編輯部相對於內容安全 (content-aware) 的關注焦點,仍有許多供應商不願推廣內容相關的安全防護,它們堅持把焦點放在公司內部問題之上,即資料遺失防護 (Data Loss Prevention, DLP) 。然而此舉卻遭受到不公平的待遇,主要原因在於推廣概念並無法與具有實際產品的大公司抗衡。他們所面對的幾個主要大型供應商幾乎個個都能拿出實際的產品,像是 IBM 、 McAfee 、 RSA 、 Symantec 等。然而等到較小的供應商(例如 Vontu)日漸壯大後,DLP 軟體將會快速度成為市場上的新寵兒並廣為各公司所採用。
當然,任何有關於內部安全處理之探討如果少了遵循標準將不盡完善,就如同 RSA 標準之於供應商一般。現在有許多供應商,像是 Symantec 、 McAfee 、 RSA 以及 IBM 等,它們跳脫了過去沙賓法案 (Sarbanes-Oxley) 或是信用卡產業 (PCI) 所訂下的規矩,共同制定額外的標準規範,並且提供具全公司規模 (company-wide) 的內控樣板,使其顧客得以建置 IT 治理、風險管理、部門協調或 GRC(內部安全控制齊一性的縮寫)等。
還不只這些,從整個研討會的展覽中可以得知,供應商們試著扮演解決內部 IT 問題的角色。例如,Palo Alto 網路公司,將其研究結果公諸於世,指出大多數企業組織所允許使用的未授權應用軟體之數量比想像中還要多出許多,還有其他供應商將自己定位成員工問題解決者(如竊取行動電腦、存取不當資訊內容、以及行為監控等)。
到目前為止駭客被擊潰了嗎?顯然沒有,在會中還提到一些有別於以往的安全威脅,像是綜合擅用與威脅行為的 Botnet,或者是線上路由器即時攻擊等。但至少資訊安全會議今年的共識聚焦於:如果公司沒有先看見自己內部的安全問題,也是於事無補。
延伸閱讀:
本文同時刊載於網路資訊雜誌 2008 年 5 月號 198 期