在IT安全領域,存在一些“安全神話”,它們經常被提到,普遍被接受,然而,其實都是不正確的觀念,換句話說,它們隻是神話。
安全神話又來瞭——在IT安全領域,存在一些“安全神話”,它們經常被提到,普遍被接受,然而,其實都是不正確的觀念,換句話說,它們隻是神話。同去年一樣,我們再一次邀請安全專傢、顧問、供應商和企業安全管理人員和我們分享他們最喜歡的“安全神話”,以下是我們從中選出的13個神話:
安全神話1:“反病毒軟件有效地保護你免受惡意軟件侵擾。”
趨勢科技CTORaimund Genes認為企業需要使用反病毒軟件,否則“審計師會殺瞭你”。但是反病毒軟件不能可靠地抵抗有針對性的攻擊,因為在它啟動之前,攻擊者能夠覺察到並確保自己不被反病毒軟件發現。
安全神話2:“政府制造最強大的網絡攻擊。”
SANS新興安全趨勢主任John Pescatore說,大多數的政府發起的攻擊,隻是重新使用瞭犯罪分子慣用的方法和資源。美國國防部喜歡炒作來自其他國傢的威脅,以提高其預算。可悲的是,針對銀行網站(如花旗銀行)的拒絕服務攻擊本來可以阻止,卻沒有足夠努力去做。而且,幾十年來政府間的間諜活動從來不是新聞,美中法俄及其他國傢人人有份。
Pescatore還喜歡另外兩個神話,關於雲計算安全的,而且放一起自相矛盾:一是“雲服務永遠不會安全”因為他們分享的服務可以隨便更改;另一個是“雲計算更安全,因為服務商靠這個吃飯”。關於這兩個矛盾的神話,Pescatore指出,“很多服務提供商,比如谷歌,亞馬遜等,建立雲服務不是為企業提供服務或保護他人的信息。事實上,Google通過其搜索服務建立瞭一個非常強大的雲,並大張旗鼓地收集和公開人們的信息。”
Pescatore還拿谷歌和微軟基於電子郵件的雲服務來舉例,迄今已表明,客戶數據遭泄露明顯是服務商的過錯,卻被最大程度歸因於對客戶的釣魚攻擊。而且在處理過程中,企業用戶還得努力配合雲計算服務商。
安全神話3:“所有帳戶都在活動目錄並受到限制。”
Tatu Ylonen——SSH發明人和SSH通信安全公司CEO,認為這種誤解很普遍,但是大多數企業都創建瞭——卻幾乎被人遺忘——應用程序和自動流程使用的多功能帳戶,經常通過加密密鑰管理而且從不審核。“很多大型企業的情況是,他們有更多的密鑰配置訪問他們的生產服務器,比他們在活動目錄中的用戶帳戶還要多,”Ylonen指出。“並且這些密鑰從不更換,從不審核,也不加以限制。所有身份和訪問管理域一般隻管理交互式用戶帳戶,而忽略機器的自動訪問。”這些用來自動訪問的密鑰如果不加以妥善管理,可能會被用於攻擊和病毒傳播。
安全神話4:“IT安全需要風險管理技術。”
IT-Harvest首席研究分析師Richard Stiennon說,盡管風險管理“已成為公認的管理技術”,事實上“它側重於一個不可能完成的任務:確定IT資產和評定它們的價值。”不管如何,這隻是個嘗試,它“不會反映出攻擊者目標所擁有的知識產權的價值。”Stiennon解釋說,“唯有威脅管理能真正提高企業對抗針對性攻擊的能力,而且需要深入理解對手以及他們的目標和方法。”
安全神話5:“應用安全總有‘最佳做法’。”
WhiteHat Security(白帽安全)公司CTO Jeremiah Grossman說,安全專傢通常主張“最佳做法”,這被認為是“普遍有效”和值得投入,因為 “人人通用”。這些做法包括軟件培訓,安全測試,威脅建模,Web應用防火墻,甚至上百種做法。但是他認為這通常忽視瞭每個實際操作環境的獨特性。
安全神話6:“零日漏洞是‘生命周期的一部分’,無法預測也無法有效應對。”
