软件资产管理(SAM)——应对超互联时代风险的利器

Jodie L.Kelley:女士们、先生们大家下午好!我的名字是Jodie L.Kelley,我是软件联盟高级副总裁以及总法律顾问,首先感谢主办方邀请,今天会议非常重要,跟大家分享对于软件安全的看法。我是律师,所以讲的不是太技术,但是我希望今天提的建议给大家带来帮助。

3  Jodie

一、简介

首先简单介绍一下我们机构。软件联盟非营利机构,成员是全世界优秀的软件企业,我们主要为全球动力风范、创新具佳的企业服务,推动创业和就业、以及经济的发展,我们希望大家建立软件品牌。BSA有很多项目,主要是软件合规和执行项目,包括培训项目、网络风险控制项目,我们和企业政府合作,帮助他们尽量控制风险,而且让他们从广泛纬度认识到网络风险可能性,以及控制这些东西,帮助他们更好控制网络系统。

今天花一点时间了解,我们技术带来怎样的变化?这样的变化带来什么影响?以及现在企业面临怎样的风险?这些网络攻击带来什么影响?让大家了解为什么网络安全风险是如此重要?

二、让大家了解如何让企业网络环境变着更重要。

首先谈一下软件,尽管软件明显提升我们工作效率,而且让我们工作更加便利,这只是它非常局限的一个方面,它也带来很多风险,涉及到我们生活方方面面,软件是我们储存获得信息的核心,它能帮助我们沟通信息,它能帮助我们追踪实时信息分布。此外软件对我们生活还有更深远的影响,它能帮运作机器、运作火星车,软件计算能力越来越强大,现在软件发展日新月异,它能够帮助我们以一种难以想象的方式运输、传输、储存信息。其实我现在要跟大家分享一个数据,90%的数据都是在过去两年创造的,大家想目前存在90%数据都是过去两年创造的,而现在数据每年保持翻番的增长。

那我们如何处理这些数据呢?这些数据有怎样用途呢?我们可以用这些数据预测天气现象,帮助我们预测海啸,挽救生命。它能够帮助我们挽救那些早产婴儿,例如研究人员在1000个数据点进行数据追踪,最后发现这些预产或者早产婴儿如果生命体态稳定,第二天通常发生发烧的情况,通过数据预测挽救早产儿。此外数据帮助我们运用农业方面,什么时候种怎样的庄稼?怎样适应天气?而且它能帮助我们更好控制航天安全,能够帮助我们减少航空当中的波动,确保安全性。如果经常坐飞机,大家一定认识到数据在航空的应用。

有好处也有坏处,总有一些人利用这些机会进行攻击,谋求个人利益。所以要记住这些风险,现在网络发展非常快,很多企业面临网络攻击,他们发展非常快,而且影响是非凡的。2015年我们一共发现43000万网络攻击,也就是每天发生100万攻击,在我说话同时可能你的机构遭受很多网络攻击,平均每一个机构每七分钟遭受一次攻击,虽然每次攻击造成后果,的确造成一定的影响。2015年非法的个人信息泄露达到5亿次。

而现在发生频率很高,但是像香港和内陆发现的攻击行为比2014年增长了5倍,这个问题十分严重,而更令人担忧的,许多企业没有复杂先进的系统,来发现追踪这些攻击,很多时候他们是七个月过后才发现之前系统遭到攻击和破坏,有至少三分之一企业都是通过内部检查最终才发现的。所以说这一系列网络攻击,它造成影响和损失是严重的,IDC预计去年很多公司在恶意攻击和恶意软件上损失达到4000亿美元,当然它的成本是很高的,除了金钱上损失之外,也会造成企业名誉的损失,31%机构声称经历网络攻击之后他们品牌信用受到影响。

三、面临哪些网络风险

我要给大家播放一个视频,这个视频显示网络攻击出现频率,这个是网络攻击机构,差不多每年造成5亿美元损失,攻击遍布90多个国家,恶意软件能够嵌入受害者设备,悄悄偷走银行密码,而且有时候截屏从而偷取个人信息。现在我们发现这个机构魔爪越来越广泛了。通过试图可以发现,他们攻击总是停留西欧和中东地区,为什么在某一个边界停止?我们发现,他们只会攻击非俄语计算机当中,我们知道罪犯倾向性以及攻击目标。

现在有这种丰富与日俱增,遍布全球,我们技术日新月异,但是我们消费者安全意识却没有赶上技术的革新,这也是我今天演讲的原因。我们要做怎样的预防措施和预防控制网络攻击风险呢?很多时候人们一谈到风险,就想风险是外来的,如何攻击外来的风险,其实我要告诉大家,采取控制的第一步审视企业内部,首先了解网络环境怎样?确保使用软件都是经过授权。

