在過去的幾年里，組織保護(hù)自己免受攻擊者的方式發(fā)生了巨大變化。混合工作模式、快節(jié)奏的數(shù)字化以及越來越多的勒索軟件事件已經(jīng)改變了安全格局，使得網(wǎng)絡(luò)安全從業(yè)者工作比以往任何時候都更加復(fù)雜。

這種錯綜復(fù)雜的環(huán)境需要一種新的思維方式來捍衛(wèi)，過去可能成立的事情如今可能不再有用。數(shù)字證書的到期日期是否仍可在電子表格中進(jìn)行管理?人類真的是最薄弱的環(huán)節(jié)嗎?

國外安全專家權(quán)衡了我們最終需要在2022 年思考的 22 個網(wǎng)絡(luò)安全神話，神話自然存在非常大不確定性，即此處的神話是要糾正的錯誤思想或方法。

1. 買買買可以加強(qiáng)網(wǎng)絡(luò)安全保護(hù)

組織陷入的最大陷阱之一是預(yù)置了一個前提，就是需要更多的工具和平臺來保護(hù)自己。廠商時長給用戶的感覺是一旦他們擁有這些工具，就會認(rèn)為他們是安全的。組織被引誘購買“被吹捧為靈丹妙藥”的產(chǎn)品，ArcticWolf 的首席技術(shù)官 Ian McShane說：“這絕對不是成功的關(guān)鍵。”

購買更多工具并不一定會提高安全性，因?yàn)楹芏喟踩[患通常不是工具問題，而是操作問題。所以，組織應(yīng)充分利用現(xiàn)有投資預(yù)算，應(yīng)該優(yōu)先考慮安全運(yùn)營，而不是無休止地循環(huán)使用新供應(yīng)商和新產(chǎn)品，安全運(yùn)營將在以一種滿足獨(dú)特需求的方式應(yīng)對快速發(fā)展的威脅形勢方面大有幫助，讓產(chǎn)品的購買更具科學(xué)合理性，當(dāng)然我國很多單位在很多組織內(nèi)，連最基本的安全工具都不具備，這些組織還是需要科學(xué)合理的采購安全工具的。

2. 網(wǎng)絡(luò)保險(xiǎn)是轉(zhuǎn)移風(fēng)險(xiǎn)的解決方案

從理論上講，網(wǎng)絡(luò)保險(xiǎn)可以讓組織避免潛在網(wǎng)絡(luò)攻擊的成本。然而，這個問題更加微妙。例如，勒索軟件事件的成本遠(yuǎn)遠(yuǎn)超出其直接的財(cái)務(wù)影響，因?yàn)榘蛻舻男湃魏徒M織聲譽(yù)受損等事情。

ConquestCyber 總裁 Jeffrey J. Engle認(rèn)為：[網(wǎng)絡(luò)保險(xiǎn)] 應(yīng)該是網(wǎng)絡(luò)安全戰(zhàn)略的一部分，但不是網(wǎng)絡(luò)彈性戰(zhàn)略的基石?；€要求、排除和保費(fèi)正在上升，而覆蓋范圍正在急劇下降。

網(wǎng)絡(luò)保險(xiǎn)的概念，前幾年我國也有人在探討，在國外已經(jīng)發(fā)展一段時間，而且也有成熟的案例。但是，在我國當(dāng)下很多人認(rèn)識不清“網(wǎng)絡(luò)保險(xiǎn)”的作用，而會對此有很多誤解，如很多人可能會認(rèn)為網(wǎng)絡(luò)保險(xiǎn)會承擔(dān)所有責(zé)任，其實(shí)不然，網(wǎng)絡(luò)保險(xiǎn)承擔(dān)的是間接責(zé)任，以業(yè)務(wù)為驅(qū)動的網(wǎng)絡(luò)安全，而我國網(wǎng)絡(luò)安全運(yùn)營者尚處在以事件驅(qū)動的安全狀態(tài)，所以不需要太過看好網(wǎng)絡(luò)保險(xiǎn)，至少當(dāng)下不宜過多探討這個問題。

