【51CTO快譯】如今企業(yè)安全的決策似乎更多是靠道聽途說而不是根據(jù)實(shí)際數(shù)據(jù)，靠條件反射而不是嚴(yán)密的邏輯，最近在紐約舉行的Cyber Infrastructure Protection '09 (CIP 09)大會上，ISCA實(shí)驗(yàn)室創(chuàng)始人，Verizon Business的Peter Tippett博士在發(fā)言中表示了他的不滿。

“企業(yè)安全屬于信息科學(xué)，而我找不到科學(xué)的影子，”他說，“只看到大量的工程?！?/P>

航空安全的發(fā)展經(jīng)驗(yàn)表明，依靠科學(xué)可以比工程學(xué)得到更多的安全性。與五十年前相比，如今的空中旅行已經(jīng)安全了5000倍。

他說，對于安全性來說，數(shù)據(jù)積累比技術(shù)創(chuàng)新更為至關(guān)重要?！凹夹g(shù)創(chuàng)新將安全性提高了10倍，而在流程方面則提高了500倍。如今的飛機(jī)仍然可能會墜毀在山谷里，但是我們在流程中加入了數(shù)以百計(jì)的統(tǒng)計(jì)數(shù)據(jù)與分析，讓這架飛機(jī)不太可能飛進(jìn)山谷。”

最新的Verizon Business數(shù)據(jù)破壞調(diào)查報(bào)告已經(jīng)發(fā)布，其中詳細(xì)描述了90個(gè)安全漏洞的實(shí)際調(diào)查結(jié)果，Tippett說，他的數(shù)據(jù)可用于企業(yè)安全策略，使之更加安全。

密碼一直是企業(yè)安全的焦點(diǎn)問題，他說?！半m然較長的密碼可以更好保護(hù)一臺計(jì)算機(jī)，但網(wǎng)絡(luò)上的情況卻不一樣。一般你會把電腦設(shè)定為三次猜測密碼失敗后鎖定，但黑客卻不會傻到去猜你們大學(xué)足球隊(duì)的名字。”

他補(bǔ)充說，在一個(gè)一萬臺電腦的網(wǎng)絡(luò)，黑客可以在一二個(gè)小時(shí)內(nèi)猜中80%的五個(gè)字符的密碼，九個(gè)字符的密碼相對安全一些，可以猜中20%到30%?！澳隳苷f兩千臺電腦被攻破的網(wǎng)絡(luò)就比八千臺電腦被攻破的網(wǎng)絡(luò)更安全嗎？”有興趣的朋友可以看下51CTO以前發(fā)布的：使用Ophcrack破解系統(tǒng)Hash密碼

沒必要那么急著打補(bǔ)丁

Tippett也對另一項(xiàng)安全觀點(diǎn)發(fā)起了攻擊：即計(jì)算機(jī)的漏洞必須立即打上補(bǔ)丁，否則就會受到零日攻擊等快速破壞。他指出，目前的補(bǔ)丁計(jì)劃總是優(yōu)先考慮那些嚴(yán)重的漏洞，比如那些讓攻擊者有機(jī)會接管機(jī)器的漏洞。而Verizon Business調(diào)查則顯示沒有人使用了零日攻擊，而且事實(shí)上只有3%的應(yīng)用漏洞被利用。51CTO編輯點(diǎn)評：個(gè)人覺得Verizon Business的調(diào)查持懷疑態(tài)度，因?yàn)椴还苁窃趪膺€是國內(nèi)，零日攻擊的比重都是相當(dāng)大的。面對打滿補(bǔ)丁的系統(tǒng)和盡心盡責(zé)的系統(tǒng)管理員，不用0day怎么容易打的下來？

“大多數(shù)攻擊其實(shí)瞄準(zhǔn)的是那些不那么關(guān)鍵的安全漏洞，而并不是關(guān)鍵的漏洞，”他補(bǔ)充說。

他還指出雖然調(diào)查中沒有發(fā)現(xiàn)僵尸網(wǎng)絡(luò)參與散布惡意軟件，但有些僵尸網(wǎng)絡(luò)被用來掃描網(wǎng)絡(luò)漏洞。

