【51CTO快譯】如今企業(yè)安全的決策似乎更多是靠道聽途說而不是根據(jù)實際數(shù)據(jù)，靠條件反射而不是嚴密的邏輯，最近在紐約舉行的Cyber Infrastructure Protection '09 (CIP 09)大會上，ISCA實驗室創(chuàng)始人，Verizon Business的Peter Tippett博士在發(fā)言中表示了他的不滿。

“企業(yè)安全屬于信息科學，而我找不到科學的影子，”他說，“只看到大量的工程。”

航空安全的發(fā)展經(jīng)驗表明，依靠科學可以比工程學得到更多的安全性。與五十年前相比，如今的空中旅行已經(jīng)安全了5000倍。

他說，對于安全性來說，數(shù)據(jù)積累比技術創(chuàng)新更為至關重要。“技術創(chuàng)新將安全性提高了10倍，而在流程方面則提高了500倍。如今的飛機仍然可能會墜毀在山谷里，但是我們在流程中加入了數(shù)以百計的統(tǒng)計數(shù)據(jù)與分析，讓這架飛機不太可能飛進山谷。”

最新的Verizon Business數(shù)據(jù)破壞調(diào)查報告已經(jīng)發(fā)布，其中詳細描述了90個安全漏洞的實際調(diào)查結(jié)果，Tippett說，他的數(shù)據(jù)可用于企業(yè)安全策略，使之更加安全。

密碼一直是企業(yè)安全的焦點問題，他說。“雖然較長的密碼可以更好保護一臺計算機，但網(wǎng)絡上的情況卻不一樣。一般你會把電腦設定為三次猜測密碼失敗后鎖定，但黑客卻不會傻到去猜你們大學足球隊的名字。”

他補充說，在一個一萬臺電腦的網(wǎng)絡，黑客可以在一二個小時內(nèi)猜中80%的五個字符的密碼，九個字符的密碼相對安全一些，可以猜中20%到30%。“你能說兩千臺電腦被攻破的網(wǎng)絡就比八千臺電腦被攻破的網(wǎng)絡更安全嗎？”有興趣的朋友可以看下51CTO以前發(fā)布的：使用Ophcrack破解系統(tǒng)Hash密碼

沒必要那么急著打補丁

Tippett也對另一項安全觀點發(fā)起了攻擊：即計算機的漏洞必須立即打上補丁，否則就會受到零日攻擊等快速破壞。他指出，目前的補丁計劃總是優(yōu)先考慮那些嚴重的漏洞，比如那些讓攻擊者有機會接管機器的漏洞。而Verizon Business調(diào)查則顯示沒有人使用了零日攻擊，而且事實上只有3%的應用漏洞被利用。51CTO編輯點評：個人覺得Verizon Business的調(diào)查持懷疑態(tài)度，因為不管是在國外還是國內(nèi)，零日攻擊的比重都是相當大的。面對打滿補丁的系統(tǒng)和盡心盡責的系統(tǒng)管理員，不用0day怎么容易打的下來？

“大多數(shù)攻擊其實瞄準的是那些不那么關鍵的安全漏洞，而并不是關鍵的漏洞，”他補充說。

他還指出雖然調(diào)查中沒有發(fā)現(xiàn)僵尸網(wǎng)絡參與散布惡意軟件，但有些僵尸網(wǎng)絡被用來掃描網(wǎng)絡漏洞。

“你可以不停的給機器打補丁，但安全性并不會成比例的提高，”他說。“有許多公司為此每年多支出1000萬美元，而他們本來沒必要這樣做。”

相反，企業(yè)可以專注于其他方面，那些目前做得還不好的地方。

“比如有件事只需要你花3分鐘（第一次做可能是15分鐘）。剪切并粘貼你的使用記錄，在路由上創(chuàng)建一個出口篩選（egress filter）。這樣就能將對你的攻擊的成功可能性降低80%，而且還是免費的。我們說這件事已經(jīng)有兩年了，可只有2%的人這樣做，即使它可以5倍降低攻擊的機會。”51CTO編輯點評：這個還是挺有效果的，拿早期的沖擊波病毒來說吧，當時筆者就見到機房的網(wǎng)絡工程師預先在路由上做了限制，直到微軟發(fā)布補丁的期間，筆者所維護網(wǎng)段沒有一臺機器中招。

還有一個問題是有些安全專家認為每一層的防御都必須做到完美，而并不愿意采取措施來按百分比減少威脅。“安全問題不是只有是或否兩個答案。大多數(shù)攻擊是類似的。因此即使是很便宜的防火墻，如果能夠降低50%的威脅也是不錯的，”他補充說。

Tippett說，許多企業(yè)可能實施三個安全措施，每個都能做到90%有效，而每個成本都在10萬美元。如果風險價值1000萬美元，第一個措施能使風險降低到100萬美元，這是完全值得的。第二個措施能使風險降低到10萬美元，仍然是值得的。但是，第三個措施的10萬美元就只能帶來9萬美元的好處了。

“對于第三個措施，你可以花5萬美元來減少80%的風險，而不一定要做到90%，”他說。

控制遠程訪問

相對于不斷的打補丁，企業(yè)應該把更多的精力放在控制遠程訪問上。“許多企業(yè)每年花費超過1000萬美元來保護他們的關鍵應用，但卻花不到100美元來尋找PCAnywhere有沒有安裝在不該出現(xiàn)的地方。在這上面他們本應花得更多一點。”Tippett說。

另一個造成補丁策略失敗的原因是有很多被損害的系統(tǒng)從未被修補。報告中說，平均來說，一個補丁從漏洞被發(fā)現(xiàn)到真正可用需要兩年半的時間。

“通常情況下，罪犯們會去尋找非關鍵的系統(tǒng)比如HVAC。他們不希望把事情搞大，他們想要的是錢。因此他們會安裝keylogger、scanner和木馬軟件，并從那里感染其他系統(tǒng)”，Tippett說。

從大方面也可以看到企業(yè)開支的分配不當。“罪犯們竊取的數(shù)據(jù)有99.9%是來自于服務器，只有0.01%來自終端用戶系統(tǒng)，但企業(yè)在終端的安全預算也占到了約50%，”他說。“他們應該更多的確保服務器的安全。”

對于筆記本來說，密碼保護基本上夠用。他說，企業(yè)用戶的筆記本加密有三種選擇：文件級加密，這是免費的；啟動后加密，這有點貴；還有啟動前加密，這會增加筆記本的啟動時間幾乎五分鐘，還會造成藍屏。

許多企業(yè)使用啟動前加密，因為一年前出現(xiàn)過針對啟動后加密的攻擊。Tippett指出，這種攻擊主要是從被凍結(jié)的RAM中提取數(shù)據(jù)，所以對大多數(shù)公司來說并不算是常見的情況，文件級加密應該已經(jīng)足夠，也應該能讓用戶滿意。

【編輯推薦】

1. 如何有效提升企業(yè)安全審計應用水平
2. 企業(yè)安全威脅實例講解技術研討會
3. 專題：微軟Forefront企業(yè)安全解決方案

原文：Enterprise Security Should Be Better and Cheaper 作者：Alex Goldman

【51CTO.com譯稿，非經(jīng)授權請勿轉(zhuǎn)載。合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容。】