安全神话又来了——在IT安全领域,存在一些“安全神话”,它们经常被提到,普遍被接受,然而,其实都是不正确的观念,换句话说,它们只是神话。同去年一样,我们再一次邀请安全专家、顾问、供应商和企业安全管理人员和我们分享他们最喜欢的“安全神话”,以下是我们从中选出的13个神话:
安全神话1:“反病毒软件有效地保护你免受恶意软件侵扰。”
趋势科技CTORaimund Genes认为企业需要使用反病毒软件,否则“审计师会杀了你”。但是反病毒软件不能可靠地抵抗有针对性的攻击,因为在它启动之前,攻击者能够觉察到并确保自己不被反病毒软件发现。
安全神话2:“政府制造最强大的网络攻击。”
SANS新兴安全趋势主任John Pescatore说,大多数的政府发起的攻击,只是重新使用了犯罪分子惯用的方法和资源。美国国防部喜欢炒作来自其他国家的威胁,以提高其预算。可悲的是,针对银行网站(如花旗银行)的拒绝服务攻击本来可以阻止,却没有足够努力去做。而且,几十年来政府间的间谍活动从来不是新闻,美中法俄及其他国家人人有份。
Pescatore还喜欢另外两个神话,关于云计算安全的,而且放一起自相矛盾:一是“云服务永远不会安全”因为他们分享的服务可以随便更改;另一个是“云计算更安全,因为服务商靠这个吃饭”。关于这两个矛盾的神话,Pescatore指出,“很多服务提供商,比如谷歌,亚马逊等,建立云服务不是为企业提供服务或保护他人的信息。事实上,Google通过其搜索服务建立了一个非常强大的云,并大张旗鼓地收集和公开人们的信息。”
Pescatore还拿谷歌和微软基于电子邮件的云服务来举例,迄今已表明,客户数据遭泄露明显是服务商的过错,却被最大程度归因于对客户的钓鱼攻击。而且在处理过程中,企业用户还得努力配合云计算服务商。
安全神话3:“所有帐户都在活动目录并受到限制。”
Tatu Ylonen——SSH发明人和SSH通信安全公司CEO,认为这种误解很普遍,但是大多数企业都创建了——却几乎被人遗忘——应用程序和自动流程使用的多功能帐户,经常通过加密密钥管理而且从不审核。“很多大型企业的情况是,他们有更多的密钥配置访问他们的生产服务器,比他们在活动目录中的用户帐户还要多,”Ylonen指出。“并且这些密钥从不更换,从不审核,也不加以限制。所有身份和访问管理域一般只管理交互式用户帐户,而忽略机器的自动访问。”这些用来自动访问的密钥如果不加以妥善管理,可能会被用于攻击和病毒传播。
安全神话4:“IT安全需要风险管理技术。”
IT-Harvest首席研究分析师Richard Stiennon说,尽管风险管理“已成为公认的管理技术”,事实上“它侧重于一个不可能完成的任务:确定IT资产和评定它们的价值。”不管如何,这只是个尝试,它“不会反映出攻击者目标所拥有的知识产权的价值。”Stiennon解释说,“唯有威胁管理能真正提高企业对抗针对性攻击的能力,而且需要深入理解对手以及他们的目标和方法。”
安全神话5:“应用安全总有‘最佳做法’。”
WhiteHat Security(白帽安全)公司CTO Jeremiah Grossman说,安全专家通常主张“最佳做法”,这被认为是“普遍有效”和值得投入,因为 “人人通用”。这些做法包括软件培训,安全测试,威胁建模,Web应用防火墙,甚至上百种做法。但是他认为这通常忽视了每个实际操作环境的独特性。
安全神话6:“零日漏洞是‘生命周期的一部分’,无法预测也无法有效应对。”
零日漏洞攻击针对的是大部分人不知道的漏洞——Rapid7 CSO兼Metasploit 渗透测试工具作者H.D. Moore对此有不同看法:“安全专业人士其实可以做好预测避免问题。”如果企业依赖任何“不可能”有功能缺陷的软件,应该有预案应对未知的风险(一旦该软件出现安全漏洞)。选择性授权和限制软件的权限都是很好的策略。他提到广受欢迎的博客平台WordPress。表明上看,“WordPress多糟糕,看看到现在曝出多少漏洞。”但是他说,“软件缺陷的深厚历史可以看作是一个软件越来越受欢迎的自然结果。”Moore得出这样的结论,“与此相反,相比至今广为人知且一直被审计的应用程序,几十种尚未有公开漏洞的软件反而非常不安全。”总之,一个软件公布的安全漏洞数量,是衡量这个软件最新版有多安全的重要的度量标准。
安全神话7:“遵循北美电力可靠性协会的关键基础设施保护(CIP)的要求,美国电网受到很好的保护。”
Joe Weiss是Applied Control Solution(应用控制解决方案)的合伙人,他认为这是一个神话,因为CIP是基于行业本身而制定,仅适用于分散的电力配送,而不是整个配电系统,而且还需满足特定的发电规模。美国“80%”的发电量没有在CIP的监管之下。
安全神话8:“合规即安全。”
PCI安全标准委员会总经理Bob Russo说,企业普遍认为只要他们的支付卡符合安全规则,他们就是“一劳永逸”地安全了。但是检查盒子的合规性仅体现“一次的印象”,而安全是一个持续的过程,关系到人、技术和流程。
安全神话9:“安全是首席信息安全官的事。”
Phil Dunkelberger,初创企业Nok Nok Labs总裁兼CEO。他说CISO会因为数据泄露而遭到指责,大概因为他们的工作是制定相应的规则,和开展相关的技术课程。但是公司的其他人,特别是 IT操作人员,也应该有“安全职责”意识,并且他们应当承担更多的责任。
安全神话10:“移动设备比PC安全。”
RSA大会程序委员会主席Hugh Thompson博士反驳说,这是“经常发生的想当然”看法。虽有一定的可取之处,但它低估了PC上传统安全防护措施的能力,比如隐蔽密码和URL预览,至今没有用在移动设备上。“因此,尽管移动设备仍比笔记本电脑或台式机提供了更多安全措施,但传统的安全措施被破坏的话,你将处于易受攻击的境地。”
安全神话11:“你可以100%安全,但你必须牺牲个人时间。”
初创公司Cylance总裁兼CEO Stuart McClure提醒大家,不需要花费自己的精力去打击网上的坏人,我们要“把事情推给政府。”了解那些坏家伙们就可以了,“预测他们的行动,他们的工具”,并“深入到他们的皮肤下”。
安全神话12:“时间点安全即可保证你阻止恶意软件的需要。”
Sourcefire创始人、Snort入侵检测系统发明人Martin Roesch提到,安全防御效果往往有限,对于某种类型的攻击,在所谓的时间点有可能捕捉不到,并且如果它被错过,防御系统几乎不再能够阻止攻击者展开后续行动。一个较新的模式是,安全防御系统不断地更新信息以了解攻击的范围并遏制它,即使错过最初的网络攻击行为。
安全神话13:“有了正确的保护措施,攻击者就可以被拒之门外。”
微软企业可信计算副总裁Scott Charney说,“我们通常会把安全和将人拒之门外外联系起来;锁好大门,给计算机装上防火墙。但现实情况是,尽管有复杂的安全策略和优秀的运营,但一个有决心坚持不懈的攻击者最终一定会找到突破口。承认现实,我们应该从不同的出发点考虑安全。”所谓整体安全形态,意味着现在和未来有一个“保护,遏制和恢复”的方针来打击威胁。