在IT安全領(lǐng)域，存在一些“安全神話”，它們經(jīng)常被提到，普遍被接受，然而，其實(shí)都是不正確的觀念，換句話說(shuō)，它們只是神話。

安全神話又來(lái)了——在IT安全領(lǐng)域，存在一些“安全神話”，它們經(jīng)常被提到，普遍被接受，然而，其實(shí)都是不正確的觀念，換句話說(shuō)，它們只是神話。同去年一樣，我們?cè)僖淮窝?qǐng)安全專家、顧問(wèn)、供應(yīng)商和企業(yè)安全管理人員和我們分享他們最喜歡的“安全神話”，以下是我們從中選出的13個(gè)神話：

安全神話1：“反病毒軟件有效地保護(hù)你免受惡意軟件侵?jǐn)_。”

趨勢(shì)科技CTORaimund Genes認(rèn)為企業(yè)需要使用反病毒軟件，否則“審計(jì)師會(huì)殺了你”。但是反病毒軟件不能可靠地抵抗有針對(duì)性的攻擊，因?yàn)樵谒鼏?dòng)之前，攻擊者能夠覺(jué)察到并確保自己不被反病毒軟件發(fā)現(xiàn)。

安全神話2：“政府制造最強(qiáng)大的網(wǎng)絡(luò)攻擊。”

SANS新興安全趨勢(shì)主任John Pescatore說(shuō)，大多數(shù)的政府發(fā)起的攻擊，只是重新使用了犯罪分子慣用的方法和資源。美國(guó)國(guó)防部喜歡炒作來(lái)自其他國(guó)家的威脅，以提高其預(yù)算。可悲的是，針對(duì)銀行網(wǎng)站(如花旗銀行)的拒絕服務(wù)攻擊本來(lái)可以阻止，卻沒(méi)有足夠努力去做。而且，幾十年來(lái)政府間的間諜活動(dòng)從來(lái)不是新聞，美中法俄及其他國(guó)家人人有份。

Pescatore還喜歡另外兩個(gè)神話，關(guān)于云計(jì)算安全的，而且放一起自相矛盾：一是“云服務(wù)永遠(yuǎn)不會(huì)安全”因?yàn)樗麄兎窒淼姆?wù)可以隨便更改;另一個(gè)是“云計(jì)算更安全，因?yàn)榉?wù)商靠這個(gè)吃飯”。關(guān)于這兩個(gè)矛盾的神話，Pescatore指出，“很多服務(wù)提供商，比如谷歌，亞馬遜等，建立云服務(wù)不是為企業(yè)提供服務(wù)或保護(hù)他人的信息。事實(shí)上，Google通過(guò)其搜索服務(wù)建立了一個(gè)非常強(qiáng)大的云，并大張旗鼓地收集和公開人們的信息。”

Pescatore還拿谷歌和微軟基于電子郵件的云服務(wù)來(lái)舉例，迄今已表明，客戶數(shù)據(jù)遭泄露明顯是服務(wù)商的過(guò)錯(cuò)，卻被最大程度歸因于對(duì)客戶的釣魚攻擊。而且在處理過(guò)程中，企業(yè)用戶還得努力配合云計(jì)算服務(wù)商。

安全神話3：“所有帳戶都在活動(dòng)目錄并受到限制。”

Tatu Ylonen——SSH發(fā)明人和SSH通信安全公司CEO，認(rèn)為這種誤解很普遍，但是大多數(shù)企業(yè)都創(chuàng)建了——卻幾乎被人遺忘——應(yīng)用程序和自動(dòng)流程使用的多功能帳戶，經(jīng)常通過(guò)加密密鑰管理而且從不審核。“很多大型企業(yè)的情況是，他們有更多的密鑰配置訪問(wèn)他們的生產(chǎn)服務(wù)器，比他們?cè)诨顒?dòng)目錄中的用戶帳戶還要多，”Ylonen指出。“并且這些密鑰從不更換，從不審核，也不加以限制。所有身份和訪問(wèn)管理域一般只管理交互式用戶帳戶，而忽略機(jī)器的自動(dòng)訪問(wèn)。”這些用來(lái)自動(dòng)訪問(wèn)的密鑰如果不加以妥善管理，可能會(huì)被用于攻擊和病毒傳播。

