安全谣言第七位:“美国电网受到北美电力可靠性公司的关键性基础设施保护(简称CIP)”
Applied Control Solutions公司执行合伙人Joe Weiss认为这纯属谣言,因为由电力行业自己制定的CIP仅适用于批量分销型供电体系,而并不针对整个配电系统,同时只涵盖了一部分供电设施。“全美80%的供电设施并未受到CIP的保护。”
安全谣言第八位:“我通过了合规性审查,所以我是安全的”
PCI安全标准委员会总经理Bob Russo表示这种观念相当普遍,即企业往往认为只要能够通过支付卡数据安全规范的审计,他们就“高枕无忧、永远安全”了。但合规性审查只能算是对特定时间点上的企业经营“快照”进行评估,而安全则是一个持续而不能松懈的过程,需要相关人员、技术与流程通力配合方能永保太平。
安全谣言第九位:“安全是首席信息安全官才需要考虑的问题”
新兴企业Nok Nok实验室总裁兼CEO Phil Dunkelberger指出,CISO确实应该为数据违规状况担负主要责任,而这类行政或技术课题也正是他们的份内工作。然而企业中的很多其他岗位同样需要把安全时刻铭记在心,尤其是IT操作人员。他们手中也掌握着“安全性”的命运,因此要比普通员工承担更多责任。
安全谣言第十位:“移动设备比计算机更安全”
RSA大会项目委员会主席Hugh Thompson博士对这种“常见的假想”提出质疑。他认为尽管有一定道理,但这种言论低做了计算机中以掩饰密码及URL预览为代表的传统保障手段,而这些成熟机制目前在移动设备上还不适用。“因此,虽然移动设备就自身而言比台式机或笔记本要安全一些,但传统安全手段的缺失仍然会留下许多安全漏洞。”
安全谣言第十一位:“要想实现安全性,我们就不得不放弃一部分个人自由”
新兴企业Cylance公司CEO兼总裁Stuart McClure指出,千万不要听信这类说法。什么“为了打击坏人,我们必须让政府插手自己的网络流量信息”,全都是一派胡言。要想防患于未然,安全专家该做的是了解坏人的想法、“揣测其行动并熟悉其作案工具”,并最终将其一举攻陷。
安全谣言第十二位:“阻止恶意软件,实时反应最重要”
Snort入侵检测系统缔造者、Sourcefire公司创始人Martin Roesch认为安全防范机制往往效果有限,很难快速追踪或捕捉到各种类型的攻击。而且即使错过了实时反应的机会,现有防御机制也会对整个流程有所认知并准备应对攻击者的后续活动。新型安全防护模式会持续不断进行信息更新,这样就算无法第一时间揪出犯罪分子,了解其攻击范围及手段也是很有意义的。
安全谣言第十三位:“有了正确的保护机制,攻击者将被拒之门外”
微软公司可信计算全球副总裁Scott Charney表示,“我们常常把安全跟‘拒之门外’联系起来;锁上门、装上防火墙似乎就万事大吉了。然而实际情况在于,即使是最复杂的安全策略与最优秀的执行流程也终会被有耐心、有决心的攻击者找到可乘之机。实际上,我们应该转化自己对于安全概念的认识。”对于整个安全社区而言,这意味着“保护、遏制及恢复”三大方针,这才是足以对抗威胁的长久之计。
安全谣言第七位:“美国电网受到北美电力可靠性公司的关键性基础设施保护(简称CIP)”
Applied Control Solutions公司执行合伙人Joe Weiss认为这纯属谣言,因为由电力行业自己制定的CIP仅适用于批量分销型供电体系,而并不针对整个配电系统,同时只涵盖了一部分供电设施。“全美80%的供电设施并未受到CIP的保护。”
安全谣言第八位:“我通过了合规性审查,所以我是安全的”
PCI安全标准委员会总经理Bob Russo表示这种观念相当普遍,即企业往往认为只要能够通过支付卡数据安全规范的审计,他们就“高枕无忧、永远安全”了。但合规性审查只能算是对特定时间点上的企业经营“快照”进行评估,而安全则是一个持续而不能松懈的过程,需要相关人员、技术与流程通力配合方能永保太平。
安全谣言第九位:“安全是首席信息安全官才需要考虑的问题”
新兴企业Nok Nok实验室总裁兼CEO Phil Dunkelberger指出,CISO确实应该为数据违规状况担负主要责任,而这类行政或技术课题也正是他们的份内工作。然而企业中的很多其他岗位同样需要把安全时刻铭记在心,尤其是IT操作人员。他们手中也掌握着“安全性”的命运,因此要比普通员工承担更多责任。
安全谣言第十位:“移动设备比计算机更安全”
RSA大会项目委员会主席Hugh Thompson博士对这种“常见的假想”提出质疑。他认为尽管有一定道理,但这种言论低做了计算机中以掩饰密码及URL预览为代表的传统保障手段,而这些成熟机制目前在移动设备上还不适用。“因此,虽然移动设备就自身而言比台式机或笔记本要安全一些,但传统安全手段的缺失仍然会留下许多安全漏洞。”
安全谣言第十一位:“要想实现安全性,我们就不得不放弃一部分个人自由”
新兴企业Cylance公司CEO兼总裁Stuart McClure指出,千万不要听信这类说法。什么“为了打击坏人,我们必须让政府插手自己的网络流量信息”,全都是一派胡言。要想防患于未然,安全专家该做的是了解坏人的想法、“揣测其行动并熟悉其作案工具”,并最终将其一举攻陷。
安全谣言第十二位:“阻止恶意软件,实时反应最重要”
Snort入侵检测系统缔造者、Sourcefire公司创始人Martin Roesch认为安全防范机制往往效果有限,很难快速追踪或捕捉到各种类型的攻击。而且即使错过了实时反应的机会,现有防御机制也会对整个流程有所认知并准备应对攻击者的后续活动。新型安全防护模式会持续不断进行信息更新,这样就算无法第一时间揪出犯罪分子,了解其攻击范围及手段也是很有意义的。
安全谣言第十三位:“有了正确的保护机制,攻击者将被拒之门外”
微软公司可信计算全球副总裁Scott Charney表示,“我们常常把安全跟‘拒之门外’联系起来;锁上门、装上防火墙似乎就万事大吉了。然而实际情况在于,即使是最复杂的安全策略与最优秀的执行流程也终会被有耐心、有决心的攻击者找到可乘之机。实际上,我们应该转化自己对于安全概念的认识。”对于整个安全社区而言,这意味着“保护、遏制及恢复”三大方针,这才是足以对抗威胁的长久之计。
参考地址:
http://www.ciotimes.com/safety/aqzx/76780.html
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
