本帖最后由 lyf1428 于 2012-2-20 10:49 编辑
(转自网界网)
在IT安全领域,存在一些“安全神话”,它们经常被提到,普遍被接受,然而,其实都是不正确的观念,换句话说,它们只是神话。安全专家、顾问、供应商和企业安全管理人员和我们分享了他们最喜欢的“安全神话”,以下是我们从中选出的13个神话:
安全神话1:“更多安全更好”
安全专家兼安全作家Bruce Schneider解释了为什么这个经常被谈论的安全观念是错误的原因。他解释说:“更多安全并不意味着更好。首先,我们需要对安全进行权衡,有时候额外的安全花费的资金与其创造的价值并不对等。举例来说,并不值得我们花费10万美元去保护一个甜甜圈,当然,这个甜甜圈会更加安全,但是这种安全保护只是在浪费钱,”他还指出“额外的安全会导致收益减少。也就是说,减少25%特定犯罪(例如入店行窃)采取的措施需要花一些钱,但再减少25%采取额外的措施需要花更多钱。更多的安全性从成本效益角度来看并不值得。并且作为一个必然的结果,绝对安全是不可能实现的。”有时候安全甚至可能成为一种道德选择,合规可能是一种不道德的决策,因为这可能涉及到一个极权制度。“安全需要遵守合规,而有时候遵守并不是正确的事情。”
安全神话 2:“DDoS问题是以带宽为导向的”
“我们经常会听到各种没有真实证据支撑的安全神话,”Radware公司安全解决方案副总裁Carl Herberger表示,“在IT管理人员之间存在一个普遍的看法:只要他们具有足够的带宽,分布式拒绝服务(DDoS)攻击就会消失。”但事实上,研究数据显示,自去年以来,超过一半的分布式拒绝服务攻击根本不是以带宽为导向的,而是以应用程序为导向,攻击者会攻击应用程序堆栈,并利用漏洞造成服务中断。在这种情况下,很多带宽实际上会帮助攻击者。Herberger表示,只有四分之一的分布式拒绝服务攻击会随着带宽的增加而有所缓解。
安全神话3:“定期设定密码使用期限(通常每隔90天)能够加强密码系统”
EMC公司安全分公司RSA公司首席科学家Ari Juels在谈到他最喜欢的安全神话“密码必须定期设定过期时间”时表示:“我认为这像是一个敦促我们每天喝八杯水的健康建议一样,没有人知道这个说法是从哪里来的,也根本不知道这是不是一个好建议。事实上,最近的研究表明,定期的密码过期时间未必有用。”RSA实验室的研究表明,如果企业要设定密码使用期限,应该是根据随机时间来设定,而不是固定时间。
安全神话4:“你可以依靠群众的智慧”
“经常,员工会收到某个人发来的电子邮件说发现一个新病毒”或者互联网上出现了其他类型的危险,导致员工去找IT部门,Phoenix Suns篮球队信息技术副总裁Bill Bolt表示。但是经过调查,这些共有的观念似乎根本不是新鲜事,事实上,大部分时候,这种恐慌通常只是是关于十年前首次发现的知名恶意软件。
安全神话5:“客户端虚拟化可以解决‘携带自己设备上班’的安全问题”
“我经常听到这样的安全神话:‘携带自己设备上班’的安全问题可以通过部署‘工作’虚拟机和‘个人’虚拟机来解决,”Gartner公司分析师John Pescatore表示,“这样做的话,个人端的所有风险都将得到控制,并且没有数据会从工作端泄露到游戏端。”但是对此Pescatore表示怀疑。“情报界在多年前也尝试过这个方法,美国国家安全局雇佣了当时还是小公司的VMware公司来开发一个名为NetTop的产品以用于情报分析,这个产品为机密、绝密、非机密等信息分别创建了独立虚拟机,很快就出现了一个问题,分析师需要同时跨域所有域来工作,需要在域间移动信息。对于现在的‘工作’和‘游戏’也是同样的情况,客户端虚拟化首先出现的事情是:我在工作环境收到一封个人电子邮件,而我需要在个人环境使用这封邮件,所以我将邮件发给我自己,或者使用USB来转移,这样这种隔离就失去作用了。虚拟化只是浪费钱。NetTop仍然在使用,不过仅限于在情报界使用,这是这种产品最有可能有效发挥作用的领域。”
安全神话6:“IT部门应该鼓励用户使用完全随机的密码来提高密码安全强度,还应该要求密码至少每隔30天修改一次。”
赛门铁克安全响应部门主管Kevin Haley表示,“事实上,完全随机的密码是很强大,但是它们也有缺点:很难让人记住,输入速度也很慢。在现实中,可以通过使用一些简单的技巧,很容易地创建和随机密码一样强大的密码,而且更加容易记住。密码至少要14个字符长,利用大写和小写字母,两个数字和两个符号,这样的密码通常就相当强大了,并且可以使用很容易记住的短语。”他补充说虽然30天使用期限对于一些高风险环境是一个很好的建议,但这通常并不是最好的政策,因为这么短的使用期限往往会导致用户提前准备好类似密码或者降低密码的有效性。90到120天的期限更加现实。
安全神话7:“任何计算机病毒都会在屏幕上产生一个可见的症状”