安全神話4：“IT安全需要風(fēng)險(xiǎn)管理技術(shù)。”

IT-Harvest首席研究分析師Richard Stiennon說(shuō)，盡管風(fēng)險(xiǎn)管理“已成為公認(rèn)的管理技術(shù)”，事實(shí)上“它側(cè)重于一個(gè)不可能完成的任務(wù)：確定IT資產(chǎn)和評(píng)定它們的價(jià)值。”不管如何，這只是個(gè)嘗試，它“不會(huì)反映出攻擊者目標(biāo)所擁有的知識(shí)產(chǎn)權(quán)的價(jià)值。”Stiennon解釋說(shuō)，“唯有威脅管理能真正提高企業(yè)對(duì)抗針對(duì)性攻擊的能力，而且需要深入理解對(duì)手以及他們的目標(biāo)和方法。”

安全神話5：“應(yīng)用安全總有‘最佳做法’。”

WhiteHat Security(白帽安全)公司CTO Jeremiah Grossman說(shuō)，安全專家通常主張“最佳做法”，這被認(rèn)為是“普遍有效”和值得投入，因?yàn)?“人人通用”。這些做法包括軟件培訓(xùn)，安全測(cè)試，威脅建模，Web應(yīng)用防火墻，甚至上百種做法。但是他認(rèn)為這通常忽視了每個(gè)實(shí)際操作環(huán)境的獨(dú)特性。

安全神話6：“零日漏洞是‘生命周期的一部分’，無(wú)法預(yù)測(cè)也無(wú)法有效應(yīng)對(duì)。”

零日漏洞攻擊針對(duì)的是大部分人不知道的漏洞——Rapid7 CSO兼Metasploit 滲透測(cè)試工具作者H.D. Moore對(duì)此有不同看法：“安全專業(yè)人士其實(shí)可以做好預(yù)測(cè)避免問(wèn)題。”如果企業(yè)依賴任何“不可能”有功能缺陷的軟件，應(yīng)該有預(yù)案應(yīng)對(duì)未知的風(fēng)險(xiǎn)(一旦該軟件出現(xiàn)安全漏洞)。選擇性授權(quán)和限制軟件的權(quán)限都是很好的策略。他提到廣受歡迎的博客平臺(tái)WordPress。表明上看，“WordPress多糟糕，看看到現(xiàn)在曝出多少漏洞。”但是他說(shuō)，“軟件缺陷的深厚歷史可以看作是一個(gè)軟件越來(lái)越受歡迎的自然結(jié)果。”Moore得出這樣的結(jié)論，“與此相反，相比至今廣為人知且一直被審計(jì)的應(yīng)用程序，幾十種尚未有公開漏洞的軟件反而非常不安全。”總之，一個(gè)軟件公布的安全漏洞數(shù)量，是衡量這個(gè)軟件最新版有多安全的重要的度量標(biāo)準(zhǔn)。

安全神話7：“遵循北美電力可靠性協(xié)會(huì)的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)的要求，美國(guó)電網(wǎng)受到很好的保護(hù)。”

Joe Weiss是Applied Control Solution(應(yīng)用控制解決方案)的合伙人，他認(rèn)為這是一個(gè)神話，因?yàn)镃IP是基于行業(yè)本身而制定，僅適用于分散的電力配送，而不是整個(gè)配電系統(tǒng)，而且還需滿足特定的發(fā)電規(guī)模。美國(guó)“80%”的發(fā)電量沒(méi)有在CIP的監(jiān)管之下。

安全神話8：“合規(guī)即安全。”

