13大已被揭穿的IT安全管理謠言

申請免費試用、咨詢電話：400-8352-114

這些經(jīng)常被一再提起、受到廣泛認同的上網(wǎng)行為安全觀點其實……全是胡說八道。從一年前開始，我們就在努力收集安全專家眼中最誤人子弟的“安全謠言”，現(xiàn)在是時候揭穿它們的偽裝、還大家一個清平世界了。

安全謠言第一位：“殺毒軟件能有效保護您遠離惡意軟件”

趨勢科技公司CTO Raimund Genes指出，企業(yè)之所以廣泛使用殺毒軟件，是因為“審計師會牢牢揪出這一點不放”。然而殺毒軟件本身并不能可靠地保護我們抵御有針對性的攻擊，因為攻擊者會在動手之前進行測試，以確保自己的詭計不會為殺毒軟件所識破。

安全謠言第二位：“政府才是最強網(wǎng)絡(luò)攻擊的源頭”

SANS公司新興安全趨勢部門主管John Pescatore認為，大多數(shù)來自政府的網(wǎng)絡(luò)攻擊只是重新借用由犯罪分子鼓搗出來的現(xiàn)成資源。美國國防部一直喜歡大肆宣揚來自民族國家的威脅論借以提高預(yù)算額度?？杀氖?，像花旗銀行這樣的金融行業(yè)網(wǎng)站本來有機會抵擋住拒絕服務(wù)攻擊，但卻由于缺乏努力而未能成功。就連針對別國政府組織的間諜活動都沒有涉及什么新技術(shù)，近十年來中國、美國、法國、俄羅斯等其它一些技術(shù)強國鮮有成果問世。

Pescatore還提到他個人感受最深的兩條安全謠言：其一是“云服務(wù)永遠無法保證安全”，因為服務(wù)的共享特性允許供應(yīng)商隨時對其進行修改；其二是“云環(huán)境更安全，因為供應(yīng)商能夠?qū)崟r掌握一切。”針對這兩條謠言，Pescatore指出“以谷歌、Amazon等為代表的云服務(wù)供應(yīng)商并沒有建立起企業(yè)級別的服務(wù)、也無法保護用戶信息萬全。事實上，谷歌還主動建立起一套非常強大的云信息收集機制，能夠通過搜索服務(wù)明目張膽地收集并公開他人信息。”

但Pescatore同時指出，由谷歌與微軟等推出的以電子郵件為基礎(chǔ)的云服務(wù)還是比較可靠的。在目前已經(jīng)披露出來的用戶數(shù)據(jù)泄露事件中，幾乎沒有明確證據(jù)能說明供應(yīng)商在運營過程中存在紕漏——反倒是客戶本身受到了網(wǎng)絡(luò)釣魚攻擊的影響。但企業(yè)客戶仍然在想辦法改進處理流程，以適應(yīng)云服務(wù)供應(yīng)商提供的事件響應(yīng)機制。

安全謠言第三位：“我們的賬戶都處于Active Directory之下并受到嚴格控制”

SSH發(fā)明人、SSH通信安全公司CEO Tatu Ylonen表示，這種誤解很常見，而且很多機構(gòu)都在為應(yīng)用程序及自動化流程的功能性賬戶設(shè)定加密密鑰后就忘了這碼事，更談不到對其進行重新審計。“許多大型機構(gòu)在生產(chǎn)服務(wù)器端設(shè)定的加密密鑰都遠遠多于Active Directory中的用戶賬戶密鑰，”Ylonen指出。“這些密鑰從未更改、缺乏審計且不受控制。全局身份驗證及訪問管理體系管理著這些交互用戶賬戶，且一直以忽略形式允許設(shè)備自動進行訪問。”雖然這樣確實更方便，但如果不加以妥善打理，用于自動訪問的密鑰也可能成為攻擊及病毒的傳播渠道。

安全謠言第四位：“風險管理技術(shù)是上網(wǎng)行為安全的必要組成部分”

上網(wǎng)行為-Harvest公司首席研究分析師Richard Stiennon指出，盡管風險管理“已經(jīng)成為一種公認的管理技術(shù)”，但事實上“它所關(guān)注的是一項不可能完成的任務(wù)，即辨識上網(wǎng)行為資產(chǎn)并評估其價值。”無論如何嘗試，它“都無法真正反映出攻擊者覬覦的專利產(chǎn)權(quán)中所蘊含的實際價值。”Stiennon認為“惟一能幫助企業(yè)改善自我保護能力的方法在于威脅管理方案，而這需要我們深入了解競爭對手、其發(fā)展目標以及實施方法。”

安全謠言第五位：“應(yīng)用程序安全領(lǐng)域存在‘最佳實踐’”

白帽安全公司CTO Jeremiah Grossman表示安全專家常常喜歡宣揚“最佳實踐”，認為這類方案能夠“廣泛起效”、“值得投資”且“對于每個人都必不可少”。詳細來說，其中包括軟件培訓、安全檢測、威脅建模、Web應(yīng)用防火墻以及“其它數(shù)百項措施”。但在他看來，這顯然忽視了每套操作系統(tǒng)所蘊含的獨特性。

安全謠言第六位：“零日漏洞是一種固有特性，我們無法預(yù)測或進行有效應(yīng)對”

