網絡安全的六大觀念誤區

Roger A.Grimes Charles

想要更有效的IT安全策略嗎？企業的首席執行官和高級管理人員就必須走出這些常見的網絡安全誤區。

首席執行官負責領導企業的所有戰略規劃和運營，肩頭的責任可謂極其繁重。但如果他們因此而認為自己在IT安全方面雖然花費了大量的預算，卻未能讓安全措施發揮真正的作用是可以原諒的，那他們就錯了。他們，以及那些負責IT安全的下屬本就應在正確的地方正確地應對威脅。

為什么這么說？

因為他們一直囿于一些IT安全誤區，這些誤區就像神話一樣近乎教條。當有了錯誤的觀念后，就很難有效地去做正確的事情。以下介紹的就是首席執行官們在網絡安全方面的一些常見誤區。

1.攻擊者是無法阻止的

很多計算機防御措施都非常薄弱而且考慮不周全，以至于黑客和惡意軟件可以隨意侵入，只不過惡意入侵者沒想攻破整個環境而已。計算機防御措施是如此的糟糕，千瘡百孔，因此首席執行官們一直認為不可能阻止黑客和惡意軟件。他們所能做的不過是“承認被攻破”，盡快檢測出自己的環境中是否有攻擊者，并減緩攻擊者的進攻罷了。

你能想象一名將軍在受到攻擊后，告訴下屬和士兵，不管他們做什么，都絕對不會贏——即便給了他很多的士兵和武器，并在要害位置做好了布防？但現在的網絡安全大環境就是這樣，這讓首席執行官們覺得理應如此。

雖然的確很難阻止一些國家資助的專業黑客組織，但通過一些良好的措施還是能夠阻止大多數黑客和惡意軟件入侵的。其實企業已經采取了這些措施，只是沒有用好。更有針對性的IT安全策略和一些關鍵的防御措施能夠大幅度降低黑客和惡意軟件侵入企業環境的風險。

2.黑客們異于常人

之所以盲目地認為黑客和惡意軟件是防不住的，部分原因是，世人普遍覺得黑客都非常聰明，異于常人，是超級天才，擋也擋不住。好萊塢電影實際上對這種不切實際的情況起到了推波助瀾的作用，在這些電影里，黑客們輕松地就能猜出任何系統的密碼，就能夠控制全世界的計算機。電影里的黑客比其他人都聰明，按幾下按鍵就能發射核導彈，抹掉人們的數字身份……等等。

之所以有這種錯誤觀念，是因為大部分被黑客攻擊或者感染了惡意軟件的人既不是程序員也不是IT安全人員。對他們來說，這些都不可思議，必須要有萊克斯·盧瑟（電影《超人》系列中的超級反派角色）那樣的超能力才行。

現實情況是，大多數黑客都是普通人，他們的智商一般，在愛因斯坦面前，他們就是水管工和電工。黑客們只需知道怎樣采用前輩們留下的某種工具來完成某一項任務，當然這不是水管工和電工干的活，而是計算機黑客。這并不是說沒有非常出色的黑客，但和其他行業一樣，這類黑客非常少，屈指可數。不幸的是，所有黑客都異于常人這種誤解進一步讓人覺得黑客是無法擊敗的。

3.IT安全部門知道該怎么解決問題

這可能是有待于消除的最關鍵的誤區。很多IT安全部門人才濟濟而且工作非常努力，但卻真的不知道他們應該做些什么。大多數情況下，他們所從事的工作并沒有大幅度降低安全風險。因為他們不知道，他們在錯誤的地方投入了太多的資源來對付錯誤的東西。

可悲的事實是，很少有IT安全部門有真實的數據來支持他們所發現的實際問題。如果首席執行官私下里單獨詢問IT安全部門，他們的企業面臨的最大威脅是什么，那么首席執行官可能會震驚地發現沒有人知道真正的答案。即使有人給出了正確的答案，也不會有數據來支持自己的答案。相反，IT安全部門的員工們對于什么是最嚴重的問題各持己見。如果IT安全部門不知道最大的問題是什么，那么他們怎么能高效地對抗最大的威脅呢？

4.安全合規等同于更好的安全

首席執行官們在專業層面上和個人層面上都要確保他們的企業符合所有法律和法規的要求。今天，很多企業都要面對多個而且有時候是相互沖突的IT安全要求。所有首席執行官們都知道，如果他們履行了合規義務，專業人士們就認為他們是“安全的”，或者至少在法律上可以被解釋為是安全的。

