最近思科進行了企業資訊保安的研究調查,該調查名為思科安全功能基準研究(Cisco Security Capabilities Benchmark Study)。
調查訪問了9個 國家,合共1,700家企業的首席資訊安全總監 (CISOs)及安全營運(SecOps)的高級管理人員,結果顯示他們對自身保安能力的認知和現實存在頗大差距,他們往往高估自己的保安能力,低估了黑客和網絡攻擊的威脅。
調查訪問包括美國、巴西、英國、德國、意大利、印度、中國、澳洲及日本等地的資訊安全管理人員,當中有75%的首席資訊安全總監認為他們的保安工具是「非常或極其有效」。
然而,調查卻發現這些企業中有56%使用舊版本的OpenSSL,部分甚至是4年以上舊版本,完全沒有更新過。
去年最具代表性的嚴重保安漏洞之一是Heartbleed,該漏洞讓黑客輕易入侵伺服器,管理人員必須更新OpenSSL套件,才能修補有關漏洞。
然而,即使Heartbleed漏洞如此聞名,卻只有44%企業有更新套件,56%仍然使用舊版本,可見很多資訊保安人員往往高估了自己的系統保安能力,以為所用的保安工具是「非常或極其有效」。
理論上,企業應使用自動補漏和配置等標準工具來修補漏洞,以確保所有軟件都運行最新版本。
然而,有時升級了某套件,依賴該套件的其他軟件可能因此不能運作,要待其他軟件也更新以後,才可以一併升級,這對資訊保安人員而言構成一定挑戰。
電郵:ray@openrice.com