分析:九种行不通的IT安全做法

你最依赖的安全产品和技术并不一定能保护你。事实上,大多数IT安全产品和技术并不能提供其广告中宣传的那种安全保护水平,使我们面临着比想象中更大的威胁。
并且,传统IT安全主要采取鼹鼠战术(引申意思是监视与打击)来处理威胁,使我们无法应对创新的恶意软件。
以下是9个常见IT安全做法和产品,它们并不能提供你所想象的保护水平:
行不通的安全方法No. 1:防病毒扫描可能无法发现真正的网络威胁
传统的防病毒扫描最早出现在20世纪80年代。在那之前,如果你怀疑你有特定的恶意应用程序,你需要使用专门为该恶意软件建立的检测程序来对付它。
在20世纪90年代初,这些防恶意软件扫描仪能够检测出每个病毒、蠕虫病毒和木马程序,当时的病毒种类和数量并不多。
然而,现在的攻击者每个月都会推出成千上万种新恶意程序,这并不是任何单个防病毒程序能够检测出的。尽管几乎所有防病毒软件供应商都声称他们的产品可以100%地检测常见恶意软件,并且,他们还能向你展示证明这种难以置信的精准度的证书,但事实并非如此。
我们都不断面临着我们的防病毒引擎无法检测出的新恶意软件。即使你将恶意软件样本提交给防病毒引擎网站(例如VirusTotal),这些防病毒引擎经常会错过这些新恶意软件样本,有时候长达几天。甚至,几周后,防病毒引擎仍然无法检测这个木马或蠕虫病毒。
行不通的安全方法No.2:防火墙只能提供很少的保护
与防病毒扫描相比,防火墙保护正变得更加不相关。为什么呢?因为大多数恶意软件是通过诱使最终用户运行其桌面禁止的程序,因而绕过了防火墙保护。此外,恶意程序使用端口80或443来“拨号”,而这在防火墙中总是打开的。
大多数人在外围、桌面部署多个防火墙,以及过滤应用程序,但所有这些主机端口隔离都行不通。
行不通的安全方法No.3:漏洞修复并不是灵丹妙药
多年以来,我们听得最多的安全建议就是及时修复漏洞。所有软件都有多个漏洞,必须及时进行修复。尽管存在各种修复管理系统,但不知出于何种原因,这些系统并不能提供其承诺的完美修复。
很多时候,并不是修复管理软件的问题,而是管理者的问题。他们只是修复了一些漏洞,但却漏掉了最主要的目标,例如Java、Adobe Reader、Flash等。或者说,他们没有及时修复漏洞。所以,总是存在漏洞。即使是在最好的情况下,大部分人修复漏洞都需要花几天或几周,但恶意软件只需要几分钟或者几小时。
行不通的安全方法No.4:最终用户教育只能得F
自个人电脑出现以来,我们就提醒用户不要从其软盘驱动器中的磁盘来启动,不要允许意外的宏运行,不要点击可疑的文件附件,还有,不要运行可疑的杀毒软件清理程序。尽管如此,这无济于事。
如果我们的最终用户教育政策成功的话,我们早就击败攻击者和黑客了。根据最近的趋势来看,最终用户的安全意识比以往任何时候都要糟糕。社会工程木马(诱使最终用户运行恶意程序)是迄今为止最大的威胁。大多数最终用户很容易在社交媒体网站泄露其所有隐私信息,而他们完全没有考虑过后果,这可能让他们成为攻击者的目标。
对于大多数最终用户教育计划,最终用户教育变成被迫的不必要的苦差事。并且,培训课程很随意地开展,通常并不包含与最新攻击相关的信息。如果诱骗最终用户运行木马程序的头号方法是通过假的杀毒软件,你会告诉你的员工真正的杀毒软件长什么样子吗?为什么不呢?
