补丁管理仍然是风险管理的绊脚石

管理会计

       每个人都在谈论有关安全问题的“风险与服从性”，但是公司要怎样做才能使其通过审计，并且满足与信息安全相关的各种规定呢？又需要付出多少成本呢？

　　McAfee对美国，欧洲，巴西，澳大利亚和新加坡的438名IT专家进行了一项调查，发现安全方面的主要挑战已经从可视性转为IT操作。其中有五分之四的受访者认为对IT环境中威胁姿态的可视性非常重要，有四分之一的受访者认为良好的可视性为自己每周节省了6到10小时的工作时间。

　　但是该调查发现，给软件打补丁仍然是阻碍风险管理的一块绊脚石。

　　“在大规模调整以及针对已知漏洞的恶意代码出现之前，很多企业都没把补丁管理放在首要位置，”McAfee报告中如是说。“现在，补丁管理必须成为减少恶意代码持续威胁以及解决服从性问题的首选方法。这些顾虑也促使企业加强对信息资产的控制和监管。几乎一半的受访企业每月都安装补丁更有近三分之一的企业将此作为每周的常规工作。”

　　但是，这是一个耗时耗钱的过程。受访的IT专家们指出，他们试图减少漏洞修补的频率以便节省成本。

　　约一半的受访公司称，他们可以精确地找到与漏洞和威胁相关的风险，“其中43%的公司指出自己的保护措施有些过度。”这种保护或许在本质上是必要的，因为去年美国国家漏洞数据库报道的漏洞数量为3532。

　　但是受微软每月的周期性补丁影响，其他供应商也效仿其行为，纷纷在每月的第二个周二发布补丁。

　　定期打补丁对保障安全是很重要的，70%的受访者称这些事件会对中断自己的工作，但是只有13%的受访者认为干扰比较大。

　　各公司不得不服从的规定是支付卡行业数据安全标准(PCI-DSS),Sarbanes-Oxley，医疗护理行业的HIPAA规定等，如金融行业的巴塞尔协议(Basel Accords)。最普遍的服从性框架据说是ISO，ITIL和COBIT。

　　受访者指出最具挑战性的规定围绕数据库安全展开，主要关注的是访问控制，而且试图在常规使用的基础上进行监控。其他需要用到的控件则是数据加密以及区分职责。

　　大约四分之三的受访公司称他们使用数据库监控工具，有18%的公司称他们计划今年开始使用这一工具。此外，审计，更改管理，配置评估，文件完整性的监控以及类似的工具已经应用到六成以上的受访公司中。剩下的四分之一则计划今年晚些时候再部署。

　　McAfee的报告中透露，约 27%的IT安全预算都依靠服从性来推动，这一数据和2011年的调查数据差不多。去年，85%的企业执行了的审计不超过十次，但是有1%的公司执行的审计次数在41到60次之间。