“对于街上的人,计算机病毒大多是一个神话,也就是说,他对于恶意软件的了解大多数来自于科幻小说、电视和电影,”G Data Software公司David Perry表示,“我最喜欢的安全神话就是任何计算机病毒都会在屏幕上产生一个明显的症状,显示文件正在被侵蚀或者让计算机本身起火。而没有任何可见的病毒迹象就表明系统中没有恶意软件。这显然是无稽之谈。”
安全神话8:“我们并不是攻击目标”
Kroll公司网络安全和信息保障体系高级管理总监Alan Brill表示:“我经常听到受害者说他们认为他们并不值得黑客攻击,有些说不值得是因为他们只是小型企业,根本不至于成为目标。另一些人认为他们的系统中并没有社会安全号码、信用卡信息或者其他‘有价值的’信息。但事实并不是这样。”
安全神话9:“从安全漏洞来看,与以前的软件相比,现在的软件并没有任何好转”
“有一大群人指责说软件中存在太多漏洞,与以前的软件相比,安全性并没有任何好转,”Cigital公司首席技术官Gary McGraw表示,“事实上,现在的软件改善了很多,并且缺陷密度比率正在下降。”他指出与十年或者二十年前相比,现在大家对于安全编码做法有了更好的理解,并且有很多有效的安全编码工具。McGraw表示:“我们知道该做什么。”经常被我们忽视的事实是与Windows 95的时代相比,现在需要编写太多软件代码,我们现在编写的代码量比以往任何时候都要多得多。“庞大的代码量也是现在的软件比以前的软件存在更多漏洞的原因,但是零漏洞是不可能实现的。”
安全神话10:“通过SSL会话传输敏感信息是安全的”
“企业经常使用SSL向客户或者合作伙伴发送敏感信息,他们认为通过SSL会话的数据传输是非常安全的,”Americas公司NCP Engineering部门首席技术官Rainer Enders表示,“但是这个过程中开始涌现出越来越多的漏洞。”他指出花旗银行就在这个过程中遭受了数据泄露,并且这并不是一个孤立的事件。“瑞士研究人员最近公布了一份备忘录,描述了通过利用块加密算法(例如AES)中的漏洞在SSL通道传输数据过程中捕获数据的方法,”他表示业界对SSL会话的安全性存在怀疑,“也许避免这个问题最理想的方法就是永远不要使用相同的密钥流来加密两个不同的文件”。Ender还补充说,另一个类似的安全神话是使用来自证书颁发机构的可信证书是绝对安全的,而去年欺诈性证书就推翻了这个神话。
安全神话11:“端点安全软件是一种商品”
企业战略集团(ESG)分析师Jon Oltsik表示,在ESG的问卷调查中询问端点安全软件是否是一个商品以及是否基本上都是一样时,大多数企业安全专业人士都同意这个关于端点安全产品的说法。但是Oltsik表示他不同意端点安全软件基本上都是相同的说法。“我认为这完全是一个讹传,”他表示,“端点安全产品在保护和功能/特性方面来看有很大的不同。”Oltsik补充说,他甚至认为大多数企业根本不知道他们已经购买的端点安全产品的功能,并没有使用适当的产品来加大保护。
安全神话12“当然,我们网络中有防火墙,我们当然受到保护!”
阿肯色大学信息技术安全分析师Kevin Butler表示他从事防火墙管理员的工作长达十年,有很多关于防火墙的神话。他承认在过去几年他曾相信其中一些神话,包括“防火墙是一个硬件”和“正确配置的防火墙能够保护你免受任何威胁”。他知道的其他防火墙神话包括“有了防火墙,就不需要杀毒软件了”,最让他愤怒的是“某品牌防火墙甚至可以抵御零日威胁”。对此,他表示,“针对防火墙保护的新漏洞利用出现的速度非常快,防火墙不可能抵御零日威胁。防火墙对于外围保护永远不可能是一个一劳永逸的解决方案。”
安全神话13:“你发现了作为有针对性攻击一部分的恶意软件样本,你不应该将这些样本上传给知名恶意软件供应商或者服务。”
Dell SecureWorks公司恶意软件分析主管Joe Stewart表示他曾听过这个建议,他认为这是个“有问题的”建议。他表示这个想法的出现是建立在,“首先,攻击者可能会查看公共沙箱和病毒扫描仪来寻找他们的恶意软件的踪迹,将在事件响应中发现的样本上传将会让攻击者知道他们被发现了。”他指出这种想法存在的第二个原因在于:在一个有针对性攻击中,恶意软件中可能存在线索指明谁是攻击目标,导致暴露了攻击。Stewart指出:“第一点假设了攻击者有时间去定期查看公共信息,这几乎是不可能的,即使在有针对性攻击中,单次攻击活动往往有几十个受害者,而同一名攻击者每年要发动几次这样的攻击活动。攻击者很少对每个不同目标使用独特的恶意软件,他们只是选择使用预选的木马程序,让他们不被杀毒软件发现。即使某个恶意软件样本出现在公共恶意软件追踪网站,也不能保证攻击者会看到,即使攻击者看到,攻击者也无法确定上传这个恶意软件样本的目标。”对于有针对性攻击,共享你发现的恶意软件样本有很大的好处。恶意软件也有可能揭露目标机构的名称,这是可能发生的,只是不经常能看到。Stewart表示,从长期来看,试图对这种有针对性攻击活动进行保密可能会对所有人带来造成影响,因为这样将助长攻击者的攻击活动。
| 
