企業首席執行官對于網絡安全的6個誤解
企業需要一個更有效的IT安全策略嗎?如果是的話,那么就要消除企業首席執行官和高級管理人員對于網絡安全的一些誤解。
企業的首席執行官負責領導公司的所有戰略規劃和運營,同時也負有很大的領導責任。因此,他們希望IT安全方面的工作人員聰明能干,并在正確的地方做正確的事情來應對威脅。事實上,很多企業的首席執行官在IT安全方面浪費了大量預算,因為其安全策略和措施應用在那些實際上不起作用的事情上。
這是為什么?
首席執行官對有關IT安全方面有一些誤解,很多都是一種教條,而不是真實的知識和經驗。當首席執行官相信錯誤的事情時,就很難有效地做正確的事情。以下是很多企業首席執行官對計算機和網絡安全的普遍看法。
1. 無法阻止黑客的攻擊
大多數計算機和網絡的防御措施薄弱,并且不得當,以至于黑客和惡意軟件可以隨意侵入。很多惡意軟件甚至在企業的IT環境中存在多年,很多企業的計算機防御措施非常糟糕并且漏洞百出,以至于首席執行官們被告知不可能阻止黑客和惡意軟件的侵襲。他們所能做的最好的事情就是“假定違規”,在攻擊者進入環境時及早發現,并減緩攻擊者的入侵速度。
那么,人們能想象一下軍事將領在遭遇敵方攻擊時告訴下屬:無論他們做什么,都沒有辦法贏得勝利......這不可能,但這也正是計算機安全領域希望首席執行官們具有清醒認識的原因。
雖然由國家層面資助的黑客組織的攻擊很難被阻止,但企業只要正確地完成安全防御的一些部署,就可以很好地阻止大多數黑客和惡意軟件的入侵。而采用更好的IT安全策略和一些關鍵防御措施可以顯著降低黑客或惡意軟件進入企業IT環境的大部分風險。
2. 黑客非常出色
人們認為黑客和惡意軟件永遠無法防御,其部分原因是很多人認為黑客都是非常出色的,是不可阻擋的超級天才。這種浪漫主義的思想很容易在好萊塢電影中得到推廣,這些電影的故事情節中,黑客可以輕松猜測密碼,并入侵和接管世界各地的計算機,并進入任何系統。黑客可以通過網絡攻擊,以及掌握密碼發射核彈,并輕松擦除人們的數字身份。
這個錯誤的想法讓很多人信以為真,因為這些被黑客攻擊或感染惡意軟件的人并不是程序員或IT安全人員。對他們來說,這有些像一個神奇的事件。
現實情況是,大多數黑客的智商水平都和普通人一樣。黑客只知道如何使用以前的工作人員傳遞的特定工具完成特定的交易,這并不是說沒有出色的黑客,但他們很少,就像其他職業一樣。不幸的是,對黑客非常聰明的誤解正好強化了他們不能被擊敗的神話。
3. IT安全人員知道如何解決問題
這可能是最需要消除的誤解之一。大多數企業IT安全團隊的工作人員都很聰明和勤奮,但在大多數情況下,他們所從事的工作不會大幅降低計算機的安全風險。因為很多人將太多的資源放在錯誤的地方去對付錯誤的東西。
可悲的事實是,IT安全團隊很少有真正的數據來支持解決他們認為是真正的問題。如果首席執行官詢問IT安全團隊,他們的組織面臨的最大威脅是什么,那么很可能會震驚地發現沒有人真正知道答案。即使有人給出了正確的答案,他們也沒有數據來支持它。相反,IT安全團隊中有很多人不明白什么是最大的問題。如果IT安全團隊不知道最大的問題是什么,他們怎么能最有效地對抗最大的威脅?
4. 安全合規性等于更好的安全性
企業的首席執行官們在業務上和職責上都要確保他們的公司符合每一項法律和法規的合規要求。如今,大多數企業都會受到多種不同的IT安全需求的影響。所有的首席執行官都知道,如果他們履行合規義務,他們就是專業人士所認為的“安全”,或者至少正在做法規認為是安全的事情。
可悲的是,遵守法規所要求的往往與安全性并不相同,并且有時可能與真正的安全相沖突。例如,人們知道,以往的長期密碼政策要求(包括使用很長而復雜的密碼在一年中必須經常更改)與使用從未改變的非復雜密碼相比,會造成更大的安全風險。人們多年前就已經知道這些常識,這實際上是在過去幾年發布的大部分“官方”密碼建議都有提及。
大多數IT安全人員和首席執行官不知道這一點。即使他們知道這一點,他們也無法遵循更新、更好的密碼準則。為什么?因為目前的法規要求在遵循新的密碼準則方面都沒有更新。因此,安全合規性并不總是等于安全。有時候,可能出現的情況與人們的想法正好相反。
5. 補丁得到控制
大多數首席執行官認為他們的軟件和應用程序的補丁已經得到了控制。而“控制”的意思是指軟件的補丁是最新的,或者是接近最新的版本。對于那些不是非常安全的設備,例如路由器,防火墻和服務器,它們的補丁應該是完美的。大多數IT安全部門可能會告訴他們的首席執行官,他們的補丁“接近完美”,可能高達90%。
大多數公司有數百到數千個他們需要修補的程序。這些程序的大多數從不需要修補,不是因為沒有錯誤,而是因為攻擊者沒有攻擊這些程序。而沒有發現錯誤,因此也不需要修補。
在大多數組織中,可能有10到20個未修補程序,這意味著面臨大多數的黑客風險。在這些程序中,大多數程序的打補丁的準確率可能非常高,可能只有一兩個程序沒有打補丁。但不幸的是,就是這一個或幾個未修補程序將使大多數組織面臨嚴重的風險,但是如果只是只查看數字報告的話,它可能看起來很不錯。
舉個例子,假設一家公司只有一百個程序要打補丁。在這一百個程序中,只有一個程序的修補率很差,假設它只修補了50%,其整體修補率可以達到99.5%。這看起來相當不錯,但是這意味著,這個只修補了50%補丁的程序可能是黑客用來攻擊組織的程序之一。
在這里并沒有提到大多數公司甚至沒有或不打算修補的大量硬件、固件和驅動程序。它們通常沒有包含在補丁的修補報告中。如果包括這些,其修補率看起來會更糟糕。而近年來,黑客攻擊硬件和固件的事件更加頻繁。這并不是什么巧合。
6. 員工安全培訓已足夠
大多數企業面臨的兩大威脅之一是社交工程。黑客可以通過電子郵件或網絡瀏覽器入侵。考慮到將會面臨損害最嚴重的頂級攻擊,社會工程可能涉及99%的案例。
然而,大多數公司每年只花不到30分鐘的時間進行社交工程安全的培訓。計算機安全領域已經確定了大多數組織中面臨主要的兩個問題,(另一個是未打補丁的軟件),但幾乎沒有組織這么實施。相反,企業的員工沒有接受足夠的安全培訓來阻止黑客通過社交工程進行攻擊,無論企業采取什么措施,無論企業投入多少資金或其他資源,都有可能被黑客成功攻擊。
這些誤解讓人們認為無法阻止黑客和惡意軟件的攻擊。如果首席執行官(或CSO或CISO)向IT安全團隊詢問一個問題:“我們最大的威脅是什么,在哪里支持它?”,這很難有一個共同的答案。如果企業對最大的問題沒有達成一致,那么如何有效地應對它們呢?
