甲骨文稱：IT安全投得多不如投得巧

大多數IT安全資源都側重於保護網絡設備不受黑客和泄露威脅。聽起來不錯，但事實真如此嗎？不過大多數企業都認爲黑客最想要的數據在數據庫和存儲服務器中。

甲骨文週一出具了一份有關IT安全開銷的最新研究，該研究代表，大多數企業正把IT安全資源分配到網絡設備上，而不是保存着大量公司和用戶數據的服務器。

有110家公司接受了甲骨文的調查--從金融服務，政府機構到高科技公司不等--約66%的受訪對象採用的是"由內而外"的策略，這樣的策略將大部分的資源都用於保護網絡層級。同時，只有不到四分之一的員工和預算資源被用於保護核心存儲部件，服務器，應用和數據庫。

僅有一半的受訪者認爲數據庫是安全的，由於數據庫被深深嵌入周邊安全設備的保護之中。

Dropbox就是一個例子。"被盜的密碼曾被用於訪問員工的Dropbox帳戶，這些帳戶裏包含帶有用戶郵件和地址的項目文檔，"2012年Engineering Aditya Agarwal Dropbox副總裁在其博客中如是說。黑客不是非得深度挖掘--他們只需手中的鑰匙進入Dropbox就能夠了。

這還只是一個例子。還有不少的數據泄露事故，事實上都是由用戶密碼的疏忽致使，而並不是黑客利用了公司系統的零日漏洞。

報告中還提到：

1.90%的受訪者稱在過去12個月裏，對IT安全的投入都保持不變，或有所增長。

2.40%的受訪者表示，不平衡和碎片化的保護方式，使得營業，企業和用戶數據在面對威脅和內部數據泄露時，不堪一擊。

3.近乎三分之二的公司計劃在將來一年增長對IT安全的投資。

4.超過三分之一的企業是因新聞報道和負面消息而增長IT安全的投資，並不是是由於內部識別出的威脅而增長投資。

甲骨文首席安全官Mary Ann Davidson稱："各組織不能繼續把錢花在錯誤的地方。當攻擊者突破防線的時候，他們就能夠經過尋找優先的用戶訪問權，帶漏洞的應用和過量訪問的帳戶，利用核心系統的薄弱環節。"

"因此各組織應該獲取最根本的權限--包括數據庫安全，應用安全和身份管理。"

————————————————————————————————————

重慶思莊18年3月OCP認證培訓週末班正在面授，歡迎聯繫試聽！新的OCP週末班將於4月1日開課，火熱報名中！更多詳情訪問思莊網站諮詢在線客服。