网络安全的六大观念误区

来源 :计算机世界 | 被引量 : 0次 | 上传用户:leneyao
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  想要更有效的IT安全策略吗?企业的首席执行官和高级管理人员就必须走出这些常见的网络安全误区。
  首席执行官负责领导企业的所有战略规划和运营,肩头的责任可谓极其繁重。但如果他们因此而认为自己在IT安全方面虽然花费了大量的预算,却未能让安全措施发挥真正的作用是可以原谅的,那他们就错了。他们,以及那些负责IT安全的下属本就应在正确的地方正确地应对威胁。
  为什么这么说?
  因为他们一直囿于一些IT安全误区,这些误区就像神话一样近乎教条。当有了错误的观念后,就很难有效地去做正确的事情。以下介绍的就是首席执行官们在网络安全方面的一些常见误区。
  1.攻击者是无法阻止的
  很多计算机防御措施都非常薄弱而且考虑不周全,以至于黑客和恶意软件可以随意侵入,只不过恶意入侵者没想攻破整个环境而已。计算机防御措施是如此的糟糕,千疮百孔,因此首席执行官们一直认为不可能阻止黑客和恶意软件。他们所能做的不过是“承认被攻破”,尽快检测出自己的环境中是否有攻击者,并减缓攻击者的进攻罢了。
  你能想象一名将军在受到攻击后,告诉下属和士兵,不管他们做什么,都绝对不会赢——即便给了他很多的士兵和武器,并在要害位置做好了布防?但现在的网络安全大环境就是这样,这让首席执行官们觉得理应如此。
  虽然的确很难阻止一些国家资助的专业黑客组织,但通过一些良好的措施还是能够阻止大多数黑客和恶意软件入侵的。其实企业已经采取了这些措施,只是没有用好。更有针对性的IT安全策略和一些关键的防御措施能够大幅度降低黑客和恶意软件侵入企业环境的风险。
  2.黑客们异于常人
  之所以盲目地认为黑客和恶意软件是防不住的,部分原因是,世人普遍觉得黑客都非常聪明,异于常人,是超级天才,挡也挡不住。好莱坞电影实际上对这种不切实际的情况起到了推波助澜的作用,在这些电影里,黑客们轻松地就能猜出任何系统的密码,就能够控制全世界的计算机。电影里的黑客比其他人都聪明,按几下按键就能发射核导弹,抹掉人们的数字身份……等等。
  之所以有这种错误观念,是因为大部分被黑客攻击或者感染了恶意软件的人既不是程序员也不是IT安全人员。对他们来说,这些都不可思议,必须要有莱克斯·卢瑟(电影《超人》系列中的超级反派角色)那样的超能力才行。
  现实情况是,大多数黑客都是普通人,他们的智商一般,在爱因斯坦面前,他们就是水管工和电工。黑客们只需知道怎样采用前辈们留下的某种工具来完成某一项任务,当然这不是水管工和电工干的活,而是计算机黑客。这并不是说没有非常出色的黑客,但和其他行业一样,这类黑客非常少,屈指可数。不幸的是,所有黑客都异于常人这种误解进一步让人觉得黑客是无法击败的。
  3.IT安全部门知道该怎么解决问题
  这可能是有待于消除的最关键的误区。很多IT安全部门人才济济而且工作非常努力,但却真的不知道他们应该做些什么。大多数情况下,他们所从事的工作并没有大幅度降低安全风险。因为他们不知道,他们在错误的地方投入了太多的资源来对付错误的东西。
  可悲的事实是,很少有IT安全部门有真实的数据来支持他们所发现的实际问题。如果首席执行官私下里单独询问IT安全部门,他们的企业面临的最大威胁是什么,那么首席执行官可能会震惊地发现没有人知道真正的答案。即使有人给出了正确的答案,也不会有数据来支持自己的答案。相反,IT安全部门的员工们对于什么是最严重的问题各持己见。如果IT安全部门不知道最大的问题是什么,那么他们怎么能高效地对抗最大的威胁呢?