零日漏洞攻擊針對的是大部分人不知道的漏洞——Rapid7 CSO兼Metasploit 滲透測試工具作者H.D. Moore對此有不同看法:“安全專業人士其實可以做好預測避免問題。”如果企業依賴任何“不可能”有功能缺陷的軟件,應該有預案應對未知的風險(一旦該軟件出現安全漏洞)。選擇性授權和限制軟件的權限都是很好的策略。他提到廣受歡迎的博客平臺WordPress。表明上看,“WordPress多糟糕,看看到現在曝出多少漏洞。”但是他說,“軟件缺陷的深厚歷史可以看作是一個軟件越來越受歡迎的自然結果。”Moore得出這樣的結論,“與此相反,相比至今廣為人知且一直被審計的應用程序,幾十種尚未有公開漏洞的軟件反而非常不安全。”總之,一個軟件公佈的安全漏洞數量,是衡量這個軟件最新版有多安全的重要的度量標準。
安全神話7:“遵循北美電力可靠性協會的關鍵基礎設施保護(CIP)的要求,美國電網受到很好的保護。”
Joe Weiss是Applied Control Solution(應用控制解決方案)的合夥人,他認為這是一個神話,因為CIP是基於行業本身而制定,僅適用於分散的電力配送,而不是整個配電系統,而且還需滿足特定的發電規模。美國“80%”的發電量沒有在CIP的監管之下。
安全神話8:“合規即安全。”
PCI安全標準委員會總經理Bob Russo說,企業普遍認為隻要他們的支付卡符合安全規則,他們就是“一勞永逸”地安全瞭。但是檢查盒子的合規性僅體現“一次的印象”,而安全是一個持續的過程,關系到人、技術和流程。
安全神話9:“安全是首席信息安全官的事。”
Phil Dunkelberger,初創企業Nok Nok Labs總裁兼CEO。他說CISO會因為數據泄露而遭到指責,大概因為他們的工作是制定相應的規則,和開展相關的技術課程。但是公司的其他人,特別是IT操作人員,也應該有“安全職責”意識,並且他們應當承擔更多的責任。
安全神話10:“移動設備比PC安全。”
RSA大會程序委員會主席Hugh Thompson博士反駁說,這是“經常發生的想當然”看法。雖有一定的可取之處,但它低估瞭PC上傳統安全防護措施的能力,比如隱蔽密碼和URL預覽,至今沒有用在移動設備上。“因此,盡管移動設備仍比筆記本電腦或臺式機提供瞭更多安全措施,但傳統的安全措施被破壞的話,你將處於易受攻擊的境地。”
安全神話11:“你可以100%安全,但你必須犧牲個人時間。”
初創公司Cylance總裁兼CEO Stuart McClure提醒大傢,不需要花費自己的精力去打擊網上的壞人,我們要“把事情推給政府。”瞭解那些壞傢夥們就可以瞭,“預測他們的行動,他們的工具”,並“深入到他們的皮膚下”。
安全神話12:“時間點安全即可保證你阻止惡意軟件的需要。”
Sourcefire創始人、Snort入侵檢測系統發明人Martin Roesch提到,安全防禦效果往往有限,對於某種類型的攻擊,在所謂的時間點有可能捕捉不到,並且如果它被錯過,防禦系統幾乎不再能夠阻止攻擊者展開後續行動。一個較新的模式是,安全防禦系統不斷地更新信息以瞭解攻擊的范圍並遏制它,即使錯過最初的網絡攻擊行為。
安全神話13:“有瞭正確的保護措施,攻擊者就可以被拒之門外。”
微軟企業可信計算副總裁Scott Charney說,“我們通常會把安全和將人拒之門外外聯系起來;鎖好大門,給計算機裝上防火墻。但現實情況是,盡管有復雜的安全策略和優秀的運營,但一個有決心堅持不懈的攻擊者最終一定會找到突破口。承認現實,我們應該從不同的出發點考慮安全。”所謂整體安全形態,意味著現在和未來有一個“保護,遏制和恢復”的方針來打擊威脅。
Orignal From: 真相大揭底:最新的13個安全行業神話
留言列表
