這些經(jīng)常被一再提起、受到廣泛認(rèn)同的IT安全觀點(diǎn)其實(shí)……全是胡說(shuō)八道。從一年前開(kāi)始，我們就在努力收集安全專家眼中最誤人子弟的“安全謠言”，現(xiàn)在是時(shí)候揭穿它們的偽裝、還大家一個(gè)清平世界了。

安全謠言第一位：“殺毒軟件能有效保護(hù)您遠(yuǎn)離惡意軟件”

趨勢(shì)科技公司CTO Raimund Genes指出，企業(yè)之所以廣泛使用殺毒軟件，是因?yàn)?ldquo;審計(jì)師會(huì)牢牢揪出這一點(diǎn)不放”。然而殺毒軟件本身并不能可靠地保護(hù)我們抵御有針對(duì)性的攻擊，因?yàn)楣粽邥?huì)在動(dòng)手之前進(jìn)行測(cè)試，以確保自己的詭計(jì)不會(huì)為殺毒軟件所識(shí)破。

安全謠言第二位：“政府才是最強(qiáng)網(wǎng)絡(luò)攻擊的源頭”

[[66036]]

John Pescatore

SANS公司新興安全趨勢(shì)部門主管John Pescatore認(rèn)為，大多數(shù)來(lái)自政府的網(wǎng)絡(luò)攻擊只是重新借用由犯罪分子鼓搗出來(lái)的現(xiàn)成資源。美國(guó)國(guó)防部一直喜歡大肆宣揚(yáng)來(lái)自民族國(guó)家的威脅論借以提高預(yù)算額度。可悲的是，像花旗銀行這樣的金融行業(yè)網(wǎng)站本來(lái)有機(jī)會(huì)抵擋住拒絕服務(wù)攻擊，但卻由于缺乏努力而未能成功。就連針對(duì)別國(guó)政府組織的間諜活動(dòng)都沒(méi)有涉及什么新技術(shù)，近十年來(lái)中國(guó)、美國(guó)、法國(guó)、俄羅斯等其它一些技術(shù)強(qiáng)國(guó)鮮有成果問(wèn)世。

Pescatore還提到他個(gè)人感受最深的兩條安全謠言：其一是“云服務(wù)永遠(yuǎn)無(wú)法保證安全”，因?yàn)榉?wù)的共享特性允許供應(yīng)商隨時(shí)對(duì)其進(jìn)行修改；其二是“云環(huán)境更安全，因?yàn)楣?yīng)商能夠?qū)崟r(shí)掌握一切。”針對(duì)這兩條謠言，Pescatore指出“以谷歌、Amazon等為代表的云服務(wù)供應(yīng)商并沒(méi)有建立起企業(yè)級(jí)別的服務(wù)、也無(wú)法保護(hù)用戶信息萬(wàn)全。事實(shí)上，谷歌還主動(dòng)建立起一套非常強(qiáng)大的云信息收集機(jī)制，能夠通過(guò)搜索服務(wù)明目張膽地收集并公開(kāi)他人信息。”

但Pescatore同時(shí)指出，由谷歌與微軟等推出的以電子郵件為基礎(chǔ)的云服務(wù)還是比較可靠的。在目前已經(jīng)披露出來(lái)的用戶數(shù)據(jù)泄露事件中，幾乎沒(méi)有明確證據(jù)能說(shuō)明供應(yīng)商在運(yùn)營(yíng)過(guò)程中存在紕漏——反倒是客戶本身受到了網(wǎng)絡(luò)釣魚(yú)攻擊的影響。但企業(yè)客戶仍然在想辦法改進(jìn)處理流程，以適應(yīng)云服務(wù)供應(yīng)商提供的事件響應(yīng)機(jī)制。

安全謠言第三位：“我們的賬戶都處于Active Directory之下并受到嚴(yán)格控制”

SSH發(fā)明人、SSH通信安全公司CEO Tatu Ylonen表示，這種誤解很常見(jiàn)，而且很多機(jī)構(gòu)都在為應(yīng)用程序及自動(dòng)化流程的功能性賬戶設(shè)定加密密鑰后就忘了這碼事，更談不到對(duì)其進(jìn)行重新審計(jì)。“許多大型機(jī)構(gòu)在生產(chǎn)服務(wù)器端設(shè)定的加密密鑰都遠(yuǎn)遠(yuǎn)多于Active Directory中的用戶賬戶密鑰，”Ylonen指出。“這些密鑰從未更改、缺乏審計(jì)且不受控制。全局身份驗(yàn)證及訪問(wèn)管理體系管理著這些交互用戶賬戶，且一直以忽略形式允許設(shè)備自動(dòng)進(jìn)行訪問(wèn)。”雖然這樣確實(shí)更方便，但如果不加以妥善打理，用于自動(dòng)訪問(wèn)的密鑰也可能成為攻擊及病毒的傳播渠道。

