在IT安全領(lǐng)域，存在一些“安全神話”，它們經(jīng)常被提到，普遍被接受，然而，其實(shí)都是不正確的觀念，換句話說，它們只是神話。

安全神話又來了——在IT安全領(lǐng)域，存在一些“安全神話”，它們經(jīng)常被提到，普遍被接受，然而，其實(shí)都是不正確的觀念，換句話說，它們只是神話。同去年一樣，我們再一次邀請安全專家、顧問、供應(yīng)商和企業(yè)安全管理人員和我們分享他們最喜歡的“安全神話”，以下是我們從中選出的13個神話：

安全神話1：“反病毒軟件有效地保護(hù)你免受惡意軟件侵?jǐn)_。”

趨勢科技CTORaimund Genes認(rèn)為企業(yè)需要使用反病毒軟件，否則“審計(jì)師會殺了你”。但是反病毒軟件不能可靠地抵抗有針對性的攻擊，因?yàn)樵谒鼏又?，攻擊者能夠覺察到并確保自己不被反病毒軟件發(fā)現(xiàn)。

安全神話2：“政府制造最強(qiáng)大的網(wǎng)絡(luò)攻擊。”

SANS新興安全趨勢主任John Pescatore說，大多數(shù)的政府發(fā)起的攻擊，只是重新使用了犯罪分子慣用的方法和資源。美國國防部喜歡炒作來自其他國家的威脅，以提高其預(yù)算。可悲的是，針對銀行網(wǎng)站(如花旗銀行)的拒絕服務(wù)攻擊本來可以阻止，卻沒有足夠努力去做。而且，幾十年來政府間的間諜活動從來不是新聞，美中法俄及其他國家人人有份。

Pescatore還喜歡另外兩個神話，關(guān)于云計(jì)算安全的，而且放一起自相矛盾：一是“云服務(wù)永遠(yuǎn)不會安全”因?yàn)樗麄兎窒淼姆?wù)可以隨便更改;另一個是“云計(jì)算更安全，因?yàn)榉?wù)商靠這個吃飯”。關(guān)于這兩個矛盾的神話，Pescatore指出，“很多服務(wù)提供商，比如谷歌，亞馬遜等，建立云服務(wù)不是為企業(yè)提供服務(wù)或保護(hù)他人的信息。事實(shí)上，Google通過其搜索服務(wù)建立了一個非常強(qiáng)大的云，并大張旗鼓地收集和公開人們的信息。”

Pescatore還拿谷歌和微軟基于電子郵件的云服務(wù)來舉例，迄今已表明，客戶數(shù)據(jù)遭泄露明顯是服務(wù)商的過錯，卻被最大程度歸因于對客戶的釣魚攻擊。而且在處理過程中，企業(yè)用戶還得努力配合云計(jì)算服務(wù)商。

安全神話3：“所有帳戶都在活動目錄并受到限制。”

Tatu Ylonen——SSH發(fā)明人和SSH通信安全公司CEO，認(rèn)為這種誤解很普遍，但是大多數(shù)企業(yè)都創(chuàng)建了——卻幾乎被人遺忘——應(yīng)用程序和自動流程使用的多功能帳戶，經(jīng)常通過加密密鑰管理而且從不審核。“很多大型企業(yè)的情況是，他們有更多的密鑰配置訪問他們的生產(chǎn)服務(wù)器，比他們在活動目錄中的用戶帳戶還要多，”Ylonen指出。“并且這些密鑰從不更換，從不審核，也不加以限制。所有身份和訪問管理域一般只管理交互式用戶帳戶，而忽略機(jī)器的自動訪問。”這些用來自動訪問的密鑰如果不加以妥善管理，可能會被用于攻擊和病毒傳播。

安全神話4：“IT安全需要風(fēng)險管理技術(shù)。”

IT-Harvest首席研究分析師Richard Stiennon說，盡管風(fēng)險管理“已成為公認(rèn)的管理技術(shù)”，事實(shí)上“它側(cè)重于一個不可能完成的任務(wù)：確定IT資產(chǎn)和評定它們的價值。”不管如何，這只是個嘗試，它“不會反映出攻擊者目標(biāo)所擁有的知識產(chǎn)權(quán)的價值。”Stiennon解釋說，“唯有威脅管理能真正提高企業(yè)對抗針對性攻擊的能力，而且需要深入理解對手以及他們的目標(biāo)和方法。”

安全神話5：“應(yīng)用安全總有‘最佳做法’。”

WhiteHat Security(白帽安全)公司CTO Jeremiah Grossman說，安全專家通常主張“最佳做法”，這被認(rèn)為是“普遍有效”和值得投入，因?yàn)?“人人通用”。這些做法包括軟件培訓(xùn)，安全測試，威脅建模，Web應(yīng)用防火墻，甚至上百種做法。但是他認(rèn)為這通常忽視了每個實(shí)際操作環(huán)境的獨(dú)特性。

安全神話6：“零日漏洞是‘生命周期的一部分’，無法預(yù)測也無法有效應(yīng)對。”