3. 合規(guī)等于安全

正如美國海軍陸戰(zhàn)隊(duì)喜歡說的那樣，做好檢查準(zhǔn)備是一回事，但做好戰(zhàn)斗準(zhǔn)備是另一回事。ABS Group 工業(yè)網(wǎng)絡(luò)安全全球主管 Ian Bramson 表示：許多公司過于關(guān)注滿足合規(guī)性要求，而對真正的安全性關(guān)注不夠。

檢查所有合規(guī)框是遠(yuǎn)遠(yuǎn)不夠的，因?yàn)楹弦?guī)只意味著滿足最低標(biāo)準(zhǔn)。要達(dá)到網(wǎng)絡(luò)成熟度的高級狀態(tài)，需要一個更加全面和個性化的計(jì)劃。這一點(diǎn)，在我國也是存在相同的問題，很多網(wǎng)絡(luò)運(yùn)營者往往考慮“過等?！?，原則上何曾有“過等保”這個概念呢?好比，檢查車況是為交警檢查的嗎?過了交警那一關(guān)，能夠過安全關(guān)嗎?能夠保障生命安全嘛?所以，把合規(guī)以及遵守法紀(jì)要求，理解等同于安全是非常不負(fù)責(zé)的想法，想推卸責(zé)任更是愚蠢的想法。

4. 如果所有內(nèi)容都記錄就合規(guī)

許多公司保留日志，但很少有人正確分析它們。Devo Technology 的 CSO Gunter Ollmann 認(rèn)為：如果沒有主動查看日志并自動尋找已知威脅，那么就無法理解現(xiàn)代網(wǎng)絡(luò)威脅，你最好打印出日志并燒掉來加熱你的公司辦公室。

最好的日志是簡單且結(jié)構(gòu)化的，但有足夠的信息來幫助研究人員調(diào)查事件。設(shè)計(jì)日志的專業(yè)人員應(yīng)該專注于更改和異常，而不是記錄平靜的狀態(tài)檢查或系統(tǒng)檢查。所以，在安排審計(jì)員角色時，不是說他能看日志信息，而是能夠看懂日志發(fā)現(xiàn)異常，配合其他角色一起核查技術(shù)、管理中的漏洞，修補(bǔ)修復(fù)管理和技術(shù)中的漏洞，提升網(wǎng)絡(luò)安全綜合能力和水平。

5. 可以使用電子表格手動管理部署網(wǎng)絡(luò)中的所有數(shù)字證書

組織依賴于數(shù)以千計(jì)的數(shù)字證書，這些證書在任何給定點(diǎn)都是有效的，而手動跟蹤它們是不可能的。這些過期證書之一可能會導(dǎo)致級聯(lián)故障，例如關(guān)鍵系統(tǒng)的中斷。

Sectigo 的首席信息官 EdGiaquinto 認(rèn)為：不再可能使用電子表格和手動數(shù)字證書部署和撤銷方法來管理、保護(hù)和驗(yàn)證這些身份，更糟糕的是，一個過期的證書可以為不良行為者提供滲透企業(yè)網(wǎng)絡(luò)并造成嚴(yán)重破壞的絕佳機(jī)會。

6. 數(shù)據(jù)在云端更安全

大約一半的公司數(shù)據(jù)存儲在云中，公司可能過于信任其安全性。許多云提供商不保證使用他們的服務(wù)的客戶將保護(hù)他們的數(shù)據(jù)。

VeritasTechnologies SaaS 保護(hù)、端點(diǎn)和備份主管總經(jīng)理 Simon Jelley 認(rèn)為：對于云服務(wù)提供商而言，數(shù)據(jù)與生產(chǎn)和依賴數(shù)據(jù)的公司一樣寶貴是不對的!事實(shí)上，許多人甚至在其條款和條件中采用了責(zé)任共擔(dān)模型，這清楚地表明客戶的數(shù)據(jù)是他們保護(hù)的責(zé)任。

