記者馬培治/台北報導 13/07/2007
面對更多變的惡意程式與企業內外部威脅,越來越多資安廠商不再只專注於「對付病毒」,而打算將戰場拉大,改打風險管理牌。
繼資安大廠賽門鐵克不再自我定位為資安公司,而是IT風險管理公司之後,另個資安廠商McAfee(邁克菲)今(13)日亦端出安全風險管理 (Security Risk Management, SRM)解決方案,強調在安全威脅更多樣化,以及企業資訊防外洩防護等新興安全需求下,只從防毒角度看待企業資安已不足夠,而應納入法規遵循與安全流程的概念,由風險管理的角度來看待資安議題。
McAfee並非首次唱出風險管理的口號,該公司早在去年10月便提出了安全風險管理的架構,如今則是端出整合成果,所有產品已陸續推出,而最重要的集中管理核心產品ePolicy Orchestrator(ePO) 4.0版本,則將在10月前推出,備齊該公司規劃的安全風險管理相關產品。
依照McAfee規劃,其安全風險管理是以ePO為管理核心,再包覆該公司定義的五階段流程:尋找弱點(find)、評估弱點 (evaluate)、政策實行(enforce)、安全防護(protect)與弱點修復(fix),每個階段並搭配該公司不同的安全產品,例如弱點評估管理系統Findstone、桌面安全產品Total Protection等,達成所謂安全風險管理的目標。
相較於賽門鐵克將風險管理的層次上拉至整個IT架構,加入系統可用性與應用效能兩個領域,McAfee所提出的安全風險管理架構,則僅及於資安與法規遵循兩個領域,涵蓋範圍較窄。
對此,McAfee技術顧問沈志明便說,該公司較專精於管控面向,故由自己的優勢出發,強調企業內、外部的安全,以及安全政策能否被徹底執行。他舉例道,過去企業資安僅重視防禦由外而內的「攻擊」,卻忽略由內而外的「資訊外洩」,透過該公司併購Onigma所取得的資料外洩防護技術(Data Loss Prevention),將可定義並執行資訊保護政策,並留下記錄以供稽核。
賽門鐵克與McAfee紛紛轉向風險管理領域,但趨勢科技則要專注在內容安全的領域。
不同於競爭者紛紛提出風險管理的發展策略、解決方案或顧問服務,趨勢科技則是投資在網頁威脅的安全防護技術。該公司CEO陳怡樺便曾說,與對手擴張領域的作法不同,趨勢科技選擇專注在資訊安全。
McAfee則認為,風險管理是趨勢,並更能解決企業需要。McAfee台灣暨香港區總經理陳聯便說,在新興威脅大量增加、變種多的抓不完的情況下,光談安全防護已嫌不足,他認為,惟有增加透過制定與落實安全政策的遵循機制,才能更有效協助企業降低安全風險。