这种员工教育的缺失使IT系统处于危险之中。平均来说,最新威胁出现在最终用户教育计划中需要两年时间,而攻击者只需要一分钟就可以改变攻击方法,这让我们整整落后了两年。
你知道比最终用户教育更好的安全方法吗?更安全的软件和更好的默认提示。不要期待最终用户作出正确的决定,而应该为他们做决定。
最终用户教育是永远无法完成的工作,因为只要有一个人,一个错误就可以感染整个公司。但你可以通过提供更好更有针对性的最终用户教育来降低风险。
行不通的安全方法No.5:密码强度无法保护你
这是经常听到的安全口头禅:创建一个高强度密码,并且定期更换。但事实上,很多用户在多个网站和安全领域使用相同的密码,并且用户还可能向随机电子邮件透露他们的密码,很多最终用户根本不那么关心他们的密码安全。
现在更大的问题是,大多数攻击者也不在乎安全密码。他们诱骗最终用户运行木马程序,然后获得管理员权限,获取密码哈希值。
行不通的安全方法No.6:入侵检测系统无法确定攻击者意图
入侵检测系统(IDS)是你愿意相信的安全技术类型。你定义了一堆“攻击”签名,如果入侵检测系统检测出网络流量中存在相关字符串或者行为,它就会发出警告或者阻止攻击。但与其他安全技术一样,入侵检测系统并没有那么好用。
首先,没有办法将所有有效的攻击签名堆在你的企业中。最好的入侵检测系统可能包含数百个签名,但存在数以万计的恶意程序企图攻击你的系统。你可以自己向IDS添加数以万计的签名,但这回减慢所有监控的流量。另外,IDS已经出现很多误报时间,所有警报都被像防火墙日志那样处理:被忽视和未读。
IDS的失误是因为大多数攻击者都搭载合法访问中。IDS如何能够分辨CFO查询其财务数据库和国外攻击者使用该CFO的计算机访问相同的数据库呢?它们不能,根本没有办法判断查询的意图。
行不通的安全方法No.7:PKI已经被破坏
公共密钥基础设施很好用,但问题是很多PKI并不安全,而且大多被忽略,甚至当它们在公共部门完美运行的时候。
在过去一年或者两年中,我们已经看到几个合法公共证书办法机构遭到攻击,使攻击者能够访问其签名密钥,这原本应该是最需要受到保护的信息,并且,攻击者能够发布欺诈密钥来用于其他攻击。
即使PKI仍然强大和完美,人们并不在乎。大多数最终用户当看到浏览器警告说“数字证书不可信任”时,他们仍然会点击“忽略”按钮。他们很高兴地绕过安全带来的不便,并继续流浏览网页。
部分问题在于使用数字证书的网站和程序并没有认真对待数字证书,导致每天都会发生证书错误消息。而如果最终用户不忽略数字证书错误信息的话,他们将无法继续其网络生活,有时候包括远程访问其自己的工作系统。浏览器供应商可以对数字证书错误进行整治,使网站或者服务不会出现任何错误,但客户可能会选择另一个浏览器。最终,每个人都愉快地忽略我们的公共密钥系统,大家都不在乎PKI。
行不通的安全方法No.8:你的设备是攻击者的梦想
设备的主要优势(提高安全性)并没有显现出来。通过部署一个较小的OS足迹(通常是锁定版本的Linux或者BSD),设备将会比运行传统操作系统的全功能电脑更加安全。然而,在超过十年的安全设备测试中,只出现过一个不包含任何已知公共漏洞的设备。设备只是在封闭的硬盘驱动器或固件上的操作系统,这些设计很难以即使进行漏洞修复。
例如,上周在针对一家财富100强公司的测试中,我们发现每个无线网络控制器都有未修复的Apache和OpenSSH服务,这些漏洞可能让攻击者通过公共无线网络作为管理员进入其内部企业网络。他们的IDS和防火墙设备包含公共脚本(很早以前就被发现存在远程绕过漏洞),且他们的电子邮件设备正在运行允许匿名上传的不安全的FTP服务。
这些结果让我们很惊讶。设备通常包含与软件相同数量的漏洞,但它们更难以修复。除了作为被硬化的安全设备外,它们也是攻击者的梦想。
行不通的安全方法No.9:沙盒提供到底层系统的直接路径
安全沙盒的目的在于让针对软件的漏洞利用不可能实现或者至少更难执行。事实上,安全沙盒并没有发挥这个作用。
目前,最大的安全沙盒可能是Java和谷歌的Chrome浏览器,而它们都遭受了100次漏洞利用,并允许对底层系统的直接访问。然而,这并没有阻止这些梦想家追求能够阻止所有漏洞利用和电脑病毒的沙箱。
很多安全方法和产品名不符其实,企业应该在众多解决方案中作出选择,选出能够真正降低风险的解决方案。