论文部分内容阅读
想要更有效的IT安全策略吗?企业的首席执行官和高级管理人员就必须走出这些常见的网络安全误区。
首席执行官负责领导企业的所有战略规划和运营,肩头的责任可谓极其繁重。但如果他们因此而认为自己在IT安全方面虽然花费了大量的预算,却未能让安全措施发挥真正的作用是可以原谅的,那他们就错了。他们,以及那些负责IT安全的下属本就应在正确的地方正确地应对威胁。
为什么这么说?
因为他们一直囿于一些IT安全误区,这些误区就像神话一样近乎教条。当有了错误的观念后,就很难有效地去做正确的事情。以下介绍的就是首席执行官们在网络安全方面的一些常见误区。
1.攻击者是无法阻止的
很多计算机防御措施都非常薄弱而且考虑不周全,以至于黑客和恶意软件可以随意侵入,只不过恶意入侵者没想攻破整个环境而已。计算机防御措施是如此的糟糕,千疮百孔,因此首席执行官们一直认为不可能阻止黑客和恶意软件。他们所能做的不过是“承认被攻破”,尽快检测出自己的环境中是否有攻击者,并减缓攻击者的进攻罢了。
你能想象一名将军在受到攻击后,告诉下属和士兵,不管他们做什么,都绝对不会赢——即便给了他很多的士兵和武器,并在要害位置做好了布防?但现在的网络安全大环境就是这样,这让首席执行官们觉得理应如此。
虽然的确很难阻止一些国家资助的专业黑客组织,但通过一些良好的措施还是能够阻止大多数黑客和恶意软件入侵的。其实企业已经采取了这些措施,只是没有用好。更有针对性的IT安全策略和一些关键的防御措施能够大幅度降低黑客和恶意软件侵入企业环境的风险。
2.黑客们异于常人
之所以盲目地认为黑客和恶意软件是防不住的,部分原因是,世人普遍觉得黑客都非常聪明,异于常人,是超级天才,挡也挡不住。好莱坞电影实际上对这种不切实际的情况起到了推波助澜的作用,在这些电影里,黑客们轻松地就能猜出任何系统的密码,就能够控制全世界的计算机。电影里的黑客比其他人都聪明,按几下按键就能发射核导弹,抹掉人们的数字身份……等等。
之所以有这种错误观念,是因为大部分被黑客攻击或者感染了恶意软件的人既不是程序员也不是IT安全人员。对他们来说,这些都不可思议,必须要有莱克斯·卢瑟(电影《超人》系列中的超级反派角色)那样的超能力才行。
现实情况是,大多数黑客都是普通人,他们的智商一般,在爱因斯坦面前,他们就是水管工和电工。黑客们只需知道怎样采用前辈们留下的某种工具来完成某一项任务,当然这不是水管工和电工干的活,而是计算机黑客。这并不是说没有非常出色的黑客,但和其他行业一样,这类黑客非常少,屈指可数。不幸的是,所有黑客都异于常人这种误解进一步让人觉得黑客是无法击败的。
3.IT安全部门知道该怎么解决问题
这可能是有待于消除的最关键的误区。很多IT安全部门人才济济而且工作非常努力,但却真的不知道他们应该做些什么。大多数情况下,他们所从事的工作并没有大幅度降低安全风险。因为他们不知道,他们在错误的地方投入了太多的资源来对付错误的东西。
可悲的事实是,很少有IT安全部门有真实的数据来支持他们所发现的实际问题。如果首席执行官私下里单独询问IT安全部门,他们的企业面临的最大威胁是什么,那么首席执行官可能会震惊地发现没有人知道真正的答案。即使有人给出了正确的答案,也不会有数据来支持自己的答案。相反,IT安全部门的员工们对于什么是最严重的问题各持己见。如果IT安全部门不知道最大的问题是什么,那么他们怎么能高效地对抗最大的威胁呢?
