当今网络安全世界的“五大安全悖论”

即使在网络安全价值不容争议的当今世界，仍然存在着一些悖论。

例如，向员工和最终用户保持透明数字信任的核心组成部分，但是过度透明可能会妨碍信息安全，因为恶意行为者也可能借由这个方便之门洞悉组织的内部运作状况。

这样的难题并不新鲜，很多已经存在20多年了。不过近年来，随着技术在生活和商业方方面面的普及以及业界转向“软件定义一切”，安全方面的问题变得更加突出。

根据戴尔的创新指数调查，来自超45个地区的6600名受访决策者中，只有41%的人表示“安全”已经内嵌到其技术中。组织需要消除对于现代计算环境复杂性及威胁形势的一些误解，以便更顺利地构建具备高弹性的安全架构。

人们最常设想的是：安全和创新是冲突的。当前的技术环境充斥着“安全债”。很多组织快速产出“技术”，却没有在基础设施中加入安全因素。

一些领先的组织意识到这一点，开始将安全性构筑到产品本身，而不是马后炮式地添加安全特性。尽管这种方式多少缓解了困局，但仍然存在着某些紧张关系——创新者和安全从业者经常存在分歧。

举个例子，在产品和设计团队看来，IT安全决策者总在拒绝创新，认为它太过冒险。而IT安全决策者眼里，产品和设计团队经常把安全视为他们追求创新目标的障碍。事实上，双方的看法都包含了偏见。

借助软件定义的解决方案，IT决策者能够灵活按需地定义或重新定义环境，并适应技术格局的演变。问题是，层出不穷的软件也给安全漏洞制造了更多机会，进而给整个企业带来风险。

让我们换个角度看这种矛盾。不断演变的威胁使组织有更大的动力来考虑安全问题，甚至在产品设计阶段尽早、切实地开展安全评估。同时，软件驱动的世界能够带来敏捷性和创新力，为组织创造空前的业务机会。

如何在无边界的世界中定义边界，这是一个矛盾。然而事实上，企业边界正是由无数更小规模的内部和外部实体组成。

“零信任”架构是针对这一矛盾的重要应对之策。该安全架构要求不能仅仅根据物理系统或网络位置，就将隐含的信任赋予用户账户。

在零信任架构下，无论用户账户身在何处、正在使用哪些设备或网络，“软件定义的边界”可以为其提供安全特权访问。有时这也称为“无周界”的方法，事实上，它的基础建筑在成百上千个小规模的边界之上。

在当今亟需风险管理的世界中，制定战略为各种角色明确清晰的职责，对于减轻威胁和从威胁中恢复非常重要。在网络安全行业，我们越来越多地听说某些组织“为自己负责”并自行提供安全保障。

但事实上，如今的每一家公司都是技术公司，公司之间还实现了互联互通，没有哪家公司能够封锁自己的安全边界，也不会拥有零风险的安全方案。

尽管如此，企业仍有必要在个人的层面上进行安全问责，因为保障安全是一种团队行为。这种团队行为成功的关键之一是透彻了解您的环境中的全部资源，企业全面完整地了解环境，对于提供安全保护和高弹性至关重要。

戴尔在考虑集体与个人的区别时，不仅关注我们的客户和所提供的技术，还确保我们所创造的技术不会制造风险。我们在分析风险时，所做的要事之一是对考虑人为因素对于安全的损害。通过退后一步，更多地为使用技术的个体着想，可以实现更高的安全性。

随着技术和IT环境的快速演变，安全矛盾日益尖锐，其影响也在日益加剧。相比采用“保护、侦测和应对”的传统的链条式方法，“提高弹性/自愈力”则是安全领域取得进一步发展所需的理念改变和文化变革。