這些經(jīng)常被一再提起、受到廣泛認(rèn)同的上網(wǎng)行為安全觀點(diǎn)其實(shí)……全是胡說(shuō)八道。從一年前開(kāi)始，我們就在努力收集安全專(zhuān)家眼中最誤人子弟的安全謠言，現(xiàn)在是時(shí)候揭穿它們的偽裝、還大家一個(gè)清平世界了。

        安全謠言第一位：殺毒軟件能有效保護(hù)您遠(yuǎn)離惡意軟件

        趨勢(shì)科技公司CTO Raimund Genes指出，企業(yè)之所以廣泛使用殺毒軟件，是因?yàn)閷徲?jì)師會(huì)牢牢揪出這一點(diǎn)不放。然而殺毒軟件本身并不能可靠地保護(hù)我們抵御有針對(duì)性的攻擊，因?yàn)楣粽邥?huì)在動(dòng)手之前進(jìn)行測(cè)試，以確保自己的詭計(jì)不會(huì)為殺毒軟件所識(shí)破。

        安全謠言第二位：政府才是最強(qiáng)網(wǎng)絡(luò)攻擊的源頭

        SANS公司新興安全趨勢(shì)部門(mén)主管John Pescatore認(rèn)為，大多數(shù)來(lái)自政府的網(wǎng)絡(luò)攻擊只是重新借用由犯罪分子鼓搗出來(lái)的現(xiàn)成資源。美國(guó)國(guó)防部一直喜歡大肆宣揚(yáng)來(lái)自民族國(guó)家的威脅論借以提高預(yù)算額度?？杀氖?，像花旗銀行這樣的金融行業(yè)網(wǎng)站本來(lái)有機(jī)會(huì)抵擋住拒絕服務(wù)攻擊，但卻由于缺乏努力而未能成功。就連針對(duì)別國(guó)政府組織的間諜活動(dòng)都沒(méi)有涉及什么新技術(shù)，近十年來(lái)中國(guó)、美國(guó)、法國(guó)、俄羅斯等其它一些技術(shù)強(qiáng)國(guó)鮮有成果問(wèn)世。

        Pescatore還提到他個(gè)人感受最深的兩條安全謠言：其一是云服務(wù)永遠(yuǎn)無(wú)法保證安全，因?yàn)榉?wù)的共享特性允許隨時(shí)對(duì)其進(jìn)行修改；其二是云環(huán)境更安全，因?yàn)楣?yīng)商能夠?qū)崟r(shí)掌握一切。針對(duì)這兩條謠言，Pescatore指出以谷歌、Amazon等為代表的云服務(wù)供應(yīng)商并沒(méi)有建立起企業(yè)級(jí)別的服務(wù)、也無(wú)法保護(hù)用戶(hù)信息萬(wàn)全。事實(shí)上，谷歌還主動(dòng)建立起一套非常強(qiáng)大的云信息收集機(jī)制，能夠通過(guò)搜索服務(wù)明目張膽地收集并公開(kāi)他人信息。

        但Pescatore同時(shí)指出，由谷歌與微軟等推出的以電子郵件為基礎(chǔ)的云服務(wù)還是比較可靠的。在目前已經(jīng)披露出來(lái)的用戶(hù)數(shù)據(jù)泄露事件中，幾乎沒(méi)有明確證據(jù)能說(shuō)明供應(yīng)商在運(yùn)營(yíng)過(guò)程中存在紕漏反倒是客戶(hù)本身受到了網(wǎng)絡(luò)釣魚(yú)攻擊的影響。但企業(yè)客戶(hù)仍然在想辦法改進(jìn)處理流程，以適應(yīng)云服務(wù)供應(yīng)商提供的事件響應(yīng)機(jī)制。

