網(wǎng)絡(luò)安全的六大觀念誤區(qū)

Roger A.Grimes Charles

想要更有效的IT安全策略嗎？企業(yè)的首席執(zhí)行官和高級(jí)管理人員就必須走出這些常見的網(wǎng)絡(luò)安全誤區(qū)。

首席執(zhí)行官負(fù)責(zé)領(lǐng)導(dǎo)企業(yè)的所有戰(zhàn)略規(guī)劃和運(yùn)營(yíng)，肩頭的責(zé)任可謂極其繁重。但如果他們因此而認(rèn)為自己在IT安全方面雖然花費(fèi)了大量的預(yù)算，卻未能讓安全措施發(fā)揮真正的作用是可以原諒的，那他們就錯(cuò)了。他們，以及那些負(fù)責(zé)IT安全的下屬本就應(yīng)在正確的地方正確地應(yīng)對(duì)威脅。

為什么這么說？

因?yàn)樗麄円恢编笥谝恍㊣T安全誤區(qū)，這些誤區(qū)就像神話一樣近乎教條。當(dāng)有了錯(cuò)誤的觀念后，就很難有效地去做正確的事情。以下介紹的就是首席執(zhí)行官們?cè)诰W(wǎng)絡(luò)安全方面的一些常見誤區(qū)。

1.攻擊者是無法阻止的

很多計(jì)算機(jī)防御措施都非常薄弱而且考慮不周全，以至于黑客和惡意軟件可以隨意侵入，只不過惡意入侵者沒想攻破整個(gè)環(huán)境而已。計(jì)算機(jī)防御措施是如此的糟糕，千瘡百孔，因此首席執(zhí)行官們一直認(rèn)為不可能阻止黑客和惡意軟件。他們所能做的不過是“承認(rèn)被攻破”，盡快檢測(cè)出自己的環(huán)境中是否有攻擊者，并減緩攻擊者的進(jìn)攻罷了。

你能想象一名將軍在受到攻擊后，告訴下屬和士兵，不管他們做什么，都絕對(duì)不會(huì)贏——即便給了他很多的士兵和武器，并在要害位置做好了布防？但現(xiàn)在的網(wǎng)絡(luò)安全大環(huán)境就是這樣，這讓首席執(zhí)行官們覺得理應(yīng)如此。

雖然的確很難阻止一些國(guó)家資助的專業(yè)黑客組織，但通過一些良好的措施還是能夠阻止大多數(shù)黑客和惡意軟件入侵的。其實(shí)企業(yè)已經(jīng)采取了這些措施，只是沒有用好。更有針對(duì)性的IT安全策略和一些關(guān)鍵的防御措施能夠大幅度降低黑客和惡意軟件侵入企業(yè)環(huán)境的風(fēng)險(xiǎn)。

2.黑客們異于常人

之所以盲目地認(rèn)為黑客和惡意軟件是防不住的，部分原因是，世人普遍覺得黑客都非常聰明，異于常人，是超級(jí)天才，擋也擋不住。好萊塢電影實(shí)際上對(duì)這種不切實(shí)際的情況起到了推波助瀾的作用，在這些電影里，黑客們輕松地就能猜出任何系統(tǒng)的密碼，就能夠控制全世界的計(jì)算機(jī)。電影里的黑客比其他人都聰明，按幾下按鍵就能發(fā)射核導(dǎo)彈，抹掉人們的數(shù)字身份……等等。

之所以有這種錯(cuò)誤觀念，是因?yàn)榇蟛糠直缓诳凸艋蛘吒腥玖藧阂廛浖娜思炔皇浅绦騿T也不是IT安全人員。對(duì)他們來說，這些都不可思議，必須要有萊克斯·盧瑟（電影《超人》系列中的超級(jí)反派角色）那樣的超能力才行。