如果你都不知道自己网络装备什么设备和软件?如何管理网络,更谈不上控制网络风险。网络安全不仅仅IT部门事,IT部门越来越灵活,弹性满足客户需求,随着弹性发展变着越来越复杂,企业难以确定到底用什么软件运用网络上,通常搞不清楚自己网络有怎样的软件、有怎样的工具?其实我们全球软件调查有了一些有意思的结果,我们今年5月做了一个研究,我们发现了39%的软件都是悄悄装在他们公司电脑或者网络当中,而在很多都是假的,未经授权。即使在一些非常重要、关键的行业,这种未经授权的软件安装仍然是非常猖獗的,差不多达到25%。

显然他们不知道这个做法的严重性,很多首席技术官知道,大约15%员工悄悄把一些软件安装他们网络当中,这是他们不自知,而这样现象愈演愈烈。根据一项研究,84%员工坦诚说悄悄网他们电脑和网络当中装了未经授权的软件,这就是很大的问题。因为公司不知道那些软件是授权?他们装了什么软件?这些问题聚合到一起就使问题变着越来越复杂,我们有很多员工使用的设备,工作和生活当中边界越来越模糊。现在70%企业都报告,他们根本没有相关政策、规章制度,或者没有非正式的政策管理企业当中员工设备与企业设备的对接。

其实这些公司CIO都有担忧,他们反馈的意见是这样的,他们完全意识到网络风险,尤其使用未正版的软件或者未授权的软件,他们理解是对的。大家会发现,这些彼此之间高度密切的联系主要是用非正版软件和未受许可的软件之间,还有正因为这样做很有可能受到恶意软件等,其实这些软件彼此之间互相联系的。

大家也发现这些软件让我们自己,可能他不会获得安全补丁,发布者发布到许可证上,因为安装的错误,使网络犯罪猖獗,可以抓到他们软肋,然后进入他们系统。也就是说他们为什么这样呢?有一个非常重要的原因,他们会用这样的方式带来网络风险,很多企业非常长时间,自己疏忽的原因就玩火,用了非正版软件。

我所了解标准化组织特定提倡或者开发这样的程序,告诉大家这些机构应该怎么样一步步完成,然后实施你软件资产管理。它其实分成四个层面引导组织机构,通过这样的程序可以应对挑战,特别是针对软件许可证,到底哪几步:

1、衡量评估系统有什么,网络装什么软件、用什么许可证?它是否对接、彼此对接有没有问题?是正版软件吗?

2、用没有这样的方式对接你软件?

3、目前系统形式和软件是不是很好对接?

4、能够把这些事情怎么样放到控制领域,就是把你控制和实施确保到位。

5、怎么整合业务中?比如软件可以驱动整个业务推动,可以发展其中,用正确的方式、有效的方式管理你的业务。

SAM跟业务有关的流程,就像审计业务一样,所以你一定要确定这些所有员工都了解到,到底这件事情是多么重要。可能只是一个小步失足带来很大的问题。还有大家会发现唯一能够使你这些管理方式是有效的,就是一定确定组织和组织内部成员了解这些,其实整个全球相关机构已经意识到这一点,他们也发现用这样的软件进行内控、还有软件组织方式的时候意识到这一点,他们也发现不同任务执行的时候,还有整个内控系统,还有日本公司也会发布专门的跟网络空间安全相关的报告。

全球都积极采取一些措施,2015年关于技术的控制,如何建立内部组织架构?真正把软件管理整合到内控系统中,然后你发现这些都是触及、可以发现看到你的收益。我们发现一件事情,研究表示这些组织机构已经意识到,通过这样方式把隐藏的非有效性,特别是许可证过期或者没有许可证,或使用不应该使用的软件导致一系列问题,应用这个方法可以降低25%。像德里机场公司用SAM软件管理体系,在案例研究中发现,用这种方式可以节约成本15—20%,而且对他们纪律带来更大的严谨性和纪律性。

大家发现所有企业用这些软件的时候,也是不断发展,跟电子数码世界发展是一起的。怎么确保你把风险降到最低?同时适应机遇、挑战带来的方式,不仅仅IT行业或者IT部门经理确保员工安装软件是对的、而且是有效的方式?现在方式包括CEO、每个企业董事会、理事会询问,到底我们做什么事情降低风险,其实是比较复杂的问题。我们做很复杂的一步,如果你符合SAM软件,恭喜大家你做到第一步,确保软件的正确性,谢谢大家!

上一篇:西门子唐文: 工业信息安全——从检测到防护

下一篇:对话腾讯马斌 解读互联网+安全战略