这些经常被一再提起、受到广泛认同的IT安全观点其实……全是胡说八道。从一年前开始,我们就在努力收集安全专家眼中最误人子弟的“安全谣言”,现在是时候揭穿它们的伪装、还大家一个清平世界了。
安全谣言第一位:“杀毒软件能有效保护您远离恶意软件”
趋势科技公司CTO Raimund Genes指出,企业之所以广泛使用杀毒软件,是因为“审计师会牢牢揪出这一点不放”。然而杀毒软件本身并不能可靠地保护我们抵御有针对性的攻击,因为攻击者会在动手之前进行测试,以确保自己的诡计不会为杀毒软件所识破。
安全谣言第二位:“政府才是最强网络攻击的源头”
John Pescatore
SANS公司新兴安全趋势部门主管John Pescatore认为,大多数来自政府的网络攻击只是重新借用由犯罪分子鼓捣出来的现成资源。美国国防部一直喜欢大肆宣扬来自民族国家的威胁论借以提高预算额度。可悲的是,像花旗银行这样的金融行业网站本来有机会抵挡住拒绝服务攻击,但却由于缺乏努力而未能成功。就连针对别国政府组织的间谍活动都没有涉及什么新技术,近十年来中国、美国、法国、俄罗斯等其它一些技术强国鲜有成果问世。
Pescatore还提到他个人感受最深的两条安全谣言:其一是“云服务永远无法保证安全”,因为服务的共享特性允许供应商随时对其进行修改;其二是“云环境更安全,因为供应商能够实时掌握一切。”针对这两条谣言,Pescatore指出“以谷歌、Amazon等为代表的云服务供应商并没有建立起企业级别的服务、也无法保护用户信息万全。事实上,谷歌还主动建立起一套非常强大的云信息收集机制,能够通过搜索服务明目张胆地收集并公开他人信息。”
但Pescatore同时指出,由谷歌与微软等推出的以电子邮件为基础的云服务还是比较可靠的。在目前已经披露出来的用户数据泄露事件中,几乎没有明确证据能说明供应商在运营过程中存在纰漏——反倒是客户本身受到了网络钓鱼攻击的影响。但企业客户仍然在想办法改进处理流程,以适应云服务供应商提供的事件响应机制。
安全谣言第三位:“我们的账户都处于Active Directory之下并受到严格控制”
SSH发明人、SSH通信安全公司CEO Tatu Ylonen表示,这种误解很常见,而且很多机构都在为应用程序及自动化流程的功能性账户设定加密密钥后就忘了这码事,更谈不到对其进行重新审计。“许多大型机构在生产服务器端设定的加密密钥都远远多于Active Directory中的用户账户密钥,”Ylonen指出。“这些密钥从未更改、缺乏审计且不受控制。全局身份验证及访问管理体系管理着这些交互用户账户,且一直以忽略形式允许设备自动进行访问。”虽然这样确实更方便,但如果不加以妥善打理,用于自动访问的密钥也可能成为攻击及病毒的传播渠道。
安全谣言第四位:“风险管理技术是IT安全的必要组成部分”
IT-Harvest公司首席研究分析师Richard Stiennon指出,尽管风险管理“已经成为一种公认的管理技术”,但事实上“它所关注的是一项不可能完成的任务,即辨识IT资产并评估其价值。”无论如何尝试,它“都无法真正反映出攻击者觊觎的专利产权中所蕴含的实际价值。”Stiennon认为“惟一能帮助企业改善自我保护能力的方法在于威胁管理方案,而这需要我们深入了解竞争对手、其发展目标以及实施方法。”
安全谣言第五位:“应用程序安全领域存在‘最佳实践’”
白帽安全公司CTO Jeremiah Grossman表示安全专家常常喜欢宣扬“最佳实践”,认为这类方案能够“广泛起效”、“值得投资”且“对于每个人都必不可少”。详细来说,其中包括软件培训、安全检测、威胁建模、Web应用防火墙以及“其它数百项措施”。但在他看来,这显然忽视了每套操作系统所蕴含的独特性。
安全谣言第六位:“零日漏洞是一种固有特性,我们无法预测或进行有效应对”
H.D. Moore
