CTO和CIO注意:網絡安全的八個“潛規則”
原創【51CTO.com 獨家翻譯】IBM ISS安全策劃師Joshua Corman日前透露了網絡安全行業8個骯臟的“潛規則”,真是不看不知道,一看嚇一跳。
潛規則1:安全廠商不需要預防風險,只有用戶需要
也正是這個原因才導致了后面的7個秘密,Corman說安全廠商一切都是朝錢看,用戶的安全永遠是擺在第二位的。位于休斯頓的Wartsila公司IM區域經理Tom Vredenburg和Corman的意見是一致的,他說真不知道現在的安全廠商究竟是軟件銷售商還是風險管理者,是軟件服務商還是網絡設計師,用戶購買的是伙伴關系還是僅僅只有一個許可。其實他們大多不知道自己究竟在扮演什么角色,他們只知道一味地出售東西。
Cloakware產品管理主管Terry Brown說現在很多安全廠商都在捍衛自己的觀念。由于目前經濟的不景氣,安全廠商和用戶正在制定合理的期望,平衡市場和IT支出。
潛規則2:殺軟認證忽悠
雖然殺軟工具可以檢測復制類惡意軟件如蠕蟲,但它們不能識別非復制類惡意軟件如木馬程序,雖然木馬已經在惡意代碼之前出現過,Corman說殺軟在認證測試時認證方也沒有盡心盡力,因此給公司造成了一種虛假的安全感,錯誤地認為他們采購的殺軟可以保護所有的惡意軟件。
Corman說目前的木馬和其它非復制類的惡意代碼構成了80%的威脅,殺軟指標參數并沒有反映威脅的真實情況。
潛規則3:沒有安全邊界
Corman說那些真正相信網絡安全邊界的人可能也相信這個世界真的有圣誕老人,并不是說沒有邊界,只是說公司正處于一個被大霧籠罩的邊界中,安全廠商正在悄悄做修復工作。正是由于有了第一個骯臟的秘密,才會有這第三個骯臟的秘密,導致公司購買的產品并非總是有效地解決了他們的特殊風險。
他說“我們需要確定邊界究竟是什么,端點是邊界,用戶是邊界,更可能的是業務流程是邊界,或信息本身也是邊界。如果你設計的安全控制沒有假設一個邊界,那將無安全可言,這是人們經常犯的錯誤,如果在邊界處加強的控制,情況就會好很多”。
潛規則4:安全廠商吹噓風險管理
Corman說風險管理真的可以幫助組織理清其業務和他的高風險等級,但一個公司的優先事項并不總是圖安全廠商銷售的產品,廠商總是將你的注意力吸引到個別問題上,以引誘你采購他們的產品,如果你不清楚你的風險優先級,廠商都非常樂意為你設置。安全需要要符合和支持你的業務重點,而安全廠商往往希望你的業務符合他們設定的采購組合。
潛規則5:還有更多風險
Corman說安全市場的大部分產品都與軟件漏洞有關,但折算下來,軟件漏洞只占其中1/3,另外兩成分別是配置不當和人為因素。不幸的是,后兩者的風險遠高于前者。雖然我們需要找到和修復漏洞,但我們也必須弄明白一個組織的薄弱環節在哪里,更需要注意減小后兩者造成的威脅。
潛規則6:法律遵從
在哪個國家呆著就得遵守那個國家的法律,安全廠商也抓住了這個事實,提供各種各樣的產品滿足法律的需要,當然這也導致了企業采購的安全工具不能正確處理它們面臨的特殊風險。
潛規則7:廠商對攻擊裝著看不見
僵尸網絡正在被復制和改進,最近兩年特別活躍,僵尸網絡控制者從發送垃圾郵件到哄抬股票進行詐騙賺了不少的錢。厲害的黑客一般喜歡將殺軟當作早餐,這正是由于殺軟認證一般都是忽悠造成的惡果。
惡意代碼并不需要漏洞,一般利用的是社會工程,如利用節假日或體育賽事,以及重大新聞事件。但廠商卻對這些攻擊裝著看不見。
潛規則8:安全DIY已不在
安全廠商力圖使用戶相信,安全由于其復雜性使得用戶已不能獨自面對,但是由于不同業務的安全需求的不同特點,僅僅選擇產品是不夠的。Corman說:“僅有對的工具仍然是不夠的,還需要針對環境實行正確的安裝配置。”所以需要IT的專業人員來完成這樣的工作是最好的。
【51CTO.COM 獨家翻譯,轉載請注明出處及作者!】
【編輯推薦】
