導讀:本文中,安全專家、顧問、供應商和企業安全管理人員同我們一起分享了他們最喜歡的“安全神話”,以下是我們從中選出的13個神話。
在IT安全領域,存在一些“安全神話”,它們經常被提到,普遍被接受,然而,其實都是不正確的觀念,換句話說,它們只是神話。安全專家、顧問、供應商和企業安全管理人員和我們分享了他們最喜歡的“安全神話”,以下是我們從中選出的13個神話:
安全神話1:“更多安全更好”
安全專家兼安全作家Bruce Schneider解釋了爲什麼這個經常被談論的安全觀念是錯誤的原因。他解釋說:“更多安全並不意味着更好。首先,我們需要對安全進行權衡,有時候額外的安全花費的資金與其創造的價值並不對等。舉例來說,並不值得我們花費10萬美元去保護一個甜甜圈,當然,這個甜甜圈會更加安全,但是這種安全保護只是在浪費錢,”他還指出“額外的安全會導致收益減少。也就是說,減少25%特定犯罪(例如入店行竊)採取的措施需要花一些錢,但再減少25%採取額外的措施需要花更多錢。更多的安全性從成本效益角度來看並不值得。並且作爲一個必然的結果,絕對安全是不可能實現的。”有時候安全甚至可能成爲一種道德選擇,合規可能是一種不道德的決策,因爲這可能涉及到一個極權制度。“安全需要遵守合規,而有時候遵守並不是正確的事情。”
安全神話 2:“DDoS問題是以帶寬爲導向的”
“我們經常會聽到各種沒有真實證據支撐的安全神話,”Radware公司安全解決方案副總裁Carl Herberger表示,“在IT管理人員之間存在一個普遍的看法:只要他們具有足夠的帶寬,分佈式拒絕服務(DDoS)***就會消失。”但事實上,研究數據顯示,自去年以來,超過一半的分佈式拒絕服務***根本不是以帶寬爲導向的,而是以應用程序爲導向,***者會***應用程序堆棧,並利用漏洞造成服務中斷。在這種情況下,很多帶寬實際上會幫助***者。Herberger表示,只有四分之一的分佈式拒絕服務***會隨着帶寬的增加而有所緩解。
安全神話3:“定期設定密碼使用期限(通常每隔90天)能夠加強密碼系統”
EMC公司安全分公司RSA公司首席科學家Ari Juels在談到他最喜歡的安全神話“密碼必須定期設定過期時間”時表示:“我認爲這像是一個敦促我們每天喝八杯水的健康建議一樣,沒有人知道這個說法是從哪裏來的,也根本不知道這是不是一個好建議。事實上,最近的研究表明,定期的密碼過期時間未必有用。”RSA實驗室的研究表明,如果企業要設定密碼使用期限,應該是根據隨機時間來設定,而不是固定時間。
安全神話4:“你可以依靠羣衆的智慧”
“經常,員工會收到某個人發來的電子郵件說發現一個新病毒”或者互聯網上出現了其他類型的危險,導致員工去找IT部門,Phoenix Suns籃球隊信息技術副總裁Bill Bolt表示。但是經過調查,這些共有的觀念似乎根本不是新鮮事,事實上,大部分時候,這種恐慌通常只是是關於十年前首次發現的知名惡意軟件。
安全神話5:“客戶端虛擬化可以解決‘攜帶自己設備上班’的安全問題”
“我經常聽到這樣的安全神話:‘攜帶自己設備上班’的安全問題可以通過部署‘工作’虛擬機和‘個人’虛擬機來解決,”Gartner公司分析師John Pescatore表示,“這樣做的話,個人端的所有風險都將得到控制,並且沒有數據會從工作端泄露到遊戲端。”但是對此Pescatore表示懷疑。“情報界在多年前也嘗試過這個方法,美國國家安全局僱傭了當時還是小公司的VMware公司來開發一個名爲NetTop的產品以用於情報分析,這個產品爲機密、絕密、非機密等信息分別創建了獨立虛擬機,很快就出現了一個問題,分析師需要同時跨域所有域來工作,需要在域間移動信息。對於現在的‘工作’和‘遊戲’也是同樣的情況,客戶端虛擬化首先出現的事情是:我在工作環境收到一封個人電子郵件,而我需要在個人環境使用這封郵件,所以我將郵件發給我自己,或者使用USB來轉移,這樣這種隔離就失去作用了。虛擬化只是浪費錢。NetTop仍然在使用,不過僅限於在情報界使用,這是這種產品最有可能有效發揮作用的領域。”
安全神話6:“IT部門應該鼓勵用戶使用完全隨機的密碼來提高密碼安全強度,還應該要求密碼至少每隔30天修改一次。”
賽門鐵克安全響應部門主管Kevin Haley表示,“事實上,完全隨機的密碼是很強大,但是它們也有缺點:很難讓人記住,輸入速度也很慢。在現實中,可以通過使用一些簡單的技巧,很容易地創建和隨機密碼一樣強大的密碼,而且更加容易記住。密碼至少要14個字符長,利用大寫和小寫字母,兩個數字和兩個符號,這樣的密碼通常就相當強大了,並且可以使用很容易記住的短語。”他補充說雖然30天使用期限對於一些高風險環境是一個很好的建議,但這通常並不是最好的政策,因爲這麼短的使用期限往往會導致用戶提前準備好類似密碼或者降低密碼的有效性。90到120天的期限更加現實。
安全神話7:“任何計算機病毒都會在屏幕上產生一個可見的症狀”
