472
13大已被揭穿的IT安全謠言
這些經常被一再提起、受到廣泛認同的IT安全觀點其實……全是胡說八道。從一年前開始,我們就在努力收集安全專家眼中最誤人子弟的“安全謠言”,現在是時候揭穿它們的偽裝、還大家一個清平世界了。
安全謠言第一位:“殺毒軟件能有效保護您遠離惡意軟件”
趨勢科技公司CTO Raimund Genes指出,企業之所以廣泛使用殺毒軟件,是因為“審計師會牢牢揪出這一點不放”。然而殺毒軟件本身並不能可靠地保護我們抵禦有針對性的攻擊,因為攻擊者會在動手之前進行測試,以確保自己的詭計不會為殺毒軟件所識破。
安全謠言第二位:“政府才是最強網絡攻擊的源頭”
John Pescatore
SANS公司新興安全趨勢部門主管John Pescatore認為,大多數來自政府的網絡攻擊隻是重新借用由犯罪分子鼓搗出來的現成資源。美國國防部一直喜歡大肆宣揚來自民族國家的威脅論借以提高預算額度。可悲的是,像花旗銀行這樣的金融行業網站本來有機會抵擋住拒絕服務攻擊,但卻由於缺乏努力而未能成功。就連針對別國政府組織的間諜活動都沒有涉及什麼新技術,近十年來中國、美國、法國、俄羅斯等其它一些技術強國鮮有成果問世。
Pescatore還提到他個人感受最深的兩條安全謠言:其一是“雲服務永遠無法保證安全”,因為服務的共享特性允許供應商隨時對其進行修改;其二是“雲環境更安全,因為供應商能夠實時掌握一切。”針對這兩條謠言,Pescatore指出“以穀歌、Amazon等為代表的雲服務供應商並沒有建立起企業級別的服務、也無法保護用戶信息萬全。事實上,穀歌還主動建立起一套非常強大的雲信息收集機製,能夠通過搜索服務明目張膽地收集並公開他人信息。”
但Pescatore同時指出,由穀歌與微軟等推出的以電子郵件為基礎的雲服務還是比較可靠的。在目前已經披露出來的用戶數據泄露事件中,幾乎沒有明確證據能說明供應商在運營過程中存在紕漏——反倒是客戶本身受到了網絡釣魚攻擊的影響。但企業客戶仍然在想辦法改進處理流程,以適應雲服務供應商提供的事件響應機製。
安全謠言第三位:“我們的賬戶都處於Active Directory之下並受到嚴格控製”
SSH發明人、SSH通信安全公司CEO Tatu Ylonen表示,這種誤解很常見,而且很多機構都在為應用程序及自動化流程的功能性賬戶設定加密密鑰後就忘了這碼事,更談不到對其進行重新審計。“許多大型機構在生產服務器端設定的加密密鑰都遠遠多於Active Directory中的用戶賬戶密鑰,”Ylonen指出。“這些密鑰從未更改、缺乏審計且不受控製。全局身份驗證及訪問管理體係管理著這些交互用戶賬戶,且一直以忽略形式允許設備自動進行訪問。”雖然這樣確實更方便,但如果不加以妥善打理,用於自動訪問的密鑰也可能成為攻擊及病毒的傳播渠道。
安全謠言第四位:“風險管理技術是IT安全的必要組成部分”
IT-Harvest公司首席研究分析師Richard Stiennon指出,盡管風險管理“已經成為一種公認的管理技術”,但事實上“它所關注的是一項不可能完成的任務,即辨識IT資產並評估其價值。”無論如何嚐試,它“都無法真正反映出攻擊者覬覦的專利產權中所蘊含的實際價值。”Stiennon認為“惟一能幫助企業改善自我保護能力的方法在於威脅管理方案,而這需要我們深入了解競爭對手、其發展目標以及實施方法。”
安全謠言第五位:“應用程序安全領域存在‘最佳實踐’”
白帽安全公司CTO Jeremiah Grossman表示安全專家常常喜歡宣揚“最佳實踐”,認為這類方案能夠“廣泛起效”、“值得投資”且“對於每個人都必不可少”。詳細來說,其中包括軟件培訓、安全檢測、威脅建模、Web應用防火牆以及“其它數百項措施”。但在他看來,這顯然忽視了每套操作係統所蘊含的獨特性。
安全謠言第六位:“零日漏洞是一種固有特性,我們無法預測或進行有效應對”
H.D. Moore