零日漏洞是指那些尚未被大家普遍發(fā)現(xiàn)的網(wǎng)絡(luò)安全缺陷。但Metasploit滲透測試工具的締造者、Rapid 7公司CSO H.D.Moore則認為實際情況恰恰相反。“安全專家能夠切實預(yù)測并避免存在問題的軟件引發(fā)麻煩。”如果機構(gòu)本身倚仗于某款軟件且達到不可或缺的程度，那么勢必需要制定出一套應(yīng)對方案以避免這款軟件引發(fā)安全風險。選擇性授權(quán)與限定軟件接收權(quán)限都是很好的管理策略。他還與我們分享了另一條安全謠言，即“我們可以根據(jù)公開披露的漏洞數(shù)量評判一款產(chǎn)品或服務(wù)的安全性。”他認為，反擊這種論調(diào)的最佳武器就是WordPress。“看看它所曝出的安全漏洞有多少！這么看來WordPress根本就是垃圾。”但事實證明，“軟件缺陷也是成長歷程的一部分，這并不妨礙其成為日后的人氣明星。”Moore得出結(jié)論，“與此相反，可能有幾十款沒有發(fā)現(xiàn)安全漏洞的產(chǎn)品，但它們并不是真正安全、只是由于人氣太低而掩蓋了不夠安全的現(xiàn)實?？傊覀儾粦?yīng)該以安全漏洞數(shù)量的多寡來衡量一款軟件的好壞以及安全性的高低，這套標準毫無科學性可言。”

安全謠言第七位：“美國電網(wǎng)受到北美電力可靠性公司的關(guān)鍵性基礎(chǔ)設(shè)施保護（簡稱CIP）”

Applied Control Solutions公司執(zhí)行合伙人Joe Weiss認為這純屬謠言，因為由電力行業(yè)自己制定的CIP僅適用于批量分銷型供電體系，而并不針對整個配電系統(tǒng)，同時只涵蓋了一部分供電設(shè)施。“全美80%的供電設(shè)施并未受到CIP的保護。”

安全謠言第八位：“我通過了合規(guī)性審查，所以我是安全的”

PCI安全標準委員會總經(jīng)理Bob Russo表示這種觀念相當普遍，即企業(yè)往往認為只要能夠通過支付卡數(shù)據(jù)安全規(guī)范的審計，他們就“高枕無憂、永遠安全”了。但合規(guī)性審查只能算是對特定時間點上的企業(yè)經(jīng)營“快照”進行評估，而安全則是一個持續(xù)而不能松懈的過程，需要相關(guān)人員、技術(shù)與流程通力配合方能永保太平。

安全謠言第九位：“安全是首席信息安全官才需要考慮的問題”

新興企業(yè)Nok Nok實驗室總裁兼CEO Phil Dunkelberger指出，CISO確實應(yīng)該為數(shù)據(jù)違規(guī)狀況擔負主要責任，而這類行政或技術(shù)課題也正是他們的份內(nèi)工作。然而企業(yè)中的很多其他崗位同樣需要把安全時刻銘記在心，尤其是上網(wǎng)行為操作人員。他們手中也掌握著“安全性”的命運，因此要比普通員工承擔更多責任。

安全謠言第十位：“移動設(shè)備比計算機更安全”

RSA大會項目委員會主席Hugh Thompson博士對這種“常見的假想”提出質(zhì)疑。他認為盡管有一定道理，但這種言論低做了計算機中以掩飾密碼及URL預(yù)覽為代表的傳統(tǒng)保障手段，而這些成熟機制目前在移動設(shè)備上還不適用。“因此，雖然移動設(shè)備就自身而言比臺式機或筆記本要安全一些，但傳統(tǒng)安全手段的缺失仍然會留下許多安全漏洞。”

安全謠言第十一位：“要想實現(xiàn)安全性，我們就不得不放棄一部分個人自由”

新興企業(yè)Cylance公司CEO兼總裁Stuart McClure指出，千萬不要聽信這類說法。什么“為了打擊壞人，我們必須讓政府插手自己的網(wǎng)絡(luò)流量信息”，全都是一派胡言。要想防患于未然，安全專家該做的是了解壞人的想法、“揣測其行動并熟悉其作案工具”，并最終將其一舉攻陷。

安全謠言第十二位：“阻止惡意軟件，實時反應(yīng)最重要”

Snort入侵檢測系統(tǒng)締造者、Sourcefire公司創(chuàng)始人Martin Roesch認為安全防范機制往往效果有限，很難快速追蹤或捕捉到各種類型的攻擊。而且即使錯過了實時反應(yīng)的機會，現(xiàn)有防御機制也會對整個流程有所認知并準備應(yīng)對攻擊者的后續(xù)活動。新型安全防護模式會持續(xù)不斷進行信息更新，這樣就算無法第一時間揪出犯罪分子，了解其攻擊范圍及手段也是很有意義的。

安全謠言第十三位：“有了正確的保護機制，攻擊者將被拒之門外”

微軟公司可信計算全球副總裁Scott Charney表示，“我們常常把安全跟‘拒之門外’聯(lián)系起來；鎖上門、裝上防火墻似乎就萬事大吉了。然而實際情況在于，即使是最復雜的安全策略與最優(yōu)秀的執(zhí)行流程也終會被有耐心、有決心的攻擊者找到可乘之機。實際上，我們應(yīng)該轉(zhuǎn)化自己對于安全概念的認識。”對于整個安全社區(qū)而言，這意味著“保護、遏制及恢復”三大方針，這才是足以對抗威脅的長久之計。

【本文選自安庫網(wǎng)。原文鏈接：http://www.csochinese.com/comment/70.html 】

【推薦閱讀】

◆上網(wǎng)行為運維管理專區(qū)

◆云計算變革下的企業(yè)上網(wǎng)行為運維管理演進

◆云安全四大誤區(qū)解析

◆云計算風險：如何確保虛擬機密鑰安全

◆網(wǎng)管軟件專區(qū)