“你可以不停的給機(jī)器打補(bǔ)丁，但安全性并不會成比例的提高，”他說?！坝性S多公司為此每年多支出1000萬美元，而他們本來沒必要這樣做?！?/P>

相反，企業(yè)可以專注于其他方面，那些目前做得還不好的地方。

“比如有件事只需要你花3分鐘（第一次做可能是15分鐘）。剪切并粘貼你的使用記錄，在路由上創(chuàng)建一個(gè)出口篩選（egress filter）。這樣就能將對你的攻擊的成功可能性降低80%，而且還是免費(fèi)的。我們說這件事已經(jīng)有兩年了，可只有2%的人這樣做，即使它可以5倍降低攻擊的機(jī)會。”51CTO編輯點(diǎn)評：這個(gè)還是挺有效果的，拿早期的沖擊波病毒來說吧，當(dāng)時(shí)筆者就見到機(jī)房的網(wǎng)絡(luò)工程師預(yù)先在路由上做了限制，直到微軟發(fā)布補(bǔ)丁的期間，筆者所維護(hù)網(wǎng)段沒有一臺機(jī)器中招。

還有一個(gè)問題是有些安全專家認(rèn)為每一層的防御都必須做到完美，而并不愿意采取措施來按百分比減少威脅?！鞍踩珕栴}不是只有是或否兩個(gè)答案。大多數(shù)攻擊是類似的。因此即使是很便宜的防火墻，如果能夠降低50%的威脅也是不錯(cuò)的，”他補(bǔ)充說。

Tippett說，許多企業(yè)可能實(shí)施三個(gè)安全措施，每個(gè)都能做到90%有效，而每個(gè)成本都在10萬美元。如果風(fēng)險(xiǎn)價(jià)值1000萬美元，第一個(gè)措施能使風(fēng)險(xiǎn)降低到100萬美元，這是完全值得的。第二個(gè)措施能使風(fēng)險(xiǎn)降低到10萬美元，仍然是值得的。但是，第三個(gè)措施的10萬美元就只能帶來9萬美元的好處了。

“對于第三個(gè)措施，你可以花5萬美元來減少80%的風(fēng)險(xiǎn)，而不一定要做到90%，”他說。

控制遠(yuǎn)程訪問

相對于不斷的打補(bǔ)丁，企業(yè)應(yīng)該把更多的精力放在控制遠(yuǎn)程訪問上?！霸S多企業(yè)每年花費(fèi)超過1000萬美元來保護(hù)他們的關(guān)鍵應(yīng)用，但卻花不到100美元來尋找PCAnywhere有沒有安裝在不該出現(xiàn)的地方。在這上面他們本應(yīng)花得更多一點(diǎn)?！盩ippett說。

另一個(gè)造成補(bǔ)丁策略失敗的原因是有很多被損害的系統(tǒng)從未被修補(bǔ)。報(bào)告中說，平均來說，一個(gè)補(bǔ)丁從漏洞被發(fā)現(xiàn)到真正可用需要兩年半的時(shí)間。

“通常情況下，罪犯們會去尋找非關(guān)鍵的系統(tǒng)比如HVAC。他們不希望把事情搞大，他們想要的是錢。因此他們會安裝keylogger、scanner和木馬軟件，并從那里感染其他系統(tǒng)”，Tippett說。

從大方面也可以看到企業(yè)開支的分配不當(dāng)。“罪犯們竊取的數(shù)據(jù)有99.9%是來自于服務(wù)器，只有0.01%來自終端用戶系統(tǒng)，但企業(yè)在終端的安全預(yù)算也占到了約50%，”他說?！八麄儜?yīng)該更多的確保服務(wù)器的安全?！?/P>

對于筆記本來說，密碼保護(hù)基本上夠用。他說，企業(yè)用戶的筆記本加密有三種選擇：文件級加密，這是免費(fèi)的；啟動(dòng)后加密，這有點(diǎn)貴；還有啟動(dòng)前加密，這會增加筆記本的啟動(dòng)時(shí)間幾乎五分鐘，還會造成藍(lán)屏。

許多企業(yè)使用啟動(dòng)前加密，因?yàn)橐荒昵俺霈F(xiàn)過針對啟動(dòng)后加密的攻擊。Tippett指出，這種攻擊主要是從被凍結(jié)的RAM中提取數(shù)據(jù)，所以對大多數(shù)公司來說并不算是常見的情況，文件級加密應(yīng)該已經(jīng)足夠，也應(yīng)該能讓用戶滿意。

【編輯推薦】

1. 如何有效提升企業(yè)安全審計(jì)應(yīng)用水平
2. 企業(yè)安全威脅實(shí)例講解技術(shù)研討會
3. 專題：微軟Forefront企業(yè)安全解決方案

原文：Enterprise Security Should Be Better and Cheaper 作者：Alex Goldman

【51CTO.com譯稿，非經(jīng)授權(quán)請勿轉(zhuǎn)載。合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?