  4.安全合规等同于更好的安全
  首席执行官们在专业层面上和个人层面上都要确保他们的企业符合所有法律和法规的要求。今天,很多企业都要面对多个而且有时候是相互冲突的IT安全要求。所有首席执行官们都知道,如果他们履行了合规义务,专业人士们就认为他们是“安全的”,或者至少在法律上可以被解释为是安全的。
  然而,合规所要求的与安全所要求的并不一样,有时甚至与真正的安全要求相冲突。例如,现在我们知道,以前一直存在的密码策略要求,包括使用长而且复杂的密码,还必须在一年内经常更改这些密码,这些要求比使用从未改变的简单密码会带来更大的安全风险。很多年前我们就知道这些了。在过去几年中,包括NIST出版物在内的大部分“官方”密码建议的确都是如此。
  很多IT安全人员和首席执行官还不知道这些。即使他们知道,他们也不能遵循更新、更好的密码指南。为什么? 因为目前的监管要求都没有进行更新,以遵循新的密码指南。再重申一次,合规并不总是等同于安全。有时候,情况恰恰相反。
  5.补丁是受控的
  大多数首席执行官认为他们的补丁都是受控的。所谓“受控”,我的意思是软件的补丁程序是100%最新的或者接近最新。相反,在我30多年的IT从业经验中,从来没有过打好所有补丁的计算机或者设备。从来没有,一个也没有。特别是那些非常安全的设备,比如路由器、防火墙和服务器等,大家都认为这些设备应该很好地打了补丁。很多IT安全部门可能会告诉他们的首席执行官补丁打的“近乎完美”,可能高达90%,但“细节是魔鬼”。
  高比例的原因在于:很多企业都有成百上千需要打补丁的程序。大部分程序不需要打补丁,不是因为没有漏洞,而是因为攻击者不会去攻击它们。不用去找这些漏洞,也不用给这些漏洞打上补丁。
  在大多数企业中,10到20个未打补丁的程序极有可能带来被黑客攻击的风险。在这些程序中,大多数程序的补丁准确率会非常高,可能只有一两个程序打补丁的准确率没有像其他程序那样高。然而,就是这一两个没有打好补丁的程序给很多企业带来了巨大的风险,但如果你只看数字本身,可能看起来补丁打得很好。
  举个例子。假设一家企业只有100个程序要打补丁。在这100个程序中,只有一个程序打补丁的比例很低,比如说只打了50%的补丁。那么打补丁的整体比例为99.5%。这似乎很好,但数字真正的含义是,一半的计算机是有漏洞的,没有打上补丁,而更有可能的是,某一个只打了一半补丁的程序便是黑客用来闯入企业的未打补丁的主要程序之一。
  我甚至没有提及大量未打补丁的硬件、固件和驱动程序,很多企业甚至不打算去给它们打上补丁。它们通常不包括在补丁报告中。如果包括它们在内,补丁比例看起来更糟糕。最近,黑客们更频繁地攻击硬件和固件。这不是巧合。
  6.给员工的安全培训足够了
  很多企业面临的两大威胁之一是社会工程,通过电子邮件或者网络浏览器进行攻击,有时甚至通过打电话进行。如果只考虑造成严重损害的主要攻击,那么社会工程可能涉及99%的案例。在过去20年里,我只知道唯一的一个案例,企业被攻破与社会工程无关。很多IT安全部门都会赞同我的观点。
  然而,很多企业每年只花不到30分钟的时间进行社会工程方面的培训。计算机安全防御领域认为这是大部分企业存在的两个主要问题之一(另一個是未打补丁的软件),但几乎没有企业去改正。相反,员工并没有得到足够的培训来阻止社会工程攻击,无论企业做了什么,也无论企业投入多少资金和其他资源,企业都会继续被黑客成功地攻击。
  上面讨论的所有这些误区进一步强化了第一个误区:黑客和恶意软件是无法阻止的。这就形成了一个无用的基本底线,所有IT安全策略都是在此基础上进行讨论的。如果你是一名首席执行官(或者首席安全官,或者首席信息安全官),觉得这篇文章有些夸张,那么我建议你问一下自己的IT安全部门:“我们最大的威胁是什么,有没有数据支持你的观点?”私下里分别问一下安全部门每一名员工这个问题。你得不到一个一致的答案,也没有支持他们观点的数据。如果不能就最大问题是什么达成一致,那怎么能有效地解决问题呢?