現(xiàn)實(shí)情況是，大多數(shù)黑客都是普通人，他們的智商一般，在愛因斯坦面前，他們就是水管工和電工。黑客們只需知道怎樣采用前輩們留下的某種工具來完成某一項(xiàng)任務(wù)，當(dāng)然這不是水管工和電工干的活，而是計(jì)算機(jī)黑客。這并不是說沒有非常出色的黑客，但和其他行業(yè)一樣，這類黑客非常少，屈指可數(shù)。不幸的是，所有黑客都異于常人這種誤解進(jìn)一步讓人覺得黑客是無法擊敗的。

3.IT安全部門知道該怎么解決問題

這可能是有待于消除的最關(guān)鍵的誤區(qū)。很多IT安全部門人才濟(jì)濟(jì)而且工作非常努力，但卻真的不知道他們應(yīng)該做些什么。大多數(shù)情況下，他們所從事的工作并沒有大幅度降低安全風(fēng)險(xiǎn)。因?yàn)樗麄儾恢?，他們?cè)阱e(cuò)誤的地方投入了太多的資源來對(duì)付錯(cuò)誤的東西。

可悲的事實(shí)是，很少有IT安全部門有真實(shí)的數(shù)據(jù)來支持他們所發(fā)現(xiàn)的實(shí)際問題。如果首席執(zhí)行官私下里單獨(dú)詢問IT安全部門，他們的企業(yè)面臨的最大威脅是什么，那么首席執(zhí)行官可能會(huì)震驚地發(fā)現(xiàn)沒有人知道真正的答案。即使有人給出了正確的答案，也不會(huì)有數(shù)據(jù)來支持自己的答案。相反，IT安全部門的員工們對(duì)于什么是最嚴(yán)重的問題各持己見。如果IT安全部門不知道最大的問題是什么，那么他們?cè)趺茨芨咝У貙?duì)抗最大的威脅呢？

4.安全合規(guī)等同于更好的安全

首席執(zhí)行官們?cè)趯I(yè)層面上和個(gè)人層面上都要確保他們的企業(yè)符合所有法律和法規(guī)的要求。今天，很多企業(yè)都要面對(duì)多個(gè)而且有時(shí)候是相互沖突的IT安全要求。所有首席執(zhí)行官們都知道，如果他們履行了合規(guī)義務(wù)，專業(yè)人士們就認(rèn)為他們是“安全的”，或者至少在法律上可以被解釋為是安全的。

然而，合規(guī)所要求的與安全所要求的并不一樣，有時(shí)甚至與真正的安全要求相沖突。例如，現(xiàn)在我們知道，以前一直存在的密碼策略要求，包括使用長(zhǎng)而且復(fù)雜的密碼，還必須在一年內(nèi)經(jīng)常更改這些密碼，這些要求比使用從未改變的簡(jiǎn)單密碼會(huì)帶來更大的安全風(fēng)險(xiǎn)。很多年前我們就知道這些了。在過去幾年中，包括NIST出版物在內(nèi)的大部分“官方”密碼建議的確都是如此。

很多IT安全人員和首席執(zhí)行官還不知道這些。即使他們知道，他們也不能遵循更新、更好的密碼指南。為什么？ 因?yàn)槟壳暗谋O(jiān)管要求都沒有進(jìn)行更新，以遵循新的密碼指南。再重申一次，合規(guī)并不總是等同于安全。有時(shí)候，情況恰恰相反。

5.補(bǔ)丁是受控的

大多數(shù)首席執(zhí)行官認(rèn)為他們的補(bǔ)丁都是受控的。所謂“受控”，我的意思是軟件的補(bǔ)丁程序是100%最新的或者接近最新。相反，在我30多年的IT從業(yè)經(jīng)驗(yàn)中，從來沒有過打好所有補(bǔ)丁的計(jì)算機(jī)或者設(shè)備。從來沒有，一個(gè)也沒有。特別是那些非常安全的設(shè)備，比如路由器、防火墻和服務(wù)器等，大家都認(rèn)為這些設(shè)備應(yīng)該很好地打了補(bǔ)丁。很多IT安全部門可能會(huì)告訴他們的首席執(zhí)行官補(bǔ)丁打的“近乎完美”，可能高達(dá)90%，但“細(xì)節(jié)是魔鬼”。

