【51CTO快譯】如今企業安全的決策似乎更多是靠道聽途說而不是根據實際數據，靠條件反射而不是嚴密的邏輯，最近在紐約舉行的Cyber Infrastructure Protection '09 (CIP 09)大會上，ISCA實驗室創始人，Verizon Business的Peter Tippett博士在發言中表示了他的不滿。

“企業安全屬于信息科學，而我找不到科學的影子，”他說，“只看到大量的工程。”

航空安全的發展經驗表明，依靠科學可以比工程學得到更多的安全性。與五十年前相比，如今的空中旅行已經安全了5000倍。

他說，對于安全性來說，數據積累比技術創新更為至關重要。“技術創新將安全性提高了10倍，而在流程方面則提高了500倍。如今的飛機仍然可能會墜毀在山谷里，但是我們在流程中加入了數以百計的統計數據與分析，讓這架飛機不太可能飛進山谷。”

最新的Verizon Business數據破壞調查報告已經發布，其中詳細描述了90個安全漏洞的實際調查結果，Tippett說，他的數據可用于企業安全策略，使之更加安全。

密碼一直是企業安全的焦點問題，他說。“雖然較長的密碼可以更好保護一臺計算機，但網絡上的情況卻不一樣。一般你會把電腦設定為三次猜測密碼失敗后鎖定，但黑客卻不會傻到去猜你們大學足球隊的名字。”

他補充說，在一個一萬臺電腦的網絡，黑客可以在一二個小時內猜中80%的五個字符的密碼，九個字符的密碼相對安全一些，可以猜中20%到30%。“你能說兩千臺電腦被攻破的網絡就比八千臺電腦被攻破的網絡更安全嗎？”有興趣的朋友可以看下51CTO以前發布的：使用Ophcrack破解系統Hash密碼

沒必要那么急著打補丁

Tippett也對另一項安全觀點發起了攻擊：即計算機的漏洞必須立即打上補丁，否則就會受到零日攻擊等快速破壞。他指出，目前的補丁計劃總是優先考慮那些嚴重的漏洞，比如那些讓攻擊者有機會接管機器的漏洞。而Verizon Business調查則顯示沒有人使用了零日攻擊，而且事實上只有3%的應用漏洞被利用。51CTO編輯點評：個人覺得Verizon Business的調查持懷疑態度，因為不管是在國外還是國內，零日攻擊的比重都是相當大的。面對打滿補丁的系統和盡心盡責的系統管理員，不用0day怎么容易打的下來？

“大多數攻擊其實瞄準的是那些不那么關鍵的安全漏洞，而并不是關鍵的漏洞，”他補充說。

他還指出雖然調查中沒有發現僵尸網絡參與散布惡意軟件，但有些僵尸網絡被用來掃描網絡漏洞。

“你可以不停的給機器打補丁，但安全性并不會成比例的提高，”他說。“有許多公司為此每年多支出1000萬美元，而他們本來沒必要這樣做。”

相反，企業可以專注于其他方面，那些目前做得還不好的地方。

“比如有件事只需要你花3分鐘（第一次做可能是15分鐘）。剪切并粘貼你的使用記錄，在路由上創建一個出口篩選（egress filter）。這樣就能將對你的攻擊的成功可能性降低80%，而且還是免費的。我們說這件事已經有兩年了，可只有2%的人這樣做，即使它可以5倍降低攻擊的機會。”51CTO編輯點評：這個還是挺有效果的，拿早期的沖擊波病毒來說吧，當時筆者就見到機房的網絡工程師預先在路由上做了限制，直到微軟發布補丁的期間，筆者所維護網段沒有一臺機器中招。

還有一個問題是有些安全專家認為每一層的防御都必須做到完美，而并不愿意采取措施來按百分比減少威脅。“安全問題不是只有是或否兩個答案。大多數攻擊是類似的。因此即使是很便宜的防火墻，如果能夠降低50%的威脅也是不錯的，”他補充說。

Tippett說，許多企業可能實施三個安全措施，每個都能做到90%有效，而每個成本都在10萬美元。如果風險價值1000萬美元，第一個措施能使風險降低到100萬美元，這是完全值得的。第二個措施能使風險降低到10萬美元，仍然是值得的。但是，第三個措施的10萬美元就只能帶來9萬美元的好處了。

“對于第三個措施，你可以花5萬美元來減少80%的風險，而不一定要做到90%，”他說。

控制遠程訪問

相對于不斷的打補丁，企業應該把更多的精力放在控制遠程訪問上。“許多企業每年花費超過1000萬美元來保護他們的關鍵應用，但卻花不到100美元來尋找PCAnywhere有沒有安裝在不該出現的地方。在這上面他們本應花得更多一點。”Tippett說。

另一個造成補丁策略失敗的原因是有很多被損害的系統從未被修補。報告中說，平均來說，一個補丁從漏洞被發現到真正可用需要兩年半的時間。

“通常情況下，罪犯們會去尋找非關鍵的系統比如HVAC。他們不希望把事情搞大，他們想要的是錢。因此他們會安裝keylogger、scanner和木馬軟件，并從那里感染其他系統”，Tippett說。

從大方面也可以看到企業開支的分配不當。“罪犯們竊取的數據有99.9%是來自于服務器，只有0.01%來自終端用戶系統，但企業在終端的安全預算也占到了約50%，”他說。“他們應該更多的確保服務器的安全。”

對于筆記本來說，密碼保護基本上夠用。他說，企業用戶的筆記本加密有三種選擇：文件級加密，這是免費的；啟動后加密，這有點貴；還有啟動前加密，這會增加筆記本的啟動時間幾乎五分鐘，還會造成藍屏。

許多企業使用啟動前加密，因為一年前出現過針對啟動后加密的攻擊。Tippett指出，這種攻擊主要是從被凍結的RAM中提取數據，所以對大多數公司來說并不算是常見的情況，文件級加密應該已經足夠，也應該能讓用戶滿意。

【編輯推薦】

1. 如何有效提升企業安全審計應用水平
2. 企業安全威脅實例講解技術研討會
3. 專題：微軟Forefront企業安全解決方案

原文：Enterprise Security Should Be Better and Cheaper 作者：Alex Goldman

【51CTO.com譯稿，非經授權請勿轉載。合作站點轉載請注明原文譯者和出處為51CTO.com，且不得修改原文內容。】