在過去的幾年里，組織保護自己免受攻擊者的方式發生了巨大變化。混合工作模式、快節奏的數字化以及越來越多的勒索軟件事件已經改變了安全格局，使得網絡安全從業者工作比以往任何時候都更加復雜。

這種錯綜復雜的環境需要一種新的思維方式來捍衛，過去可能成立的事情如今可能不再有用。數字證書的到期日期是否仍可在電子表格中進行管理?人類真的是最薄弱的環節嗎?

國外安全專家權衡了我們最終需要在2022 年思考的 22 個網絡安全神話，神話自然存在非常大不確定性，即此處的神話是要糾正的錯誤思想或方法。

1. 買買買可以加強網絡安全保護

組織陷入的最大陷阱之一是預置了一個前提，就是需要更多的工具和平臺來保護自己。廠商時長給用戶的感覺是一旦他們擁有這些工具，就會認為他們是安全的。組織被引誘購買“被吹捧為靈丹妙藥”的產品，ArcticWolf 的首席技術官 Ian McShane說：“這絕對不是成功的關鍵。”

購買更多工具并不一定會提高安全性，因為很多安全隱患通常不是工具問題，而是操作問題。所以，組織應充分利用現有投資預算，應該優先考慮安全運營，而不是無休止地循環使用新供應商和新產品，安全運營將在以一種滿足獨特需求的方式應對快速發展的威脅形勢方面大有幫助，讓產品的購買更具科學合理性，當然我國很多單位在很多組織內，連最基本的安全工具都不具備，這些組織還是需要科學合理的采購安全工具的。

2. 網絡保險是轉移風險的解決方案

從理論上講，網絡保險可以讓組織避免潛在網絡攻擊的成本。然而，這個問題更加微妙。例如，勒索軟件事件的成本遠遠超出其直接的財務影響，因為包括客戶的信任和組織聲譽受損等事情。

ConquestCyber 總裁 Jeffrey J. Engle認為：[網絡保險] 應該是網絡安全戰略的一部分，但不是網絡彈性戰略的基石。基線要求、排除和保費正在上升，而覆蓋范圍正在急劇下降。

網絡保險的概念，前幾年我國也有人在探討，在國外已經發展一段時間，而且也有成熟的案例。但是，在我國當下很多人認識不清“網絡保險”的作用，而會對此有很多誤解，如很多人可能會認為網絡保險會承擔所有責任，其實不然，網絡保險承擔的是間接責任，以業務為驅動的網絡安全，而我國網絡安全運營者尚處在以事件驅動的安全狀態，所以不需要太過看好網絡保險，至少當下不宜過多探討這個問題。

3. 合規等于安全

正如美國海軍陸戰隊喜歡說的那樣，做好檢查準備是一回事，但做好戰斗準備是另一回事。ABS Group 工業網絡安全全球主管 Ian Bramson 表示：許多公司過于關注滿足合規性要求，而對真正的安全性關注不夠。

檢查所有合規框是遠遠不夠的，因為合規只意味著滿足最低標準。要達到網絡成熟度的高級狀態，需要一個更加全面和個性化的計劃。這一點，在我國也是存在相同的問題，很多網絡運營者往往考慮“過等保”，原則上何曾有“過等保”這個概念呢?好比，檢查車況是為交警檢查的嗎?過了交警那一關，能夠過安全關嗎?能夠保障生命安全嘛?所以，把合規以及遵守法紀要求，理解等同于安全是非常不負責的想法，想推卸責任更是愚蠢的想法。

4. 如果所有內容都記錄就合規

許多公司保留日志，但很少有人正確分析它們。Devo Technology 的 CSO Gunter Ollmann 認為：如果沒有主動查看日志并自動尋找已知威脅，那么就無法理解現代網絡威脅，你最好打印出日志并燒掉來加熱你的公司辦公室。

最好的日志是簡單且結構化的，但有足夠的信息來幫助研究人員調查事件。設計日志的專業人員應該專注于更改和異常，而不是記錄平靜的狀態檢查或系統檢查。所以，在安排審計員角色時，不是說他能看日志信息，而是能夠看懂日志發現異常，配合其他角色一起核查技術、管理中的漏洞，修補修復管理和技術中的漏洞，提升網絡安全綜合能力和水平。