安全謠言第四位：“風(fēng)險(xiǎn)管理技術(shù)是IT安全的必要組成部分”

IT-Harvest公司首席研究分析師Richard Stiennon指出，盡管風(fēng)險(xiǎn)管理“已經(jīng)成為一種公認(rèn)的管理技術(shù)”，但事實(shí)上“它所關(guān)注的是一項(xiàng)不可能完成的任務(wù)，即辨識(shí)IT資產(chǎn)并評(píng)估其價(jià)值。”無(wú)論如何嘗試，它“都無(wú)法真正反映出攻擊者覬覦的專利產(chǎn)權(quán)中所蘊(yùn)含的實(shí)際價(jià)值。”Stiennon認(rèn)為“惟一能幫助企業(yè)改善自我保護(hù)能力的方法在于威脅管理方案，而這需要我們深入了解競(jìng)爭(zhēng)對(duì)手、其發(fā)展目標(biāo)以及實(shí)施方法。”

安全謠言第五位：“應(yīng)用程序安全領(lǐng)域存在‘最佳實(shí)踐’”

白帽安全公司CTO Jeremiah Grossman表示安全專家常常喜歡宣揚(yáng)“最佳實(shí)踐”，認(rèn)為這類方案能夠“廣泛起效”、“值得投資”且“對(duì)于每個(gè)人都必不可少”。詳細(xì)來(lái)說(shuō)，其中包括軟件培訓(xùn)、安全檢測(cè)、威脅建模、Web應(yīng)用防火墻以及“其它數(shù)百項(xiàng)措施”。但在他看來(lái)，這顯然忽視了每套操作系統(tǒng)所蘊(yùn)含的獨(dú)特性。

安全謠言第六位：“零日漏洞是一種固有特性，我們無(wú)法預(yù)測(cè)或進(jìn)行有效應(yīng)對(duì)”

[[66037]]

H.D. Moore

零日漏洞是指那些尚未被大家普遍發(fā)現(xiàn)的網(wǎng)絡(luò)安全缺陷。但Metasploit滲透測(cè)試工具的締造者、Rapid 7公司CSO H.D.Moore則認(rèn)為實(shí)際情況恰恰相反。“安全專家能夠切實(shí)預(yù)測(cè)并避免存在問(wèn)題的軟件引發(fā)麻煩。”如果機(jī)構(gòu)本身倚仗于某款軟件且達(dá)到不可或缺的程度，那么勢(shì)必需要制定出一套應(yīng)對(duì)方案以避免這款軟件引發(fā)安全風(fēng)險(xiǎn)。選擇性授權(quán)與限定軟件接收權(quán)限都是很好的管理策略。他還與我們分享了另一條安全謠言，即“我們可以根據(jù)公開(kāi)披露的漏洞數(shù)量評(píng)判一款產(chǎn)品或服務(wù)的安全性。”他認(rèn)為，反擊這種論調(diào)的最佳武器就是WordPress。“看看它所曝出的安全漏洞有多少！這么看來(lái)WordPress根本就是垃圾。”但事實(shí)證明，“軟件缺陷也是成長(zhǎng)歷程的一部分，這并不妨礙其成為日后的人氣明星。”Moore得出結(jié)論，“與此相反，可能有幾十款沒(méi)有發(fā)現(xiàn)安全漏洞的產(chǎn)品，但它們并不是真正安全、只是由于人氣太低而掩蓋了不夠安全的現(xiàn)實(shí)?？傊?，我們不應(yīng)該以安全漏洞數(shù)量的多寡來(lái)衡量一款軟件的好壞以及安全性的高低，這套標(biāo)準(zhǔn)毫無(wú)科學(xué)性可言。”

安全謠言第七位：“美國(guó)電網(wǎng)受到北美電力可靠性公司的關(guān)鍵性基礎(chǔ)設(shè)施保護(hù)（簡(jiǎn)稱CIP）”

Applied Control Solutions公司執(zhí)行合伙人Joe Weiss認(rèn)為這純屬謠言，因?yàn)橛呻娏π袠I(yè)自己制定的CIP僅適用于批量分銷型供電體系，而并不針對(duì)整個(gè)配電系統(tǒng)，同時(shí)只涵蓋了一部分供電設(shè)施。“全美80%的供電設(shè)施并未受到CIP的保護(hù)。”

安全謠言第八位：“我通過(guò)了合規(guī)性審查，所以我是安全的”