        安全謠言第三位：我們的賬戶(hù)都處于Active Directory之下并受到嚴(yán)格控制

        SSH發(fā)明人、SSH通信安全公司CEO Tatu Ylonen表示，這種誤解很常見(jiàn)，而且很多機(jī)構(gòu)都在為應(yīng)用程序及自動(dòng)化流程的功能性賬戶(hù)設(shè)定加密密鑰后就忘了這碼事，更談不到對(duì)其進(jìn)行重新審計(jì)。許多大型機(jī)構(gòu)在生產(chǎn)服務(wù)器端設(shè)定的加密密鑰都遠(yuǎn)遠(yuǎn)多于Active Directory中的用戶(hù)賬戶(hù)密鑰，Ylonen指出。這些密鑰從未更改、缺乏審計(jì)且不受控制。全局身份驗(yàn)證及訪問(wèn)管理體系管理著這些交互用戶(hù)賬戶(hù)，且一直以忽略形式允許設(shè)備自動(dòng)進(jìn)行訪問(wèn)。雖然這樣確實(shí)更方便，但如果不加以妥善打理，用于自動(dòng)訪問(wèn)的密鑰也可能成為攻擊及病毒的傳播渠道。

        安全謠言第四位：風(fēng)險(xiǎn)管理技術(shù)是上網(wǎng)行為安全的必要組成部分

        上網(wǎng)行為-Harvest公司首席研究分析師Richard Stiennon指出，盡管風(fēng)險(xiǎn)管理已經(jīng)成為一種公認(rèn)的管理技術(shù)，但事實(shí)上它所關(guān)注的是一項(xiàng)不可能完成的任務(wù)，即辨識(shí)上網(wǎng)行為資產(chǎn)并評(píng)估其價(jià)值。無(wú)論如何嘗試，它都無(wú)法真正反映出攻擊者覬覦的專(zhuān)利產(chǎn)權(quán)中所蘊(yùn)含的實(shí)際價(jià)值。Stiennon認(rèn)為惟一能幫助企業(yè)改善自我保護(hù)能力的方法在于威脅管理方案，而這需要我們深入了解競(jìng)爭(zhēng)對(duì)手、其發(fā)展目標(biāo)以及實(shí)施方法。

        安全謠言第五位：應(yīng)用程序安全領(lǐng)域存在‘最佳實(shí)踐’

        白帽安全公司CTO Jeremiah Grossman表示安全專(zhuān)家常常喜歡宣揚(yáng)最佳實(shí)踐，認(rèn)為這類(lèi)方案能夠廣泛起效、值得投資且對(duì)于每個(gè)人都必不可少。詳細(xì)來(lái)說(shuō)，其中包括軟件培訓(xùn)、安全檢測(cè)、威脅建模、Web應(yīng)用防火墻以及其它數(shù)百項(xiàng)措施。但在他看來(lái)，這顯然忽視了每套操作系統(tǒng)所蘊(yùn)含的獨(dú)特性。

        安全謠言第六位：零日漏洞是一種固有特性，我們無(wú)法預(yù)測(cè)或進(jìn)行有效應(yīng)對(duì)

        零日漏洞是指那些尚未被大家普遍發(fā)現(xiàn)的網(wǎng)絡(luò)安全缺陷。但Metasploit滲透測(cè)試工具的締造者、Rapid 7公司CSO H.D.Moore則認(rèn)為實(shí)際情況恰恰相反。安全專(zhuān)家能夠切實(shí)預(yù)測(cè)并避免存在問(wèn)題的軟件引發(fā)麻煩。如果機(jī)構(gòu)本身倚仗于某款軟件且達(dá)到不可或缺的程度，那么勢(shì)必需要制定出一套應(yīng)對(duì)方案以避免這款軟件引發(fā)安全風(fēng)險(xiǎn)。選擇性授權(quán)與限定軟件接收權(quán)限都是很好的管理策略。他還與我們分享了另一條安全謠言，即我們可以根據(jù)公開(kāi)披露的漏洞數(shù)量評(píng)判一款產(chǎn)品或服務(wù)的安全性。他認(rèn)為，反擊這種論調(diào)的最佳武器就是WordPress?？纯此爻龅陌踩┒从卸嗌?！這么看來(lái)WordPress根本就是垃圾。但事實(shí)證明，軟件缺陷也是成長(zhǎng)歷程的一部分，這并不妨礙其成為日后的人氣明星。Moore得出結(jié)論，與此相反，可能有幾十款沒(méi)有發(fā)現(xiàn)安全漏洞的產(chǎn)品，但它們并不是真正安全、只是由于人氣太低而掩蓋了不夠安全的現(xiàn)實(shí)。總之，我們不應(yīng)該以安全漏洞數(shù)量的多寡來(lái)衡量一款軟件的好壞以及安全性的高低，這套標(biāo)準(zhǔn)毫無(wú)科學(xué)性可言。