其他文献
1881-1937年间,华北逐渐成为中国铁路分布较多,铁路运输业发展较快的地区之一。其铁路车站和各类铁路工厂中,有相当一部分设于集镇和村庄。由于仅有极少数车站等级较高,工厂规模较大,多数车站等级较低、工厂规模较小,因此形成了铁路站厂的“差序化设置”。这一特征不仅与设站集镇交通运输业的“差异化发展”之间有一定的关联性,而且也促成了以铁路站厂为中心的交通社区的“差异化发展”,影响了设站集镇的工商业和人
推特和脸书可以教会我们很多关于高效人工智能的知识。  据Gartner最近的一项调查,很多企业刚刚开始机器学习之旅,37%的企业已经实施了人工智能。如果你已经打开了机器学习的大门,在开始机器学习概念验证或者学习人工智能、机器学习和深度学习的完整指南之前,建议先想一想10个问题。  机器学习正在发展,频繁报道出现了新的商业突破、科学进步、框架改进和最佳实践。  对于那些拥有大规模机器学习项目并将人工
对于在ASX上市的保险集团IAG而言,采用开源软件和开源方法进行开发和创新将在其未来发展中扮演越来越重要的角色。  IAG最近转向开源OpenStack云平台,帮助整合了20多个数据仓库,这一过程节省了数百万美元的成本。  该公司在澳大利亚、新西兰、泰国、越南和印度尼西亚都有业务,前段时间开展了一个宏伟的项目,旨在整合其核心保单和索赔平台,把32个系统迁移到两个系统中。  据该公司的数据工程和数据
物联网帮助首席信息官们收集的数据越来越多了。本文将分享一些物联网怎样帮助改造制造业、农业和博物馆获得商业价值的成功案例。  数字化时代进行转型的企业对数据的需求非常大。这种需求促使物联网(IoT)越来越广泛地应用于工业制造、农业和零售等多个领域。  麻省理工学院SCISR首席研究科学家Jeanne W.Ross在5月份的麻省理工学院斯隆首席信息官研讨会上说,无线连接、无处不在的数据供应和巨大的处理
[摘要]沈起元是清代前期著名的官员和理学家,为官期间,重视教育,特别是在书院教育方面卓有成就,曾先后执掌多所著名书院,尤以在娄东书院的成就最为突出。作为其书院教育活动的重要组成部分,沈起元执掌娄东书院三年,是其理学思想发展与传播的一次充分实践。他为书院生徒制定的《娄东书院规条》,推动了娄东书院的发展。娄东书院后来发展成为江南地区的著名学府,沈起元实具有开创之功。  [关键词]沈起元,娄东书院,书院
安全好比是一场军备竞赛。而人工智能的加入就像是战争从冷兵器战斧跨越到了战斧式巡航导弹。  一提到人工智能(AI)和安全问题,信息安全和IT部门就觉得这不过是一种艺术形式。毕竟,上世纪80年代以来,我们就一直听说人工智能即将到来。很多供应商已经把人工智能和机器学习(ML)术语引入到他们的营销用语中,看起来都差不多:他们卖的是未来,而不是现在。  但这其中可能孕育着真理的萌芽。但是,在撰写本文之际,我
摘 要:19世纪拉美大陆兴起了一场创建小农制的改革运动。自由派仿效早期美国发展模式,希图通过建构小农制,改变农村土地结构,促进经济发展,走上现代化的快车道。但是,这场以分割印第安村社土地为主要内容的改革运动最后归于失败。而20世纪墨西哥等国以重建村社为中心的土地改革却获得了成功,从而推动了现代化进程。拉美国家的发展历程有力说明:凡是一条成功或比较成功的现代化道路,必定是现代因素与传统文化因素二者相
首先,历史研究是一门综合性的学科,政治史若要重新出发,应整合不同学科的研究观点,将过去被割裂为交通史、社会史等类别的诸多成果,从政治运作的角度加以整合,重新赋予学术意义,才能丰富研究内涵。第二,新政治史的开展,必须选择有利于展现政治意识的题目。以往的政治史研究,无论是人事布局或政治斗争,关注的都是人与事件本身,新的政治史研究,应进一步寻找能够展现政争中各方运作、讨论的议题。第三,是对政治文化现象的
物联网正日益成为许多企业数据驱动转型战略的一个关键部分。的确,积极采用物联网的企业组织已经看到了诸多好处,比如改进操作流程、改善库存管理和加强设备维护等。  但成功的物联网战略不仅仅是将一堆设备和传感器联接到互联网上,并从这些“物件”收集数据。IT部门必须打造高效地分析物联网生成的大量数据的能力,以便解读数据,并获得真正的商业洞察力。  这就是为什么物联网的分析战略应该是任何想充分利用所有联接企业
摘要 理学自北宋兴起,至南宋而大盛。它赋予儒学以新貌,代表了一种内向的发展,发展了儒学中关于“内圣”的部分。而此种内向的实质乃是为了促成更准确而有力地外向。本文通过对南宋前期著名贤相陈俊卿之理学政治人格的剖析,来展现南宋理学型士大夫的政治风格,并管窥南宋前期文化与政治交互影响之一斑。  关键词 内圣,外王,陈俊卿,理学,政治人格  中图分类号 K245 文献标识码 A 文章编号 0457-6241