PCI安全標(biāo)準(zhǔn)委員會(huì)總經(jīng)理Bob Russo表示這種觀念相當(dāng)普遍，即企業(yè)往往認(rèn)為只要能夠通過(guò)支付卡數(shù)據(jù)安全規(guī)范的審計(jì)，他們就“高枕無(wú)憂、永遠(yuǎn)安全”了。但合規(guī)性審查只能算是對(duì)特定時(shí)間點(diǎn)上的企業(yè)經(jīng)營(yíng)“快照”進(jìn)行評(píng)估，而安全則是一個(gè)持續(xù)而不能松懈的過(guò)程，需要相關(guān)人員、技術(shù)與流程通力配合方能永保太平。

安全謠言第九位：“安全是首席信息安全官才需要考慮的問(wèn)題”

新興企業(yè)Nok Nok實(shí)驗(yàn)室總裁兼CEO Phil Dunkelberger指出，CISO確實(shí)應(yīng)該為數(shù)據(jù)違規(guī)狀況擔(dān)負(fù)主要責(zé)任，而這類行政或技術(shù)課題也正是他們的份內(nèi)工作。然而企業(yè)中的很多其他崗位同樣需要把安全時(shí)刻銘記在心，尤其是IT操作人員。他們手中也掌握著“安全性”的命運(yùn)，因此要比普通員工承擔(dān)更多責(zé)任。

安全謠言第十位：“移動(dòng)設(shè)備比計(jì)算機(jī)更安全”

RSA大會(huì)項(xiàng)目委員會(huì)主席Hugh Thompson博士對(duì)這種“常見(jiàn)的假想”提出質(zhì)疑。他認(rèn)為盡管有一定道理，但這種言論低做了計(jì)算機(jī)中以掩飾密碼及URL預(yù)覽為代表的傳統(tǒng)保障手段，而這些成熟機(jī)制目前在移動(dòng)設(shè)備上還不適用。“因此，雖然移動(dòng)設(shè)備就自身而言比臺(tái)式機(jī)或筆記本要安全一些，但傳統(tǒng)安全手段的缺失仍然會(huì)留下許多安全漏洞。”

安全謠言第十一位：“要想實(shí)現(xiàn)安全性，我們就不得不放棄一部分個(gè)人自由”

新興企業(yè)Cylance公司CEO兼總裁Stuart McClure指出，千萬(wàn)不要聽(tīng)信這類說(shuō)法。什么“為了打擊壞人，我們必須讓政府插手自己的網(wǎng)絡(luò)流量信息”，全都是一派胡言。要想防患于未然，安全專家該做的是了解壞人的想法、“揣測(cè)其行動(dòng)并熟悉其作案工具”，并最終將其一舉攻陷。

安全謠言第十二位：“阻止惡意軟件，實(shí)時(shí)反應(yīng)最重要”

Snort入侵檢測(cè)系統(tǒng)締造者、Sourcefire公司創(chuàng)始人Martin Roesch認(rèn)為安全防范機(jī)制往往效果有限，很難快速追蹤或捕捉到各種類型的攻擊。而且即使錯(cuò)過(guò)了實(shí)時(shí)反應(yīng)的機(jī)會(huì)，現(xiàn)有防御機(jī)制也會(huì)對(duì)整個(gè)流程有所認(rèn)知并準(zhǔn)備應(yīng)對(duì)攻擊者的后續(xù)活動(dòng)。新型安全防護(hù)模式會(huì)持續(xù)不斷進(jìn)行信息更新，這樣就算無(wú)法第一時(shí)間揪出犯罪分子，了解其攻擊范圍及手段也是很有意義的。

安全謠言第十三位：“有了正確的保護(hù)機(jī)制，攻擊者將被拒之門外”

微軟公司可信計(jì)算全球副總裁Scott Charney表示，“我們常常把安全跟‘拒之門外’聯(lián)系起來(lái)；鎖上門、裝上防火墻似乎就萬(wàn)事大吉了。然而實(shí)際情況在于，即使是最復(fù)雜的安全策略與最優(yōu)秀的執(zhí)行流程也終會(huì)被有耐心、有決心的攻擊者找到可乘之機(jī)。實(shí)際上，我們應(yīng)該轉(zhuǎn)化自己對(duì)于安全概念的認(rèn)識(shí)。”對(duì)于整個(gè)安全社區(qū)而言，這意味著“保護(hù)、遏制及恢復(fù)”三大方針，這才是足以對(duì)抗威脅的長(zhǎng)久之計(jì)。

原文鏈接：http://www.networkworld.com/news/2013/021514-security-myths-266773.html