4.安全合规等同于更好的安全
首席执行官们在专业层面上和个人层面上都要确保他们的企业符合所有法律和法规的要求。今天,很多企业都要面对多个而且有时候是相互冲突的IT安全要求。所有首席执行官们都知道,如果他们履行了合规义务,专业人士们就认为他们是“安全的”,或者至少在法律上可以被解释为是安全的。
然而,合规所要求的与安全所要求的并不一样,有时甚至与真正的安全要求相冲突。例如,现在我们知道,以前一直存在的密码策略要求,包括使用长而且复杂的密码,还必须在一年内经常更改这些密码,这些要求比使用从未改变的简单密码会带来更大的安全风险。很多年前我们就知道这些了。在过去几年中,包括NIST出版物在内的大部分“官方”密码建议的确都是如此。
很多IT安全人员和首席执行官还不知道这些。即使他们知道,他们也不能遵循更新、更好的密码指南。为什么? 因为目前的监管要求都没有进行更新,以遵循新的密码指南。再重申一次,合规并不总是等同于安全。有时候,情况恰恰相反。
5.补丁是受控的
大多数首席执行官认为他们的补丁都是受控的。所谓“受控”,我的意思是软件的补丁程序是100%最新的或者接近最新。相反,在我30多年的IT从业经验中,从来没有过打好所有补丁的计算机或者设备。从来没有,一个也没有。特别是那些非常安全的设备,比如路由器、防火墙和服务器等,大家都认为这些设备应该很好地打了补丁。很多IT安全部门可能会告诉他们的首席执行官补丁打的“近乎完美”,可能高达90%,但“细节是魔鬼”。
高比例的原因在于:很多企业都有成百上千需要打补丁的程序。大部分程序不需要打补丁,不是因为没有漏洞,而是因为攻击者不会去攻击它们。不用去找这些漏洞,也不用给这些漏洞打上补丁。
在大多数企业中,10到20个未打补丁的程序极有可能带来被黑客攻击的风险。在这些程序中,大多数程序的补丁准确率会非常高,可能只有一两个程序打补丁的准确率没有像其他程序那样高。然而,就是这一两个没有打好补丁的程序给很多企业带来了巨大的风险,但如果你只看数字本身,可能看起来补丁打得很好。
举个例子。假设一家企业只有100个程序要打补丁。在这100个程序中,只有一个程序打补丁的比例很低,比如说只打了50%的补丁。那么打补丁的整体比例为99.5%。这似乎很好,但数字真正的含义是,一半的计算机是有漏洞的,没有打上补丁,而更有可能的是,某一个只打了一半补丁的程序便是黑客用来闯入企业的未打补丁的主要程序之一。
我甚至没有提及大量未打补丁的硬件、固件和驱动程序,很多企业甚至不打算去给它们打上补丁。它们通常不包括在补丁报告中。如果包括它们在内,补丁比例看起来更糟糕。最近,黑客们更频繁地攻击硬件和固件。这不是巧合。
6.给员工的安全培训足够了
很多企业面临的两大威胁之一是社会工程,通过电子邮件或者网络浏览器进行攻击,有时甚至通过打电话进行。如果只考虑造成严重损害的主要攻击,那么社会工程可能涉及99%的案例。在过去20年里,我只知道唯一的一个案例,企业被攻破与社会工程无关。很多IT安全部门都会赞同我的观点。
然而,很多企业每年只花不到30分钟的时间进行社会工程方面的培训。计算机安全防御领域认为这是大部分企业存在的两个主要问题之一(另一個是未打补丁的软件),但几乎没有企业去改正。相反,员工并没有得到足够的培训来阻止社会工程攻击,无论企业做了什么,也无论企业投入多少资金和其他资源,企业都会继续被黑客成功地攻击。
上面讨论的所有这些误区进一步强化了第一个误区:黑客和恶意软件是无法阻止的。这就形成了一个无用的基本底线,所有IT安全策略都是在此基础上进行讨论的。如果你是一名首席执行官(或者首席安全官,或者首席信息安全官),觉得这篇文章有些夸张,那么我建议你问一下自己的IT安全部门:“我们最大的威胁是什么,有没有数据支持你的观点?”私下里分别问一下安全部门每一名员工这个问题。你得不到一个一致的答案,也没有支持他们观点的数据。如果不能就最大问题是什么达成一致,那怎么能有效地解决问题呢?