5. 可以使用電子表格手動管理部署網絡中的所有數字證書

組織依賴于數以千計的數字證書，這些證書在任何給定點都是有效的，而手動跟蹤它們是不可能的。這些過期證書之一可能會導致級聯故障，例如關鍵系統的中斷。

Sectigo 的首席信息官 EdGiaquinto 認為：不再可能使用電子表格和手動數字證書部署和撤銷方法來管理、保護和驗證這些身份，更糟糕的是，一個過期的證書可以為不良行為者提供滲透企業網絡并造成嚴重破壞的絕佳機會。

6. 數據在云端更安全

大約一半的公司數據存儲在云中，公司可能過于信任其安全性。許多云提供商不保證使用他們的服務的客戶將保護他們的數據。

VeritasTechnologies SaaS 保護、端點和備份主管總經理 Simon Jelley 認為：對于云服務提供商而言，數據與生產和依賴數據的公司一樣寶貴是不對的!事實上，許多人甚至在其條款和條件中采用了責任共擔模型，這清楚地表明客戶的數據是他們保護的責任。

7. 安全是安全部門或安全團隊的工作

OmotolaniOlowosule 博士認為：每個人都有盡職調查或責任，以確保他們實踐合乎道德的商業運營，應該在整個組織內加強意識和良好的安全行為。

非IT部門的意識較弱的員工應該接受適當的培訓，以確保他們了解風險并知道如何解決一些最常見的問題。

8. 每年次的安全培訓能為員工提供足夠的知識

許多公司要求其員工定期參加在線安全培訓。人們觀看一段短片并回答幾個問題。盡管人們在考試中表現出色，但這種學習方式不一定有效。

安全顧問 SarkaPekarova認為：不提供引人入勝的內容，這不會引起他們的注意，讓他們記住所教授的原則或發生安全事件所需的流程和程序。

9. 雇用更多人將解決網絡安全問題

企業應優先考慮留住網絡安全專業人員，而不是尋找人才。應該對他們進行投資，并為他們提供獲得新技能的機會。

McShane認為：最好有一小群訓練有素的 IT 專業人員來保護組織免受網絡威脅和攻擊，而不是擁有一個不具備適當技能的不同的大群體，雖然雇傭新的團隊成員可能是有益的，但企業花在雇傭新員工上的時間和金錢可以更有效地用于加強他們的安全基礎設施。

10. 人是最薄弱的環節

大多數攻擊都是從人開始的，但組織應該停止指責他們，而應該采用整體方法。她建議翻轉這個想法。安全顧問 Sarka Pekarova 認為，如果我們為人類提供正確的支持，他們將茁壯成長并成為我們網絡中最強大的紐帶，我們使用“人力資產”是有原因的。如果適當的政策和程序到位，例如零信任，并且如果人們得到足夠的支持，可以提高組織的安全性。

11. 一切都可以自動化

安全相關流程的自動化似乎對組織很有吸引力，因為可以節省時間和金錢。不過，它應該適度使用。Halborn 聯合創始人兼首席信息安全官 Steven Walbroehl 認為：“盲目依賴自動化實際上會在安全評估的質量和準確性方面造成差距，會導致被忽視的漏洞，并造成無法預料的安全風險。某些復雜的任務最好留給人類，因為它們需要直覺和本能，而機器缺乏這些。我還沒有看到一種自動化工具可以模擬熟練的滲透測試人員執行的思維過程，他們試圖破解或利用業務邏輯或復雜身份驗證中的步驟。

12. 解決了最新的攻擊就安全了

公司經常關注最新的攻擊，錯過了其他相關的事情，并且沒有建立足夠的能力來防止未來的事件。布拉姆森認為：只關注已經發生的事情是被接下來發生的事情擊中的好方法。威脅和攻擊是不斷變化的。需要有一個程序來適應和為未知做好準備。

13. 季度性更改一次密碼將使賬戶更安全

Bishop Fox 的首席研究員 Dan Petro 認為：要求用戶按時更改密碼只能確保他們的密碼很糟糕。比讓用戶選擇“Winter2022”等簡短密碼的完美方式。

趨勢科技基礎設施戰略副總裁William Malik 對此表示贊同。當攻擊者得到一堆密碼時，進行密碼噴射——比每 90 天一次要頻繁得多。使用特殊字符不會使密碼更安全。相反，應鼓勵用戶選擇長密碼并啟用多因素身份驗證。

14. 加密敏感數據就是安全的

太多的開發人員將加密視為魔法仙塵：你將它灑在數據上，它神奇地變得安全。通常，開發人員不會考慮密鑰存儲在哪里或在某些情況下攻擊者是誰。密碼學是一個復雜的主題，太多的開發人員最終把自己籠罩在一種錯誤的安全感中，認為他們已經“加密”了他們的數據，因此它是安全的，當然加密的數據更不安全。所以，無論數據所有者還是程序開發者，都不應該沉浸在虛假的安全感中。