7. 安全是安全部門或安全團(tuán)隊(duì)的工作

OmotolaniOlowosule 博士認(rèn)為：每個人都有盡職調(diào)查或責(zé)任，以確保他們實(shí)踐合乎道德的商業(yè)運(yùn)營，應(yīng)該在整個組織內(nèi)加強(qiáng)意識和良好的安全行為。

非IT部門的意識較弱的員工應(yīng)該接受適當(dāng)?shù)呐嘤?xùn)，以確保他們了解風(fēng)險(xiǎn)并知道如何解決一些最常見的問題。

8. 每年次的安全培訓(xùn)能為員工提供足夠的知識

許多公司要求其員工定期參加在線安全培訓(xùn)。人們觀看一段短片并回答幾個問題。盡管人們在考試中表現(xiàn)出色，但這種學(xué)習(xí)方式不一定有效。

安全顧問 SarkaPekarova認(rèn)為：不提供引人入勝的內(nèi)容，這不會引起他們的注意，讓他們記住所教授的原則或發(fā)生安全事件所需的流程和程序。

9. 雇用更多人將解決網(wǎng)絡(luò)安全問題

企業(yè)應(yīng)優(yōu)先考慮留住網(wǎng)絡(luò)安全專業(yè)人員，而不是尋找人才。應(yīng)該對他們進(jìn)行投資，并為他們提供獲得新技能的機(jī)會。

McShane認(rèn)為：最好有一小群訓(xùn)練有素的 IT 專業(yè)人員來保護(hù)組織免受網(wǎng)絡(luò)威脅和攻擊，而不是擁有一個不具備適當(dāng)技能的不同的大群體，雖然雇傭新的團(tuán)隊(duì)成員可能是有益的，但企業(yè)花在雇傭新員工上的時間和金錢可以更有效地用于加強(qiáng)他們的安全基礎(chǔ)設(shè)施。

10. 人是最薄弱的環(huán)節(jié)

大多數(shù)攻擊都是從人開始的，但組織應(yīng)該停止指責(zé)他們，而應(yīng)該采用整體方法。她建議翻轉(zhuǎn)這個想法。安全顧問 Sarka Pekarova 認(rèn)為，如果我們?yōu)槿祟愄峁┱_的支持，他們將茁壯成長并成為我們網(wǎng)絡(luò)中最強(qiáng)大的紐帶，我們使用“人力資產(chǎn)”是有原因的。如果適當(dāng)?shù)恼吆统绦虻轿?，例如零信任，并且如果人們得到足夠的支持，可以提高組織的安全性。

11. 一切都可以自動化

安全相關(guān)流程的自動化似乎對組織很有吸引力，因?yàn)榭梢怨?jié)省時間和金錢。不過，它應(yīng)該適度使用。Halborn 聯(lián)合創(chuàng)始人兼首席信息安全官 Steven Walbroehl 認(rèn)為：“盲目依賴自動化實(shí)際上會在安全評估的質(zhì)量和準(zhǔn)確性方面造成差距，會導(dǎo)致被忽視的漏洞，并造成無法預(yù)料的安全風(fēng)險(xiǎn)。某些復(fù)雜的任務(wù)最好留給人類，因?yàn)樗鼈冃枰庇X和本能，而機(jī)器缺乏這些。我還沒有看到一種自動化工具可以模擬熟練的滲透測試人員執(zhí)行的思維過程，他們試圖破解或利用業(yè)務(wù)邏輯或復(fù)雜身份驗(yàn)證中的步驟。