首席执行官负责领导企业的所有战略规划和运营,肩头的责任可谓极其繁重。但如果他们因此而认为自己在IT安全方面虽然花费了大量的预算,却未能让安全措施发挥真正的作用是可以原谅的,那他们就错了。他们,以及那些负责IT安全的下属本就应在正确的地方正确地应对威胁。
为什么这么说?
因为他们一直囿于一些IT安全误区,这些误区就像神话一样近乎教条。当有了错误的观念后,就很难有效地去做正确的事情。以下介绍的就是首席执行官们在网络安全方面的一些常见误区。
1.攻击者是无法阻止的
很多计算机防御措施都非常薄弱而且考虑不周全,以至于黑客和恶意软件可以随意侵入,只不过恶意入侵者没想攻破整个环境而已。计算机防御措施是如此的糟糕,千疮百孔,因此首席执行官们一直认为不可能阻止黑客和恶意软件。他们所能做的不过是“承认被攻破”,尽快检测出自己的环境中是否有攻击者,并减缓攻击者的进攻罢了。
你能想象一名将军在受到攻击后,告诉下属和士兵,不管他们做什么,都绝对不会赢——即便给了他很多的士兵和武器,并在要害位置做好了布防?但现在的网络安全大环境就是这样,这让首席执行官们觉得理应如此。
虽然的确很难阻止一些国家资助的专业黑客组织,但通过一些良好的措施还是能够阻止大多数黑客和恶意软件入侵的。其实企业已经采取了这些措施,只是没有用好。更有针对性的IT安全策略和一些关键的防御措施能够大幅度降低黑客和恶意软件侵入企业环境的风险。
2.黑客们异于常人
之所以盲目地认为黑客和恶意软件是防不住的,部分原因是,世人普遍觉得黑客都非常聪明,异于常人,是超级天才,挡也挡不住。好莱坞电影实际上对这种不切实际的情况起到了推波助澜的作用,在这些电影里,黑客们轻松地就能猜出任何系统的密码,就能够控制全世界的计算机。电影里的黑客比其他人都聪明,按几下按键就能发射核导弹,抹掉人们的数字身份……等等。
之所以有这种错误观念,是因为大部分被黑客攻击或者感染了恶意软件的人既不是程序员也不是IT安全人员。对他们来说,这些都不可思议,必须要有莱克斯·卢瑟(电影《超人》系列中的超级反派角色)那样的超能力才行。
现实情况是,大多数黑客都是普通人,他们的智商一般,在爱因斯坦面前,他们就是水管工和电工。黑客们只需知道怎样采用前辈们留下的某种工具来完成某一项任务,当然这不是水管工和电工干的活,而是计算机黑客。这并不是说没有非常出色的黑客,但和其他行业一样,这类黑客非常少,屈指可数。不幸的是,所有黑客都异于常人这种误解进一步让人觉得黑客是无法击败的。
3.IT安全部门知道该怎么解决问题
这可能是有待于消除的最关键的误区。很多IT安全部门人才济济而且工作非常努力,但却真的不知道他们应该做些什么。大多数情况下,他们所从事的工作并没有大幅度降低安全风险。因为他们不知道,他们在错误的地方投入了太多的资源来对付错误的东西。
可悲的事实是,很少有IT安全部门有真实的数据来支持他们所发现的实际问题。如果首席执行官私下里单独询问IT安全部门,他们的企业面临的最大威胁是什么,那么首席执行官可能会震惊地发现没有人知道真正的答案。即使有人给出了正确的答案,也不会有数据来支持自己的答案。相反,IT安全部门的员工们对于什么是最严重的问题各持己见。如果IT安全部门不知道最大的问题是什么,那么他们怎么能高效地对抗最大的威胁呢?