零日漏洞是指那些尚未被大家普遍发现的网络安全缺陷。但Metasploit渗透测试工具的缔造者、Rapid 7公司CSO H.D.Moore则认为实际情况恰恰相反。“安全专家能够切实预测并避免存在问题的软件引发麻烦。”如果机构本身倚仗于某款软件且达到不可或缺的程度,那么势必需要制定出一套应对方案以避免这款软件引发安全风险。选择性授权与限定软件接收权限都是很好的管理策略。他还与我们分享了另一条安全谣言,即“我们可以根据公开披露的漏洞数量评判一款产品或服务的安全性。”他认为,反击这种论调的最佳武器就是WordPress。“看看它所曝出的安全漏洞有多少!这么看来WordPress根本就是垃圾。”但事实证明,“软件缺陷也是成长历程的一部分,这并不妨碍其成为日后的人气明星。”Moore得出结论,“与此相反,可能有几十款没有发现安全漏洞的产品,但它们并不是真正安全、只是由于人气太低而掩盖了不够安全的现实。总之,我们不应该以安全漏洞数量的多寡来衡量一款软件的好坏以及安全性的高低,这套标准毫无科学性可言。”
安全谣言第七位:“美国电网受到北美电力可靠性公司的关键性基础设施保护(简称CIP)”
Applied Control Solutions公司执行合伙人Joe Weiss认为这纯属谣言,因为由电力行业自己制定的CIP仅适用于批量分销型供电体系,而并不针对整个配电系统,同时只涵盖了一部分供电设施。“全美80%的供电设施并未受到CIP的保护。”
安全谣言第八位:“我通过了合规性审查,所以我是安全的”
PCI安全标准委员会总经理Bob Russo表示这种观念相当普遍,即企业往往认为只要能够通过支付卡数据安全规范的审计,他们就“高枕无忧、永远安全”了。但合规性审查只能算是对特定时间点上的企业经营“快照”进行评估,而安全则是一个持续而不能松懈的过程,需要相关人员、技术与流程通力配合方能永保太平。
安全谣言第九位:“安全是首席信息安全官才需要考虑的问题”
新兴企业Nok Nok实验室总裁兼CEO Phil Dunkelberger指出,CISO确实应该为数据违规状况担负主要责任,而这类行政或技术课题也正是他们的份内工作。然而企业中的很多其他岗位同样需要把安全时刻铭记在心,尤其是IT操作人员。他们手中也掌握着“安全性”的命运,因此要比普通员工承担更多责任。
安全谣言第十位:“移动设备比计算机更安全”
RSA大会项目委员会主席Hugh Thompson博士对这种“常见的假想”提出质疑。他认为尽管有一定道理,但这种言论低做了计算机中以掩饰密码及URL预览为代表的传统保障手段,而这些成熟机制目前在移动设备上还不适用。“因此,虽然移动设备就自身而言比台式机或笔记本要安全一些,但传统安全手段的缺失仍然会留下许多安全漏洞。”
安全谣言第十一位:“要想实现安全性,我们就不得不放弃一部分个人自由”
新兴企业Cylance公司CEO兼总裁Stuart McClure指出,千万不要听信这类说法。什么“为了打击坏人,我们必须让政府插手自己的网络流量信息”,全都是一派胡言。要想防患于未然,安全专家该做的是了解坏人的想法、“揣测其行动并熟悉其作案工具”,并最终将其一举攻陷。
安全谣言第十二位:“阻止恶意软件,实时反应最重要”
Snort入侵检测系统缔造者、Sourcefire公司创始人Martin Roesch认为安全防范机制往往效果有限,很难快速追踪或捕捉到各种类型的攻击。而且即使错过了实时反应的机会,现有防御机制也会对整个流程有所认知并准备应对攻击者的后续活动。新型安全防护模式会持续不断进行信息更新,这样就算无法第一时间揪出犯罪分子,了解其攻击范围及手段也是很有意义的。
安全谣言第十三位:“有了正确的保护机制,攻击者将被拒之门外”
微软公司可信计算全球副总裁Scott Charney表示,“我们常常把安全跟‘拒之门外’联系起来;锁上门、装上防火墙似乎就万事大吉了。然而实际情况在于,即使是最复杂的安全策略与最优秀的执行流程也终会被有耐心、有决心的攻击者找到可乘之机。实际上,我们应该转化自己对于安全概念的认识。”对于整个安全社区而言,这意味着“保护、遏制及恢复”三大方针,这才是足以对抗威胁的长久之计。