12. 解決了最新的攻擊就安全了

公司經(jīng)常關(guān)注最新的攻擊，錯過了其他相關(guān)的事情，并且沒有建立足夠的能力來防止未來的事件。布拉姆森認(rèn)為：只關(guān)注已經(jīng)發(fā)生的事情是被接下來發(fā)生的事情擊中的好方法。威脅和攻擊是不斷變化的。需要有一個程序來適應(yīng)和為未知做好準(zhǔn)備。

13. 季度性更改一次密碼將使賬戶更安全

Bishop Fox 的首席研究員 Dan Petro 認(rèn)為：要求用戶按時更改密碼只能確保他們的密碼很糟糕。比讓用戶選擇“Winter2022”等簡短密碼的完美方式。

趨勢科技基礎(chǔ)設(shè)施戰(zhàn)略副總裁William Malik 對此表示贊同。當(dāng)攻擊者得到一堆密碼時，進(jìn)行密碼噴射——比每 90 天一次要頻繁得多。使用特殊字符不會使密碼更安全。相反，應(yīng)鼓勵用戶選擇長密碼并啟用多因素身份驗(yàn)證。

14. 加密敏感數(shù)據(jù)就是安全的

太多的開發(fā)人員將加密視為魔法仙塵：你將它灑在數(shù)據(jù)上，它神奇地變得安全。通常，開發(fā)人員不會考慮密鑰存儲在哪里或在某些情況下攻擊者是誰。密碼學(xué)是一個復(fù)雜的主題，太多的開發(fā)人員最終把自己籠罩在一種錯誤的安全感中，認(rèn)為他們已經(jīng)“加密”了他們的數(shù)據(jù)，因此它是安全的，當(dāng)然加密的數(shù)據(jù)更不安全。所以，無論數(shù)據(jù)所有者還是程序開發(fā)者，都不應(yīng)該沉浸在虛假的安全感中。

15. 網(wǎng)站URL旁邊有一個綠色鎖網(wǎng)站是安全的

也許在一二十年前就是這樣，當(dāng)時流量很少加密，獲得有效 HTTPS 證書的成本很高。如今，網(wǎng)絡(luò)犯罪分子可以免費(fèi)獲得惡意網(wǎng)站的證書?？ò退够踩芯繂T Dan Demeter建議：首先在最喜歡的搜索引擎上查看網(wǎng)站，如有疑問，請始終手動輸入其 URL，而不是單擊鏈接”。

16. 組織太小不能成為目標(biāo)

即使在今天，仍有太多公司認(rèn)為他們的相關(guān)性不足以成為網(wǎng)絡(luò)攻擊的受害者。布拉姆森認(rèn)為：如果你有曝光，你就是目標(biāo)......每個人都有曝光，網(wǎng)絡(luò)攻擊者可以專門針對一家公司，或者他們可以發(fā)起一般攻擊，看看誰被他們的網(wǎng)絡(luò)抓住了。無論哪種方式，你都會在某個時候遭受攻擊。

客戶數(shù)據(jù)是在暗網(wǎng)上出售的寶貴商品，受感染的網(wǎng)站可能會傳播惡意軟件。中小型企業(yè)通常缺乏資源來實(shí)施和管理適當(dāng)?shù)男畔踩?jì)劃，這使他們很容易成為獵物。

17. 嚴(yán)重威脅是政府的責(zé)任

在安全方面，每個組織都應(yīng)該盡自己的一份力量。政府無法保護(hù)所有人——很難保護(hù)自己免受高級持續(xù)威脅的無情攻擊。法律法規(guī)就像汽車召回。為了讓政府編寫、審查和批準(zhǔn)某些東西，然后它就迫使其消失，必須發(fā)生很多安全事件。因此，政府行動通常是在風(fēng)險(xiǎn)被廣泛意識到之后才采取的行動。

