企業應聘請網路安全專家、防範各種威脅！

根據今年初報告，隨著企業內應用數量的增加，保持業務應用的持續性和安全性變得愈來愈困難。該調查顯示，資安人員希望企業業務方面的管理人員更積極地參與應用風險管理過程。

網路安全政策管理服務供應商AlgoSec在其2014年網路安全報告的製作過程之中訪問了2014年RSA大會上142位安全和網路專業人士。該調查旨在確定受訪者在業務關鍵應用的安全和可持續性相關問題上所面臨的挑戰。調查發現，企業內部署的應用正在急劇增加，60%的受訪者表示他們的企業有超過50個應用需要管理，而20%的受訪者需要負責超過500個應用。

該報告稱，這些海量應用正在給安全和網路專業人士帶來各種挑戰，約有一半的受訪者表示，最大的挑戰是如何簡單地識別和優先排序關鍵漏洞。另外，21%的受訪者指負責這些應用的業務部門，聲稱他們不願意或者不能夠解決已經發現的漏洞。另外24%的受訪者表示他們的企業根本不了解業務方面的安全風險，讓他們沒有辦法及時修復漏洞。

總體而言，AlgoSec報告的受訪者中，超過90%的受訪者認為企業 IT 管理者應該承擔與應用相關的風險，而不是將這種風險全權交給安全和網路團隊負責。AlgoSec公司行銷和戰略副總裁Nimmy Reichenberg同樣認為，業務領導最終需要負責應用風險管理。你可以聘請安全顧問來保護企業資料不會被盜竊，例如，安全顧問的建議可能是建造一個柵欄、安裝警報系統，或者甚至挖一條護城河，並在裡面餵養鱷魚。他表示，管理者必須平衡每種安全措施的成本和優勢，並將其與入侵實際風險進行對比。

同樣的道理，Reichenberg表示，安全從業人員也應該分析這種風險，並回答這些問題，你的風險承受能力如何？為了得到更好的保護，你想要投入多少資金？最後，用户亦需要了解其應用的風險水準，並確定部署那種措施。面對Heartbleed OpenSSL漏洞，外界均強調這個漏洞的嚴重性以及及時修復漏洞的必要性，但安全專業人員也應該讓決策者了解該漏洞存在於業務關鍵性web伺服器還是不會造成太大影響的伺服器中。Reichenberg表示，由於大型企業可能會有數百台web伺服器，提供這些資訊能使企業領導者做出更明智的安全決策，而且亦更應該允許安全團隊優先考慮為有漏洞的伺服器安裝更新。

表面看來，這只是一個漏洞，然而當你見過漏洞掃描器的結果，你看到的將會是幾十萬個漏洞，幾乎超過你的能力範圍，Reichenberg表示:「我們的想法是，拿著一個業務應用，並說這個應用存在風險，如果這種風險超過企業的承受能力，那麼你便需要採取一些行動。」