PCI安全標(biāo)準(zhǔn)委員會(huì)總經(jīng)理Bob Russo說(shuō)，企業(yè)普遍認(rèn)為只要他們的支付卡符合安全規(guī)則，他們就是“一勞永逸”地安全了。但是檢查盒子的合規(guī)性僅體現(xiàn)“一次的印象”，而安全是一個(gè)持續(xù)的過(guò)程，關(guān)系到人、技術(shù)和流程。

安全神話9：“安全是首席信息安全官的事。”

Phil Dunkelberger，初創(chuàng)企業(yè)Nok Nok Labs總裁兼CEO。他說(shuō)CISO會(huì)因?yàn)閿?shù)據(jù)泄露而遭到指責(zé)，大概因?yàn)樗麄兊墓ぷ魇侵贫ㄏ鄳?yīng)的規(guī)則，和開展相關(guān)的技術(shù)課程。但是公司的其他人，特別是IT操作人員，也應(yīng)該有“安全職責(zé)”意識(shí)，并且他們應(yīng)當(dāng)承擔(dān)更多的責(zé)任。

安全神話10：“移動(dòng)設(shè)備比PC安全。”

RSA大會(huì)程序委員會(huì)主席Hugh Thompson博士反駁說(shuō)，這是“經(jīng)常發(fā)生的想當(dāng)然”看法。雖有一定的可取之處，但它低估了PC上傳統(tǒng)安全防護(hù)措施的能力，比如隱蔽密碼和URL預(yù)覽，至今沒(méi)有用在移動(dòng)設(shè)備上。“因此，盡管移動(dòng)設(shè)備仍比筆記本電腦或臺(tái)式機(jī)提供了更多安全措施，但傳統(tǒng)的安全措施被破壞的話，你將處于易受攻擊的境地。”

安全神話11：“你可以100%安全，但你必須犧牲個(gè)人時(shí)間。”

初創(chuàng)公司Cylance總裁兼CEO Stuart McClure提醒大家，不需要花費(fèi)自己的精力去打擊網(wǎng)上的壞人，我們要“把事情推給政府。”了解那些壞家伙們就可以了，“預(yù)測(cè)他們的行動(dòng)，他們的工具”，并“深入到他們的皮膚下”。

安全神話12：“時(shí)間點(diǎn)安全即可保證你阻止惡意軟件的需要。”

Sourcefire創(chuàng)始人、Snort入侵檢測(cè)系統(tǒng)發(fā)明人Martin Roesch提到，安全防御效果往往有限，對(duì)于某種類型的攻擊，在所謂的時(shí)間點(diǎn)有可能捕捉不到，并且如果它被錯(cuò)過(guò)，防御系統(tǒng)幾乎不再能夠阻止攻擊者展開后續(xù)行動(dòng)。一個(gè)較新的模式是，安全防御系統(tǒng)不斷地更新信息以了解攻擊的范圍并遏制它，即使錯(cuò)過(guò)最初的網(wǎng)絡(luò)攻擊行為。

安全神話13：“有了正確的保護(hù)措施，攻擊者就可以被拒之門外。”

微軟企業(yè)可信計(jì)算副總裁Scott Charney說(shuō)，“我們通常會(huì)把安全和將人拒之門外外聯(lián)系起來(lái);鎖好大門，給計(jì)算機(jī)裝上防火墻。但現(xiàn)實(shí)情況是，盡管有復(fù)雜的安全策略和優(yōu)秀的運(yùn)營(yíng)，但一個(gè)有決心堅(jiān)持不懈的攻擊者最終一定會(huì)找到突破口。承認(rèn)現(xiàn)實(shí)，我們應(yīng)該從不同的出發(fā)點(diǎn)考慮安全。”所謂整體安全形態(tài)，意味著現(xiàn)在和未來(lái)有一個(gè)“保護(hù)，遏制和恢復(fù)”的方針來(lái)打擊威脅。