零日漏洞是指那些尚未被大家普遍發現的網絡安全缺陷。但Metasploit滲透測試工具的締造者、Rapid 7公司CSO H.D.Moore則認為實際情況恰恰相反。“安全專家能夠切實預測並避免存在問題的軟件引發麻煩。”如果機構本身倚仗於某款軟件且達到不可或缺的程度,那麼勢必需要製定出一套應對方案以避免這款軟件引發安全風險。選擇性授權與限定軟件接收權限都是很好的管理策略。他還與我們分享了另一條安全謠言,即“我們可以根據公開披露的漏洞數量評判一款產品或服務的安全性。”他認為,反擊這種論調的最佳武器就是WordPress。“看看它所曝出的安全漏洞有多少!這麼看來WordPress根本就是垃圾。”但事實證明,“軟件缺陷也是成長曆程的一部分,這並不妨礙其成為日後的人氣明星。”Moore得出結論,“與此相反,可能有幾十款沒有發現安全漏洞的產品,但它們並不是真正安全、隻是由於人氣太低而掩蓋了不夠安全的現實。總之,我們不應該以安全漏洞數量的多寡來衡量一款軟件的好壞以及安全性的高低,這套標準毫無科學性可言。”
安全謠言第七位:“美國電網受到北美電力可靠性公司的關鍵性基礎設施保護(簡稱CIP)”
Applied Control Solutions公司執行合夥人Joe Weiss認為這純屬謠言,因為由電力行業自己製定的CIP僅適用於批量分銷型供電體係,而並不針對整個配電係統,同時隻涵蓋了一部分供電設施。“全美80%的供電設施並未受到CIP的保護。”
安全謠言第八位:“我通過了合規性審查,所以我是安全的”
PCI安全標準委員會總經理Bob Russo表示這種觀念相當普遍,即企業往往認為隻要能夠通過支付卡數據安全規範的審計,他們就“高枕無憂、永遠安全”了。但合規性審查隻能算是對特定時間點上的企業經營“快照”進行評估,而安全則是一個持續而不能鬆懈的過程,需要相關人員、技術與流程通力配合方能永保太平。
安全謠言第九位:“安全是首席信息安全官才需要考慮的問題”
新興企業Nok Nok實驗室總裁兼CEO Phil Dunkelberger指出,CISO確實應該為數據違規狀況擔負主要責任,而這類行政或技術課題也正是他們的份內工作。然而企業中的很多其他崗位同樣需要把安全時刻銘記在心,尤其是IT操作人員。他們手中也掌握著“安全性”的命運,因此要比普通員工承擔更多責任。
安全謠言第十位:“移動設備比計算機更安全”
RSA大會項目委員會主席Hugh Thompson博士對這種“常見的假想”提出質疑。他認為盡管有一定道理,但這種言論低做了計算機中以掩飾密碼及URL預覽為代表的傳統保障手段,而這些成熟機製目前在移動設備上還不適用。“因此,雖然移動設備就自身而言比台式機或筆記本要安全一些,但傳統安全手段的缺失仍然會留下許多安全漏洞。”
安全謠言第十一位:“要想實現安全性,我們就不得不放棄一部分個人自由”
新興企業Cylance公司CEO兼總裁Stuart McClure指出,千萬不要聽信這類說法。什麼“為了打擊壞人,我們必須讓政府插手自己的網絡流量信息”,全都是一派胡言。要想防患於未然,安全專家該做的是了解壞人的想法、“揣測其行動並熟悉其作案工具”,並最終將其一舉攻陷。
安全謠言第十二位:“阻止惡意軟件,實時反應最重要”
Snort入侵檢測係統締造者、Sourcefire公司創始人Martin Roesch認為安全防範機製往往效果有限,很難快速追蹤或捕捉到各種類型的攻擊。而且即使錯過了實時反應的機會,現有防禦機製也會對整個流程有所認知並準備應對攻擊者的後續活動。新型安全防護模式會持續不斷進行信息更新,這樣就算無法第一時間揪出犯罪分子,了解其攻擊範圍及手段也是很有意義的。
安全謠言第十三位:“有了正確的保護機製,攻擊者將被拒之門外”
微軟公司可信計算全球副總裁Scott Charney表示,“我們常常把安全跟‘拒之門外’聯係起來;鎖上門、裝上防火牆似乎就萬事大吉了。然而實際情況在於,即使是最複雜的安全策略與最優秀的執行流程也終會被有耐心、有決心的攻擊者找到可乘之機。實際上,我們應該轉化自己對於安全概念的認識。”對於整個安全社區而言,這意味著“保護、遏製及恢複”三大方針,這才是足以對抗威脅的長久之計。
最後更新:2017-04-03 22:15:27