“對於街上的人,計算機病毒大多是一個神話,也就是說,他對於惡意軟件的瞭解大多數來自於科幻小說、電視和電影,”G Data Software公司David Perry表示,“我最喜歡的安全神話就是任何計算機病毒都會在屏幕上產生一個明顯的症狀,顯示文件正在被侵蝕或者讓計算機本身起火。而沒有任何可見的病毒跡象就表明系統中沒有惡意軟件。這顯然是無稽之談。”
安全神話8:“我們並不是***目標”
Kroll公司網絡安全和信息保障體系高級管理總監Alan Brill表示:“我經常聽到受害者說他們認爲他們並不值得******,有些說不值得是因爲他們只是小型企業,根本不至於成爲目標。另一些人認爲他們的系統中並沒有社會安全號碼、信用卡信息或者其他‘有價值的’信息。但事實並不是這樣。”
安全神話9:“從安全漏洞來看,與以前的軟件相比,現在的軟件並沒有任何好轉”
“有一大羣人指責說軟件中存在太多漏洞,與以前的軟件相比,安全性並沒有任何好轉,”Cigital公司首席技術官Gary McGraw表示,“事實上,現在的軟件改善了很多,並且缺陷密度比率正在下降。”他指出與十年或者二十年前相比,現在大家對於安全編碼做法有了更好的理解,並且有很多有效的安全編碼工具。McGraw表示:“我們知道該做什麼。”經常被我們忽視的事實是與Windows 95的時代相比,現在需要編寫太多軟件代碼,我們現在編寫的代碼量比以往任何時候都要多得多。“龐大的代碼量也是現在的軟件比以前的軟件存在更多漏洞的原因,但是零漏洞是不可能實現的。”
安全神話10:“通過SSL會話傳輸敏感信息是安全的”
“企業經常使用SSL向客戶或者合作伙伴發送敏感信息,他們認爲通過SSL會話的數據傳輸是非常安全的,”Americas公司NCP Engineering部門首席技術官Rainer Enders表示,“但是這個過程中開始涌現出越來越多的漏洞。”他指出花旗銀行就在這個過程中遭受了數據泄露,並且這並不是一個孤立的事件。“瑞士研究人員最近公佈了一份備忘錄,描述了通過利用塊加密算法(例如AES)中的漏洞在SSL通道傳輸數據過程中捕獲數據的方法,”他表示業界對SSL會話的安全性存在懷疑,“也許避免這個問題最理想的方法就是永遠不要使用相同的密鑰流來加密兩個不同的文件”。Ender還補充說,另一個類似的安全神話是使用來自證書頒發機構的可信證書是絕對安全的,而去年欺詐性證書就推翻了這個神話。
安全神話11:“端點安全軟件是一種商品”
企業戰略集團(ESG)分析師Jon Oltsik表示,在ESG的問卷調查中詢問端點安全軟件是否是一個商品以及是否基本上都是一樣時,大多數企業安全專業人士都同意這個關於端點安全產品的說法。但是Oltsik表示他不同意端點安全軟件基本上都是相同的說法。“我認爲這完全是一個訛傳,”他表示,“端點安全產品在保護和功能/特性方面來看有很大的不同。”Oltsik補充說,他甚至認爲大多數企業根本不知道他們已經購買的端點安全產品的功能,並沒有使用適當的產品來加大保護。
安全神話12“當然,我們網絡中有防火牆,我們當然受到保護!”
阿肯色大學信息技術安全分析師Kevin Butler表示他從事防火牆管理員的工作長達十年,有很多關於防火牆的神話。他承認在過去幾年他曾相信其中一些神話,包括“防火牆是一個硬件”和“正確配置的防火牆能夠保護你免受任何威脅”。他知道的其他防火牆神話包括“有了防火牆,就不需要殺毒軟件了”,最讓他憤怒的是“某品牌防火牆甚至可以抵禦零日威脅”。對此,他表示,“針對防火牆保護的新漏洞利用出現的速度非常快,防火牆不可能抵禦零日威脅。防火牆對於外圍保護永遠不可能是一個一勞永逸的解決方案。”
安全神話13:“你發現了作爲有針對性***一部分的惡意軟件樣本,你不應該將這些樣本上傳給知名惡意軟件供應商或者服務。”
Dell SecureWorks公司惡意軟件分析主管Joe Stewart表示他曾聽過這個建議,他認爲這是個“有問題的”建議。他表示這個想法的出現是建立在,“首先,***者可能會查看公共沙箱和病毒掃描儀來尋找他們的惡意軟件的蹤跡,將在事件響應中發現的樣本上傳將會讓***者知道他們被發現了。”他指出這種想法存在的第二個原因在於:在一個有針對性***中,惡意軟件中可能存在線索指明誰是***目標,導致暴露了***。Stewart指出:“第一點假設了***者有時間去定期查看公共信息,這幾乎是不可能的,即使在有針對性***中,單次***活動往往有幾十個受害者,而同一名***者每年要發動幾次這樣的***活動。***者很少對每個不同目標使用獨特的惡意軟件,他們只是選擇使用預選的***程序,讓他們不被殺毒軟件發現。即使某個惡意軟件樣本出現在公共惡意軟件追蹤網站,也不能保證***者會看到,即使***者看到,***者也無法確定上傳這個惡意軟件樣本的目標。”對於有針對性***,共享你發現的惡意軟件樣本有很大的好處。惡意軟件也有可能揭露目標機構的名稱,這是可能發生的,只是不經常能看到。Stewart表示,從長期來看,試圖對這種有針對性***活動進行保密可能會對所有人帶來造成影響,因爲這樣將助長***者的***活動。