13個安全神話:你會相信嗎?
在IT安全領域,存在一些“安全神話”,它們經常被提到,普遍被接受,然而,其實都是不正確的觀念,換句話說,它們只是神話。安全專家、顧問、供應商和企業安全管理人員和我們分享了他們最喜歡的“安全神話”,以下是我們從中選出的13個神話:
安全神話1:“更多安全更好”
安全專家兼安全作家BruceSchneider解釋了為什么這個經常被談論的安全觀念是錯誤的原因。他解釋說:“更多安全并不意味著更好。首先,我們需要對安全進行權衡,有時候額外的安全花費的資金與其創造的價值并不對等。舉例來說,并不值得我們花費10萬美元去保護一個甜甜圈,當然,這個甜甜圈會更加安全,但是這種安全保護只是在浪費錢,”他還指出“額外的安全會導致收益減少。也就是說,減少25%特定犯罪(例如入店行竊)采取的措施需要花一些錢,但再減少25%采取額外的措施需要花更多錢。更多的安全性從成本效益角度來看并不值得。并且作為一個必然的結果,絕對安全是不可能實現的。”有時候安全甚至可能成為一種道德選擇,合規可能是一種不道德的決策,因為這可能涉及到一個極權制度。“安全需要遵守合規,而有時候遵守并不是正確的事情。”
安全神話2:“DDoS問題是以帶寬為導向的”
“我們經常會聽到各種沒有真實證據支撐的安全神話,”Radware公司安全解決方案副總裁CarlHerberger表示,“在IT管理人員之間存在一個普遍的看法:只要他們具有足夠的帶寬,分布式拒絕服務(DDoS)攻擊就會消失。”但事實上,研究數據顯示,自去年以來,超過一半的分布式拒絕服務攻擊根本不是以帶寬為導向的,而是以應用程序為導向,攻擊者會攻擊應用程序堆棧,并利用漏洞造成服務中斷。在這種情況下,很多帶寬實際上會幫助攻擊者。Herberger表示,只有四分之一的分布式拒絕服務攻擊會隨著帶寬的增加而有所緩解。
安全神話3:“定期設定密碼使用期限(通常每隔90天)能夠加強密碼系統”
EMC公司安全分公司RSA公司首席科學家AriJuels在談到他最喜歡的安全神話“密碼必須定期設定過期時間”時表示:“我認為這像是一個敦促我們每天喝八杯水的健康建議一樣,沒有人知道這個說法是從哪里來的,也根本不知道這是不是一個好建議。事實上,最近的研究表明,定期的密碼過期時間未必有用。”RSA實驗室的研究表明,如果企業要設定密碼使用期限,應該是根據隨機時間來設定,而不是固定時間。
安全神話4:“你可以依靠群眾的智慧”
“經常,員工會收到某個人發來的電子郵件說發現一個新病毒”或者互聯網上出現了其他類型的危險,導致員工去找IT部門,PhoenixSuns籃球隊信息技術副總裁BillBolt表示。但是經過調查,這些共有的觀念似乎根本不是新鮮事,事實上,大部分時候,這種恐慌通常只是是關于十年前首次發現的知名惡意軟件。
安全神話5:“客戶端虛擬化可以解決‘攜帶自己設備上班’的安全問題”
“我經常聽到這樣的安全神話:‘攜帶自己設備上班’的安全問題可以通過部署‘工作’虛擬機和‘個人’虛擬機來解決,”Gartner公司分析師JohnPescatore表示,“這樣做的話,個人端的所有風險都將得到控制,并且沒有數據會從工作端泄露到游戲端。”但是對此Pescatore表示懷疑。“情報界在多年前也嘗試過這個方法,美國國家安全局雇傭了當時還是小公司的VMware公司來開發一個名為NetTop的產品以用于情報分析,這個產品為機密、絕密、非機密等信息分別創建了獨立虛擬機,很快就出現了一個問題,分析師需要同時跨域所有域來工作,需要在域間移動信息。對于現在的‘工作’和‘游戲’也是同樣的情況,客戶端虛擬化首先出現的事情是:我在工作環境收到一封個人電子郵件,而我需要在個人環境使用這封郵件,所以我將郵件發給我自己,或者使用USB來轉移,這樣這種隔離就失去作用了。虛擬化只是浪費錢。NetTop仍然在使用,不過僅限于在情報界使用,這是這種產品最有可能有效發揮作用的領域。”
安全神話6:“IT部門應該鼓勵用戶使用完全隨機的密碼來提高密碼安全強度,還應該要求密碼至少每隔30天修改一次。”
賽門鐵克安全響應部門主管KevinHaley表示,“事實上,完全隨機的密碼是很強大,但是它們也有缺點:很難讓人記住,輸入速度也很慢。在現實中,可以通過使用一些簡單的技巧,很容易地創建和隨機密碼一樣強大的密碼,而且更加容易記住。密碼至少要14個字符長,利用大寫和小寫字母,兩個數字和兩個符號,這樣的密碼通常就相當強大了,并且可以使用很容易記住的短語。”他補充說雖然30天使用期限對于一些高風險環境是一個很好的建議,但這通常并不是最好的政策,因為這么短的使用期限往往會導致用戶提前準備好類似密碼或者降低密碼的有效性。90到120天的期限更加現實。
安全神話7:“任何計算機病毒都會在屏幕上產生一個可見的癥狀”