15. 網站URL旁邊有一個綠色鎖網站是安全的

也許在一二十年前就是這樣，當時流量很少加密，獲得有效 HTTPS 證書的成本很高。如今，網絡犯罪分子可以免費獲得惡意網站的證書。卡巴斯基安全研究員 Dan Demeter建議：首先在最喜歡的搜索引擎上查看網站，如有疑問，請始終手動輸入其 URL，而不是單擊鏈接”。

16. 組織太小不能成為目標

即使在今天，仍有太多公司認為他們的相關性不足以成為網絡攻擊的受害者。布拉姆森認為：如果你有曝光，你就是目標......每個人都有曝光，網絡攻擊者可以專門針對一家公司，或者他們可以發起一般攻擊，看看誰被他們的網絡抓住了。無論哪種方式，你都會在某個時候遭受攻擊。

客戶數據是在暗網上出售的寶貴商品，受感染的網站可能會傳播惡意軟件。中小型企業通常缺乏資源來實施和管理適當的信息安全計劃，這使他們很容易成為獵物。

17. 嚴重威脅是政府的責任

在安全方面，每個組織都應該盡自己的一份力量。政府無法保護所有人——很難保護自己免受高級持續威脅的無情攻擊。法律法規就像汽車召回。為了讓政府編寫、審查和批準某些東西，然后它就迫使其消失，必須發生很多安全事件。因此，政府行動通常是在風險被廣泛意識到之后才采取的行動。

18. 供應鏈攻擊可以通過修補所有內部第三方軟硬件來阻止

Armorblox 的聯合創始人兼首席執行官 DJ Sampath 認為事情沒有希望就這么簡單。雖然軟件漏洞和未打補丁的系統為攻擊者提供了一個完美的攻擊面，但它們并不是他們可以使用的唯一手段，企業需要全面了解他們的供應商管理，包括商業電子郵件泄露 (BEC)、賬戶接管和供應商環境中的橫向移動。

不作為的代價可能很高。一個案例例證這種危險的案例研究是，一名立陶宛男子因欺詐性 BEC 計劃盜竊超過 1.2 億美元而被判刑。

19. 數據在公司防火墻后是安全的

沒有防火墻是不安全的網絡，但是防火墻后的數據不是真正安全的。混合模式已經讓組織走出了他們的舒適區。隨著每個人都在家工作，企業網絡不再是安全邊界，現在他們必須重新專注于應用零信任技術，并理解身份——無論位置如何——都是新的安全邊界。

組織正在實施創新的公鑰基礎設施(PKI) 解決方案，該解決方案通過整合和自動化驗證設備、用戶和實體身份的數字證書的部署、發現、管理和更新，在實現零信任環境方面發揮著關鍵作用。

20. 廣泛的軟件測試可以防止攻擊

測試軟件總是一個好主意，并且努力去做會有幫助。但 Virsec 的聯合創始人兼首席技術官 Satya Gupta 表示，攻擊者仍然可以找到漏洞。在PrintNightmare這個漏洞中，微軟在 2021 年 7 月修補了 Windows 2003 的代碼。顯然，微軟資源豐富，但也未找到該漏洞。

近年來，越來越多的組織設立了漏洞賞金計劃來激勵白帽黑客。如果管理不當，這些程序可能會提供錯誤的安全感。

21. 加載遠程不受信任的任意 Java 代碼是絕對安全的

這聽起來可能是世界上最明顯的事情，但為什么似乎每個 Java 程序仍然這樣做呢?也許 2022 年將是 Java 程序最終停止有意加載任意遠程代碼的一年，人們可以期待。

網絡安全是一個非常綜合體系性工作，很多網絡安全神話是因為我們對某些內容的認識不足或認識偏頗，如對某個知識的缺少認識，故無相關安全意識，有時對某些內容的認識有失偏頗，又認為某一項安全措施可以萬無一失。總之，在網絡安全戰略中，應該以“中”為度，不可偏廢，又不可或缺，所有的工作不可不及，又唯恐過猶不及。所以，這個度需要對網絡安全以及相關的責任義務有深刻全面的了解和理解，才能最終做的更合理更科學。當然，我們都是在不斷探討網絡安全，沒有絕對的網絡安全，當然有體無完千瘡百孔的網絡防護。網絡安全需要持之以恒，永續前進發展的，可以說網絡安全也屬于生無所息之列。