嗎?
SN:現(xiàn)在黑客可以編寫一個(gè)非常有效地蠕蟲通過傳播,它可以清除主機(jī)驅(qū)動(dòng)上的所有數(shù)據(jù)���,這是迄今為止我們面臨的最具有破壞力的情況�。但是09年初一次大型的攻擊��,黑客闖入了Vaserve���,刪除100,000網(wǎng)站�,其中一半沒備份,導(dǎo)致其一去不復(fù)返了。這說明了我們正處在一個(gè)巨大的風(fēng)險(xiǎn)水平上�����。令人吃驚的是人們沖進(jìn)了云計(jì)算卻沒有評(píng)估它帶來的風(fēng)險(xiǎn)���。這種水平的風(fēng)險(xiǎn)甚至超過了銀行的次級(jí)房貸��。
