CTO和CIO注意：網(wǎng)絡(luò)安全八個(gè)“潛規(guī)則”

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

IBM ISS安全策劃師Joshua Corman日前透露了網(wǎng)絡(luò)安全行業(yè)8個(gè)骯臟的“潛規(guī)則”，真是不看不知道，一看嚇一跳。

潛規(guī)則1：安全廠(chǎng)商不需要預(yù)防風(fēng)險(xiǎn)，只有用戶(hù)需要

也正是這個(gè)原因才導(dǎo)致了后面的7個(gè)秘密，Corman說(shuō)安全廠(chǎng)商一切都是朝錢(qián)看，用戶(hù)的安全永遠(yuǎn)是擺在第二位的。位于休斯頓的Wartsila公司IM區(qū)域經(jīng)理Tom Vredenburg和Corman的意見(jiàn)是一致的，他說(shuō)真不知道現(xiàn)在的安全廠(chǎng)商究竟是軟件銷(xiāo)售商還是風(fēng)險(xiǎn)管理者，是軟件服務(wù)商還是網(wǎng)絡(luò)設(shè)計(jì)師，用戶(hù)購(gòu)買(mǎi)的是伙伴關(guān)系還是僅僅只有一個(gè)許可。其實(shí)他們大多不知道自己究竟在扮演什么角色，他們只知道一味地出售東西。

Cloakware產(chǎn)品管理主管Terry Brown說(shuō)現(xiàn)在很多安全廠(chǎng)商都在捍衛(wèi)自己的觀(guān)念。由于目前經(jīng)濟(jì)的不景氣，安全廠(chǎng)商和用戶(hù)正在制定合理的期望，平衡市場(chǎng)和IT支出。

潛規(guī)則2：殺軟認(rèn)證忽悠

雖然殺軟工具可以檢測(cè)復(fù)制類(lèi)惡意軟件如蠕蟲(chóng)，但它們不能識(shí)別非復(fù)制類(lèi)惡意軟件如木馬程序，雖然木馬已經(jīng)在惡意代碼之前出現(xiàn)過(guò)，Corman說(shuō)殺軟在認(rèn)證測(cè)試時(shí)認(rèn)證方也沒(méi)有盡心盡力，因此給公司造成了一種虛假的安全感，錯(cuò)誤地認(rèn)為他們采購(gòu)的殺軟可以保護(hù)所有的惡意軟件。

Corman說(shuō)目前的木馬和其它非復(fù)制類(lèi)的惡意代碼構(gòu)成了80%的威脅，殺軟指標(biāo)參數(shù)并沒(méi)有反映威脅的真實(shí)情況。

潛規(guī)則3：沒(méi)有安全邊界

Corman說(shuō)那些真正相信網(wǎng)絡(luò)安全邊界的人可能也相信這個(gè)世界真的有圣誕老人，并不是說(shuō)沒(méi)有邊界，只是說(shuō)公司正處于一個(gè)被大霧籠罩的邊界中，安全廠(chǎng)商正在悄悄做修復(fù)工作。正是由于有了第一個(gè)骯臟的秘密，才會(huì)有這第三個(gè)骯臟的秘密，導(dǎo)致公司購(gòu)買(mǎi)的產(chǎn)品并非總是有效地解決了他們的特殊風(fēng)險(xiǎn)。

他說(shuō)“我們需要確定邊界究竟是什么，端點(diǎn)是邊界，用戶(hù)是邊界，更可能的是業(yè)務(wù)流程是邊界，或信息本身也是邊界。如果你設(shè)計(jì)的安全控制沒(méi)有假設(shè)一個(gè)邊界，那將無(wú)安全可言，這是人們經(jīng)常犯的錯(cuò)誤，如果在邊界處加強(qiáng)的控制，情況就會(huì)好很多”。

潛規(guī)則4：安全廠(chǎng)商吹噓風(fēng)險(xiǎn)管理

Corman說(shuō)風(fēng)險(xiǎn)管理真的可以幫助組織理清其業(yè)務(wù)和他的高風(fēng)險(xiǎn)等級(jí)，但一個(gè)公司的優(yōu)先事項(xiàng)并不總是圖安全廠(chǎng)商銷(xiāo)售的產(chǎn)品，廠(chǎng)商總是將你的注意力吸引到個(gè)別問(wèn)題上，以引誘你采購(gòu)他們的產(chǎn)品，如果你不清楚你的風(fēng)險(xiǎn)優(yōu)先級(jí)，廠(chǎng)商都非常樂(lè)意為你設(shè)置。安全需要要符合和支持你的業(yè)務(wù)重點(diǎn)，而安全廠(chǎng)商往往希望你的業(yè)務(wù)符合他們?cè)O(shè)定的采購(gòu)組合。

潛規(guī)則5：還有更多風(fēng)險(xiǎn)

Corman說(shuō)安全市場(chǎng)的大部分產(chǎn)品都與軟件漏洞有關(guān)，但折算下來(lái)，軟件漏洞只占其中1/3，另外兩成分別是配置不當(dāng)和人為因素。不幸的是，后兩者的風(fēng)險(xiǎn)遠(yuǎn)高于前者。雖然我們需要找到和修復(fù)漏洞，但我們也必須弄明白一個(gè)組織的薄弱環(huán)節(jié)在哪里，更需要注意減小后兩者造成的威脅。

潛規(guī)則6：法律遵從

在哪個(gè)國(guó)家呆著就得遵守那個(gè)國(guó)家的法律，安全廠(chǎng)商也抓住了這個(gè)事實(shí)，提供各種各樣的產(chǎn)品滿(mǎn)足法律的需要，當(dāng)然這也導(dǎo)致了企業(yè)采購(gòu)的安全工具不能正確處理它們面臨的特殊風(fēng)險(xiǎn)。

潛規(guī)則7：廠(chǎng)商對(duì)攻擊裝著看不見(jiàn)

僵尸網(wǎng)絡(luò)正在被復(fù)制和改進(jìn)，最近兩年特別活躍，僵尸網(wǎng)絡(luò)控制者從發(fā)送垃圾郵件到哄抬股票進(jìn)行詐騙賺了不少的錢(qián)。厲害的黑客一般喜歡將殺軟當(dāng)作早餐，這正是由于殺軟認(rèn)證一般都是忽悠造成的惡果。

惡意代碼并不需要漏洞，一般利用的是社會(huì)工程，如利用節(jié)假日或體育賽事，以及重大新聞事件。但廠(chǎng)商卻對(duì)這些攻擊裝著看不見(jiàn)。

潛規(guī)則8：安全DIY已不在

安全廠(chǎng)商力圖使用戶(hù)相信，安全由于其復(fù)雜性使得用戶(hù)已不能獨(dú)自面對(duì)，但是由于不同業(yè)務(wù)的安全需求的不同特點(diǎn)，僅僅選擇產(chǎn)品是不夠的。Corman說(shuō)：“僅有對(duì)的工具仍然是不夠的，還需要針對(duì)環(huán)境實(shí)行正確的安裝配置?！彼孕枰狪T的專(zhuān)業(yè)人員來(lái)完成這樣的工作是最好的。