“對于街上的人,計算機病毒大多是一個神話,也就是說,他對于惡意軟件的了解大多數來自于科幻小說、電視和電影,”GDataSoftware公司DavidPerry表示,“我最喜歡的安全神話就是任何計算機病毒都會在屏幕上產生一個明顯的癥狀,顯示文件正在被侵蝕或者讓計算機本身起火。而沒有任何可見的病毒跡象就表明系統中沒有惡意軟件。這顯然是無稽之談。”
安全神話8:“我們并不是攻擊目標”
Kroll公司網絡安全和信息保障體系高級管理總監AlanBrill表示:“我經常聽到受害者說他們認為他們并不值得黑客攻擊,有些說不值得是因為他們只是小型企業,根本不至于成為目標。另一些人認為他們的系統中并沒有社會安全號碼、信用卡信息或者其他‘有價值的’信息。但事實并不是這樣。”
安全神話9:“從安全漏洞來看,與以前的軟件相比,現在的軟件并沒有任何好轉”
“有一大群人指責說軟件中存在太多漏洞,與以前的軟件相比,安全性并沒有任何好轉,”Cigital公司首席技術官GaryMcGraw表示,“事實上,現在的軟件改善了很多,并且缺陷密度比率正在下降。”他指出與十年或者二十年前相比,現在大家對于安全編碼做法有了更好的理解,并且有很多有效的安全編碼工具。McGraw表示:“我們知道該做什么。”經常被我們忽視的事實是與Windows95的時代相比,現在需要編寫太多軟件代碼,我們現在編寫的代碼量比以往任何時候都要多得多。“龐大的代碼量也是現在的軟件比以前的軟件存在更多漏洞的原因,但是零漏洞是不可能實現的。”
安全神話10:“通過SSL會話傳輸敏感信息是安全的”
“企業經常使用SSL向客戶或者合作伙伴發送敏感信息,他們認為通過SSL會話的數據傳輸是非常安全的,”Americas公司NCPEngineering部門首席技術官RainerEnders表示,“但是這個過程中開始涌現出越來越多的漏洞。”他指出花旗銀行就在這個過程中遭受了數據泄露,并且這并不是一個孤立的事件。“瑞士研究人員最近公布了一份備忘錄,描述了通過利用塊加密算法(例如AES)中的漏洞在SSL通道傳輸數據過程中捕獲數據的方法,”他表示業界對SSL會話的安全性存在懷疑,“也許避免這個問題最理想的方法就是永遠不要使用相同的密鑰流來加密兩個不同的文件”。Ender還補充說,另一個類似的安全神話是使用來自證書頒發機構的可信證書是絕對安全的,而去年欺詐性證書就推翻了這個神話。
安全神話11:“端點安全軟件是一種商品”
企業戰略集團(ESG)分析師JonOltsik表示,在ESG的問卷調查中詢問端點安全軟件是否是一個商品以及是否基本上都是一樣時,大多數企業安全專業人士都同意這個關于端點安全產品的說法。但是Oltsik表示他不同意端點安全軟件基本上都是相同的說法。“我認為這完全是一個訛傳,”他表示,“端點安全產品在保護和功能/特性方面來看有很大的不同。”Oltsik補充說,他甚至認為大多數企業根本不知道他們已經購買的端點安全產品的功能,并沒有使用適當的產品來加大保護。
安全神話12“當然,我們網絡中有防火墻,我們當然受到保護!”
阿肯色大學信息技術安全分析師KevinButler表示他從事防火墻管理員的工作長達十年,有很多關于防火墻的神話。他承認在過去幾年他曾相信其中一些神話,包括“防火墻是一個硬件”和“正確配置的防火墻能夠保護你免受任何威脅”。他知道的其他防火墻神話包括“有了防火墻,就不需要殺毒軟件了”,最讓他憤怒的是“某品牌防火墻甚至可以抵御零日威脅”。對此,他表示,“針對防火墻保護的新漏洞利用出現的速度非常快,防火墻不可能抵御零日威脅。防火墻對于外圍保護永遠不可能是一個一勞永逸的解決方案。”
安全神話13:“你發現了作為有針對性攻擊一部分的惡意軟件樣本,你不應該將這些樣本上傳給知名惡意軟件供應商或者服務。”
DellSecureWorks公司惡意軟件分析主管JoeStewart表示他曾聽過這個建議,他認為這是個“有問題的”建議。他表示這個想法的出現是建立在,“首先,攻擊者可能會查看公共沙箱和病毒掃描儀來尋找他們的惡意軟件的蹤跡,將在事件響應中發現的樣本上傳將會讓攻擊者知道他們被發現了。”他指出這種想法存在的第二個原因在于:在一個有針對性攻擊中,惡意軟件中可能存在線索指明誰是攻擊目標,導致暴露了攻擊。Stewart指出:“第一點假設了攻擊者有時間去定期查看公共信息,這幾乎是不可能的,即使在有針對性攻擊中,單次攻擊活動往往有幾十個受害者,而同一名攻擊者每年要發動幾次這樣的攻擊活動。攻擊者很少對每個不同目標使用獨特的惡意軟件,他們只是選擇使用預選的木馬程序,讓他們不被殺毒軟件發現。即使某個惡意軟件樣本出現在公共惡意軟件追蹤網站,也不能保證攻擊者會看到,即使攻擊者看到,攻擊者也無法確定上傳這個惡意軟件樣本的目標。”對于有針對性攻擊,共享你發現的惡意軟件樣本有很大的好處。惡意軟件也有可能揭露目標機構的名稱,這是可能發生的,只是不經常能看到。Stewart表示,從長期來看,試圖對這種有針對性攻擊活動進行保密可能會對所有人帶來造成影響,因為這樣將助長攻擊者的攻擊活動。
【編輯推薦】