高比例的原因在于：很多企業(yè)都有成百上千需要打補(bǔ)丁的程序。大部分程序不需要打補(bǔ)丁，不是因?yàn)闆]有漏洞，而是因?yàn)楣粽卟粫?huì)去攻擊它們。不用去找這些漏洞，也不用給這些漏洞打上補(bǔ)丁。

在大多數(shù)企業(yè)中，10到20個(gè)未打補(bǔ)丁的程序極有可能帶來被黑客攻擊的風(fēng)險(xiǎn)。在這些程序中，大多數(shù)程序的補(bǔ)丁準(zhǔn)確率會(huì)非常高，可能只有一兩個(gè)程序打補(bǔ)丁的準(zhǔn)確率沒有像其他程序那樣高。然而，就是這一兩個(gè)沒有打好補(bǔ)丁的程序給很多企業(yè)帶來了巨大的風(fēng)險(xiǎn)，但如果你只看數(shù)字本身，可能看起來補(bǔ)丁打得很好。

舉個(gè)例子。假設(shè)一家企業(yè)只有100個(gè)程序要打補(bǔ)丁。在這100個(gè)程序中，只有一個(gè)程序打補(bǔ)丁的比例很低，比如說只打了50%的補(bǔ)丁。那么打補(bǔ)丁的整體比例為99.5%。這似乎很好，但數(shù)字真正的含義是，一半的計(jì)算機(jī)是有漏洞的，沒有打上補(bǔ)丁，而更有可能的是，某一個(gè)只打了一半補(bǔ)丁的程序便是黑客用來闖入企業(yè)的未打補(bǔ)丁的主要程序之一。

我甚至沒有提及大量未打補(bǔ)丁的硬件、固件和驅(qū)動(dòng)程序，很多企業(yè)甚至不打算去給它們打上補(bǔ)丁。它們通常不包括在補(bǔ)丁報(bào)告中。如果包括它們?cè)趦?nèi)，補(bǔ)丁比例看起來更糟糕。最近，黑客們更頻繁地攻擊硬件和固件。這不是巧合。

6.給員工的安全培訓(xùn)足夠了

很多企業(yè)面臨的兩大威脅之一是社會(huì)工程，通過電子郵件或者網(wǎng)絡(luò)瀏覽器進(jìn)行攻擊，有時(shí)甚至通過打電話進(jìn)行。如果只考慮造成嚴(yán)重?fù)p害的主要攻擊，那么社會(huì)工程可能涉及99%的案例。在過去20年里，我只知道唯一的一個(gè)案例，企業(yè)被攻破與社會(huì)工程無關(guān)。很多IT安全部門都會(huì)贊同我的觀點(diǎn)。

然而，很多企業(yè)每年只花不到30分鐘的時(shí)間進(jìn)行社會(huì)工程方面的培訓(xùn)。計(jì)算機(jī)安全防御領(lǐng)域認(rèn)為這是大部分企業(yè)存在的兩個(gè)主要問題之一（另一個(gè)是未打補(bǔ)丁的軟件），但幾乎沒有企業(yè)去改正。相反，員工并沒有得到足夠的培訓(xùn)來阻止社會(huì)工程攻擊，無論企業(yè)做了什么，也無論企業(yè)投入多少資金和其他資源，企業(yè)都會(huì)繼續(xù)被黑客成功地攻擊。

上面討論的所有這些誤區(qū)進(jìn)一步強(qiáng)化了第一個(gè)誤區(qū)：黑客和惡意軟件是無法阻止的。這就形成了一個(gè)無用的基本底線，所有IT安全策略都是在此基礎(chǔ)上進(jìn)行討論的。如果你是一名首席執(zhí)行官（或者首席安全官，或者首席信息安全官），覺得這篇文章有些夸張，那么我建議你問一下自己的IT安全部門：“我們最大的威脅是什么，有沒有數(shù)據(jù)支持你的觀點(diǎn)？”私下里分別問一下安全部門每一名員工這個(gè)問題。你得不到一個(gè)一致的答案，也沒有支持他們觀點(diǎn)的數(shù)據(jù)。如果不能就最大問題是什么達(dá)成一致，那怎么能有效地解決問題呢？