零日漏洞攻擊針對的是大部分人不知道的漏洞——Rapid7 CSO兼Metasploit 滲透測試工具作者H.D. Moore對此有不同看法：“安全專業(yè)人士其實(shí)可以做好預(yù)測避免問題。”如果企業(yè)依賴任何“不可能”有功能缺陷的軟件，應(yīng)該有預(yù)案應(yīng)對未知的風(fēng)險(一旦該軟件出現(xiàn)安全漏洞)。選擇性授權(quán)和限制軟件的權(quán)限都是很好的策略。他提到廣受歡迎的博客平臺WordPress。表明上看，“WordPress多糟糕，看看到現(xiàn)在曝出多少漏洞。”但是他說，“軟件缺陷的深厚歷史可以看作是一個軟件越來越受歡迎的自然結(jié)果。”Moore得出這樣的結(jié)論，“與此相反，相比至今廣為人知且一直被審計(jì)的應(yīng)用程序，幾十種尚未有公開漏洞的軟件反而非常不安全。”總之，一個軟件公布的安全漏洞數(shù)量，是衡量這個軟件最新版有多安全的重要的度量標(biāo)準(zhǔn)。

安全神話7：“遵循北美電力可靠性協(xié)會的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)的要求，美國電網(wǎng)受到很好的保護(hù)。”

Joe Weiss是Applied Control Solution(應(yīng)用控制解決方案)的合伙人，他認(rèn)為這是一個神話，因?yàn)镃IP是基于行業(yè)本身而制定，僅適用于分散的電力配送，而不是整個配電系統(tǒng)，而且還需滿足特定的發(fā)電規(guī)模。美國“80%”的發(fā)電量沒有在CIP的監(jiān)管之下。

安全神話8：“合規(guī)即安全。”

PCI安全標(biāo)準(zhǔn)委員會總經(jīng)理Bob Russo說，企業(yè)普遍認(rèn)為只要他們的支付卡符合安全規(guī)則，他們就是“一勞永逸”地安全了。但是檢查盒子的合規(guī)性僅體現(xiàn)“一次的印象”，而安全是一個持續(xù)的過程，關(guān)系到人、技術(shù)和流程。

安全神話9：“安全是首席信息安全官的事。”

Phil Dunkelberger，初創(chuàng)企業(yè)Nok Nok Labs總裁兼CEO。他說CISO會因?yàn)閿?shù)據(jù)泄露而遭到指責(zé)，大概因?yàn)樗麄兊墓ぷ魇侵贫ㄏ鄳?yīng)的規(guī)則，和開展相關(guān)的技術(shù)課程。但是公司的其他人，特別是IT操作人員，也應(yīng)該有“安全職責(zé)”意識，并且他們應(yīng)當(dāng)承擔(dān)更多的責(zé)任。

安全神話10：“移動設(shè)備比PC安全。”

RSA大會程序委員會主席Hugh Thompson博士反駁說，這是“經(jīng)常發(fā)生的想當(dāng)然”看法。雖有一定的可取之處，但它低估了PC上傳統(tǒng)安全防護(hù)措施的能力，比如隱蔽密碼和URL預(yù)覽，至今沒有用在移動設(shè)備上。“因此，盡管移動設(shè)備仍比筆記本電腦或臺式機(jī)提供了更多安全措施，但傳統(tǒng)的安全措施被破壞的話，你將處于易受攻擊的境地。”

安全神話11：“你可以100%安全，但你必須犧牲個人時間。”

初創(chuàng)公司Cylance總裁兼CEO Stuart McClure提醒大家，不需要花費(fèi)自己的精力去打擊網(wǎng)上的壞人，我們要“把事情推給政府。”了解那些壞家伙們就可以了，“預(yù)測他們的行動，他們的工具”，并“深入到他們的皮膚下”。

安全神話12：“時間點(diǎn)安全即可保證你阻止惡意軟件的需要。”

Sourcefire創(chuàng)始人、Snort入侵檢測系統(tǒng)發(fā)明人Martin Roesch提到，安全防御效果往往有限，對于某種類型的攻擊，在所謂的時間點(diǎn)有可能捕捉不到，并且如果它被錯過，防御系統(tǒng)幾乎不再能夠阻止攻擊者展開后續(xù)行動。一個較新的模式是，安全防御系統(tǒng)不斷地更新信息以了解攻擊的范圍并遏制它，即使錯過最初的網(wǎng)絡(luò)攻擊行為。

安全神話13：“有了正確的保護(hù)措施，攻擊者就可以被拒之門外。”

微軟企業(yè)可信計(jì)算副總裁Scott Charney說，“我們通常會把安全和將人拒之門外外聯(lián)系起來;鎖好大門，給計(jì)算機(jī)裝上防火墻。但現(xiàn)實(shí)情況是，盡管有復(fù)雜的安全策略和優(yōu)秀的運(yùn)營，但一個有決心堅(jiān)持不懈的攻擊者最終一定會找到突破口。承認(rèn)現(xiàn)實(shí)，我們應(yīng)該從不同的出發(fā)點(diǎn)考慮安全。”所謂整體安全形態(tài)，意味著現(xiàn)在和未來有一個“保護(hù)，遏制和恢復(fù)”的方針來打擊威脅。