揭穿十三个IT安全谣言 2013-03-11 13:17:49 来源:CIO时代网 互联网
摘要: 这些经常被一再提起、受到广泛认同的IT安全观点其实……全是胡说八道。从一年前开始,我们就在努力收集安全专家眼中最误人子弟的“安全谣言”......
关键词: IT安全
这些经常被一再提起、受到广泛认同的IT安全观点其实……全是胡说八道。从一年前开始,我们就在努力收集安全专家眼中最误人子弟的“安全谣言”,现在是时候揭穿它们的伪装、还大家一个清平世界了。
安全谣言第一位:“杀毒软件能有效保护您远离恶意软件”
趋势科技公司CTO Raimund Genes指出,企业之所以广泛使用杀毒软件,是因为“审计师会牢牢揪出这一点不放”。然而杀毒软件本身并不能可靠地保护我们抵御有针对性的攻击,因为攻击者会在动手之前进行测试,以确保自己的诡计不会为杀毒软件所识破。
安全谣言第二位:“政府才是最强网络攻击的源头”
SANS公司新兴安全趋势部门主管John Pescatore认为,大多数来自政府的网络攻击只是重新借用由犯罪分子鼓捣出来的现成资源。美国国防部一直喜欢大肆宣扬来自民族国家的威胁论借以提高预算额度。可悲的是,像花旗银行这样的金融行业网站本来有机会抵挡住拒绝服务攻击,但却由于缺乏努力而未能成功。就连针对别国政府组织的间谍活动都没有涉及什么新技术,近十年来中国、美国、法国、俄罗斯等其它一些技术强国鲜有成果问世。
Pescatore还提到他个人感受最深的两条安全谣言:其一是“云服务永远无法保证安全”,因为服务的共享特性允许供应商随时对其进行修改;其二是“云环境更安全,因为供应商能够实时掌握一切。”针对这两条谣言,Pescatore指出“以谷歌、Amazon等为代表的云服务供应商并没有建立起企业级别的服务、也无法保护用户信息万全。事实上,谷歌还主动建立起一套非常强大的云信息收集机制,能够通过搜索服务明目张胆地收集并公开他人信息。”
但Pescatore同时指出,由谷歌与微软等推出的以电子邮件为基础的云服务还是比较可靠的。在目前已经披露出来的用户数据泄露事件中,几乎没有明确证据能说明供应商在运营过程中存在纰漏——反倒是客户本身受到了网络钓鱼攻击的影响。但企业客户仍然在想办法改进处理流程,以适应云服务供应商提供的事件响应机制。
安全谣言第三位:“我们的账户都处于Active Directory之下并受到严格控制”
SSH发明人、SSH通信安全公司CEO Tatu Ylonen表示,这种误解很常见,而且很多机构都在为应用程序及自动化流程的功能性账户设定加密密钥后就忘了这码事,更谈不到对其进行重新审计。“许多大型机构在生产服务器端设定的加密密钥都远远多于Active Directory中的用户账户密钥,”Ylonen指出。“这些密钥从未更改、缺乏审计且不受控制。全局身份验证及访问管理体系管理着这些交互用户账户,且一直以忽略形式允许设备自动进行访问。”虽然这样确实更方便,但如果不加以妥善打理,用于自动访问的密钥也可能成为攻击及病毒的传播渠道。
安全谣言第四位:“风险管理技术是IT安全的必要组成部分”
IT-Harvest公司首席研究分析师Richard Stiennon指出,尽管风险管理“已经成为一种公认的管理技术”,但事实上“它所关注的是一项不可能完成的任务,即辨识IT资产并评估其价值。”无论如何尝试,它“都无法真正反映出攻击者觊觎的专利产权中所蕴含的实际价值。”Stiennon认为“惟一能帮助企业改善自我保护能力的方法在于威胁管理方案,而这需要我们深入了解竞争对手、其发展目标以及实施方法。”
安全谣言第五位:“应用程序安全领域存在‘最佳实践’”
白帽安全公司CTO Jeremiah Grossman表示安全专家常常喜欢宣扬“最佳实践”,认为这类方案能够“广泛起效”、“值得投资”且“对于每个人都必不可少”。详细来说,其中包括软件培训、安全检测、威胁建模、Web应用防火墙以及“其它数百项措施”。但在他看来,这显然忽视了每套操作系统所蕴含的独特性。
安全谣言第六位:“零日漏洞是一种固有特性,我们无法预测或进行有效应对”
零日漏洞是指那些尚未被大家普遍发现的网络安全缺陷。但Metasploit渗透测试工具的缔造者、Rapid 7公司CSO H.D.Moore则认为实际情况恰恰相反。“安全专家能够切实预测并避免存在问题的软件引发麻烦。”如果机构本身倚仗于某款软件且达到不可或缺的程度,那么势必需要制定出一套应对方案以避免这款软件引发安全风险。选择性授权与限定软件接收权限都是很好的管理策略。他还与我们分享了另一条安全谣言,即“我们可以根据公开披露的漏洞数量评判一款产品或服务的安全性。”他认为,反击这种论调的最佳武器就是WordPress。“看看它所曝出的安全漏洞有多少!这么看来WordPress根本就是垃圾。”但事实证明,“软件缺陷也是成长历程的一部分,这并不妨碍其成为日后的人气明星。”Moore得出结论,“与此相反,可能有几十款没有发现安全漏洞的产品,但它们并不是真正安全、只是由于人气太低而掩盖了不够安全的现实。总之,我们不应该以安全漏洞数量的多寡来衡量一款软件的好坏以及安全性的高低,这套标准毫无科学性可言。”
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