然而，合規所要求的與安全所要求的并不一樣，有時甚至與真正的安全要求相沖突。例如，現在我們知道，以前一直存在的密碼策略要求，包括使用長而且復雜的密碼，還必須在一年內經常更改這些密碼，這些要求比使用從未改變的簡單密碼會帶來更大的安全風險。很多年前我們就知道這些了。在過去幾年中，包括NIST出版物在內的大部分“官方”密碼建議的確都是如此。

很多IT安全人員和首席執行官還不知道這些。即使他們知道，他們也不能遵循更新、更好的密碼指南。為什么？ 因為目前的監管要求都沒有進行更新，以遵循新的密碼指南。再重申一次，合規并不總是等同于安全。有時候，情況恰恰相反。

5.補丁是受控的

大多數首席執行官認為他們的補丁都是受控的。所謂“受控”，我的意思是軟件的補丁程序是100%最新的或者接近最新。相反，在我30多年的IT從業經驗中，從來沒有過打好所有補丁的計算機或者設備。從來沒有，一個也沒有。特別是那些非常安全的設備，比如路由器、防火墻和服務器等，大家都認為這些設備應該很好地打了補丁。很多IT安全部門可能會告訴他們的首席執行官補丁打的“近乎完美”，可能高達90%，但“細節是魔鬼”。

高比例的原因在于：很多企業都有成百上千需要打補丁的程序。大部分程序不需要打補丁，不是因為沒有漏洞，而是因為攻擊者不會去攻擊它們。不用去找這些漏洞，也不用給這些漏洞打上補丁。

在大多數企業中，10到20個未打補丁的程序極有可能帶來被黑客攻擊的風險。在這些程序中，大多數程序的補丁準確率會非常高，可能只有一兩個程序打補丁的準確率沒有像其他程序那樣高。然而，就是這一兩個沒有打好補丁的程序給很多企業帶來了巨大的風險，但如果你只看數字本身，可能看起來補丁打得很好。

舉個例子。假設一家企業只有100個程序要打補丁。在這100個程序中，只有一個程序打補丁的比例很低，比如說只打了50%的補丁。那么打補丁的整體比例為99.5%。這似乎很好，但數字真正的含義是，一半的計算機是有漏洞的，沒有打上補丁，而更有可能的是，某一個只打了一半補丁的程序便是黑客用來闖入企業的未打補丁的主要程序之一。

我甚至沒有提及大量未打補丁的硬件、固件和驅動程序，很多企業甚至不打算去給它們打上補丁。它們通常不包括在補丁報告中。如果包括它們在內，補丁比例看起來更糟糕。最近，黑客們更頻繁地攻擊硬件和固件。這不是巧合。

6.給員工的安全培訓足夠了

很多企業面臨的兩大威脅之一是社會工程，通過電子郵件或者網絡瀏覽器進行攻擊，有時甚至通過打電話進行。如果只考慮造成嚴重損害的主要攻擊，那么社會工程可能涉及99%的案例。在過去20年里，我只知道唯一的一個案例，企業被攻破與社會工程無關。很多IT安全部門都會贊同我的觀點。

然而，很多企業每年只花不到30分鐘的時間進行社會工程方面的培訓。計算機安全防御領域認為這是大部分企業存在的兩個主要問題之一（另一個是未打補丁的軟件），但幾乎沒有企業去改正。相反，員工并沒有得到足夠的培訓來阻止社會工程攻擊，無論企業做了什么，也無論企業投入多少資金和其他資源，企業都會繼續被黑客成功地攻擊。

上面討論的所有這些誤區進一步強化了第一個誤區：黑客和惡意軟件是無法阻止的。這就形成了一個無用的基本底線，所有IT安全策略都是在此基礎上進行討論的。如果你是一名首席執行官（或者首席安全官，或者首席信息安全官），覺得這篇文章有些夸張，那么我建議你問一下自己的IT安全部門：“我們最大的威脅是什么，有沒有數據支持你的觀點？”私下里分別問一下安全部門每一名員工這個問題。你得不到一個一致的答案，也沒有支持他們觀點的數據。如果不能就最大問題是什么達成一致，那怎么能有效地解決問題呢？