18. 供應(yīng)鏈攻擊可以通過修補(bǔ)所有內(nèi)部第三方軟硬件來阻止

Armorblox 的聯(lián)合創(chuàng)始人兼首席執(zhí)行官 DJ Sampath 認(rèn)為事情沒有希望就這么簡單。雖然軟件漏洞和未打補(bǔ)丁的系統(tǒng)為攻擊者提供了一個完美的攻擊面，但它們并不是他們可以使用的唯一手段，企業(yè)需要全面了解他們的供應(yīng)商管理，包括商業(yè)電子郵件泄露 (BEC)、賬戶接管和供應(yīng)商環(huán)境中的橫向移動。

不作為的代價可能很高。一個案例例證這種危險(xiǎn)的案例研究是，一名立陶宛男子因欺詐性 BEC 計(jì)劃盜竊超過 1.2 億美元而被判刑。

19. 數(shù)據(jù)在公司防火墻后是安全的

沒有防火墻是不安全的網(wǎng)絡(luò)，但是防火墻后的數(shù)據(jù)不是真正安全的?；旌夏Ｊ揭呀?jīng)讓組織走出了他們的舒適區(qū)。隨著每個人都在家工作，企業(yè)網(wǎng)絡(luò)不再是安全邊界，現(xiàn)在他們必須重新專注于應(yīng)用零信任技術(shù)，并理解身份——無論位置如何——都是新的安全邊界。

組織正在實(shí)施創(chuàng)新的公鑰基礎(chǔ)設(shè)施(PKI) 解決方案，該解決方案通過整合和自動化驗(yàn)證設(shè)備、用戶和實(shí)體身份的數(shù)字證書的部署、發(fā)現(xiàn)、管理和更新，在實(shí)現(xiàn)零信任環(huán)境方面發(fā)揮著關(guān)鍵作用。

20. 廣泛的軟件測試可以防止攻擊

測試軟件總是一個好主意，并且努力去做會有幫助。但 Virsec 的聯(lián)合創(chuàng)始人兼首席技術(shù)官 Satya Gupta 表示，攻擊者仍然可以找到漏洞。在PrintNightmare這個漏洞中，微軟在 2021 年 7 月修補(bǔ)了 Windows 2003 的代碼。顯然，微軟資源豐富，但也未找到該漏洞。

近年來，越來越多的組織設(shè)立了漏洞賞金計(jì)劃來激勵白帽黑客。如果管理不當(dāng)，這些程序可能會提供錯誤的安全感。

21. 加載遠(yuǎn)程不受信任的任意 Java 代碼是絕對安全的

這聽起來可能是世界上最明顯的事情，但為什么似乎每個 Java 程序仍然這樣做呢?也許 2022 年將是 Java 程序最終停止有意加載任意遠(yuǎn)程代碼的一年，人們可以期待。

網(wǎng)絡(luò)安全是一個非常綜合體系性工作，很多網(wǎng)絡(luò)安全神話是因?yàn)槲覀儗δ承﹥?nèi)容的認(rèn)識不足或認(rèn)識偏頗，如對某個知識的缺少認(rèn)識，故無相關(guān)安全意識，有時對某些內(nèi)容的認(rèn)識有失偏頗，又認(rèn)為某一項(xiàng)安全措施可以萬無一失?？傊?，在網(wǎng)絡(luò)安全戰(zhàn)略中，應(yīng)該以“中”為度，不可偏廢，又不可或缺，所有的工作不可不及，又唯恐過猶不及。所以，這個度需要對網(wǎng)絡(luò)安全以及相關(guān)的責(zé)任義務(wù)有深刻全面的了解和理解，才能最終做的更合理更科學(xué)。當(dāng)然，我們都是在不斷探討網(wǎng)絡(luò)安全，沒有絕對的網(wǎng)絡(luò)安全，當(dāng)然有體無完千瘡百孔的網(wǎng)絡(luò)防護(hù)。網(wǎng)絡(luò)安全需要持之以恒，永續(xù)前進(jìn)發(fā)展的，可以說網(wǎng)絡(luò)安全也屬于生無所息之列。