4.安全合规等同于更好的安全
首席执行官们在专业层面上和个人层面上都要确保他们的企业符合所有法律和法规的要求。今天,很多企业都要面对多个而且有时候是相互冲突的IT安全要求。所有首席执行官们都知道,如果他们履行了合规义务,专业人士们就认为他们是“安全的”,或者至少在法律上可以被解释为是安全的。
然而,合规所要求的与安全所要求的并不一样,有时甚至与真正的安全要求相冲突。例如,现在我们知道,以前一直存在的密码策略要求,包括使用长而且复杂的密码,还必须在一年内经常更改这些密码,这些要求比使用从未改变的简单密码会带来更大的安全风险。很多年前我们就知道这些了。在过去几年中,包括NIST出版物在内的大部分“官方”密码建议的确都是如此。
很多IT安全人员和首席执行官还不知道这些。即使他们知道,他们也不能遵循更新、更好的密码指南。为什么? 因为目前的监管要求都没有进行更新,以遵循新的密码指南。再重申一次,合规并不总是等同于安全。有时候,情况恰恰相反。
5.补丁是受控的
大多数首席执行官认为他们的补丁都是受控的。所谓“受控”,我的意思是软件的补丁程序是100%最新的或者接近最新。相反,在我30多年的IT从业经验中,从来没有过打好所有补丁的计算机或者设备。从来没有,一个也没有。特别是那些非常安全的设备,比如路由器、防火墙和服务器等,大家都认为这些设备应该很好地打了补丁。很多IT安全部门可能会告诉他们的首席执行官补丁打的“近乎完美”,可能高达90%,但“细节是魔鬼”。
高比例的原因在于:很多企业都有成百上千需要打补丁的程序。大部分程序不需要打补丁,不是因为没有漏洞,而是因为攻击者不会去攻击它们。不用去找这些漏洞,也不用给这些漏洞打上补丁。
在大多数企业中,10到20个未打补丁的程序极有可能带来被黑客攻击的风险。在这些程序中,大多数程序的补丁准确率会非常高,可能只有一两个程序打补丁的准确率没有像其他程序那样高。然而,就是这一两个没有打好补丁的程序给很多企业带来了巨大的风险,但如果你只看数字本身,可能看起来补丁打得很好。
举个例子。假设一家企业只有100个程序要打补丁。在这100个程序中,只有一个程序打补丁的比例很低,比如说只打了50%的补丁。那么打补丁的整体比例为99.5%。这似乎很好,但数字真正的含义是,一半的计算机是有漏洞的,没有打上补丁,而更有可能的是,某一个只打了一半补丁的程序便是黑客用来闯入企业的未打补丁的主要程序之一。
我甚至没有提及大量未打补丁的硬件、固件和驱动程序,很多企业甚至不打算去给它们打上补丁。它们通常不包括在补丁报告中。如果包括它们在内,补丁比例看起来更糟糕。最近,黑客们更频繁地攻击硬件和固件。这不是巧合。
6.给员工的安全培训足够了
很多企业面临的两大威胁之一是社会工程,通过电子邮件或者网络浏览器进行攻击,有时甚至通过打电话进行。如果只考虑造成严重损害的主要攻击,那么社会工程可能涉及99%的案例。在过去20年里,我只知道唯一的一个案例,企业被攻破与社会工程无关。很多IT安全部门都会赞同我的观点。
然而,很多企业每年只花不到30分钟的时间进行社会工程方面的培训。计算机安全防御领域认为这是大部分企业存在的两个主要问题之一(另一個是未打补丁的软件),但几乎没有企业去改正。相反,员工并没有得到足够的培训来阻止社会工程攻击,无论企业做了什么,也无论企业投入多少资金和其他资源,企业都会继续被黑客成功地攻击。
上面讨论的所有这些误区进一步强化了第一个误区:黑客和恶意软件是无法阻止的。这就形成了一个无用的基本底线,所有IT安全策略都是在此基础上进行讨论的。如果你是一名首席执行官(或者首席安全官,或者首席信息安全官),觉得这篇文章有些夸张,那么我建议你问一下自己的IT安全部门:“我们最大的威胁是什么,有没有数据支持你的观点?”私下里分别问一下安全部门每一名员工这个问题。你得不到一个一致的答案,也没有支持他们观点的数据。如果不能就最大问题是什么达成一致,那怎么能有效地解决问题呢?