        安全謠言第七位：美國(guó)電網(wǎng)受到北美電力可靠性公司的關(guān)鍵性基礎(chǔ)設(shè)施保護(hù)（簡(jiǎn)稱(chēng)CIP）

        Applied Control Solutions公司執(zhí)行合伙人Joe Weiss認(rèn)為這純屬謠言，因?yàn)橛呻娏π袠I(yè)自己制定的CIP僅適用于批量分銷(xiāo)型供電體系，而并不針對(duì)整個(gè)配電系統(tǒng)，同時(shí)只涵蓋了一部分供電設(shè)施。全美80%的供電設(shè)施并未受到CIP的保護(hù)。

        安全謠言第八位：我通過(guò)了合規(guī)性審查，所以我是安全的

        PCI安全標(biāo)準(zhǔn)委員會(huì)總經(jīng)理Bob Russo表示這種觀念相當(dāng)普遍，即企業(yè)往往認(rèn)為只要能夠通過(guò)支付卡數(shù)據(jù)安全規(guī)范的審計(jì)，他們就高枕無(wú)憂(yōu)、永遠(yuǎn)安全了。但合規(guī)性審查只能算是對(duì)特定時(shí)間點(diǎn)上的企業(yè)經(jīng)營(yíng)快照進(jìn)行評(píng)估，而安全則是一個(gè)持續(xù)而不能松懈的過(guò)程，需要相關(guān)人員、技術(shù)與流程通力配合方能永保太平。

        安全謠言第九位：安全是首席信息安全官才需要考慮的問(wèn)題

        新興企業(yè)Nok Nok實(shí)驗(yàn)室總裁兼CEO Phil Dunkelberger指出，CISO確實(shí)應(yīng)該為數(shù)據(jù)違規(guī)狀況擔(dān)負(fù)主要責(zé)任，而這類(lèi)行政或技術(shù)課題也正是他們的份內(nèi)工作。然而企業(yè)中的很多其他崗位同樣需要把安全時(shí)刻銘記在心，尤其是上網(wǎng)行為操作人員。他們手中也掌握著安全性的命運(yùn)，因此要比普通員工承擔(dān)更多責(zé)任。

        安全謠言第十位：移動(dòng)設(shè)備比計(jì)算機(jī)更安全

        RSA大會(huì)項(xiàng)目委員會(huì)主席Hugh Thompson博士對(duì)這種常見(jiàn)的假想提出質(zhì)疑。他認(rèn)為盡管有一定道理，但這種言論低做了計(jì)算機(jī)中以掩飾密碼及URL預(yù)覽為代表的傳統(tǒng)保障手段，而這些成熟機(jī)制目前在移動(dòng)設(shè)備上還不適用。因此，雖然移動(dòng)設(shè)備就自身而言比臺(tái)式機(jī)或筆記本要安全一些，但傳統(tǒng)安全手段的缺失仍然會(huì)留下許多安全漏洞。

        安全謠言第十一位：要想實(shí)現(xiàn)安全性，我們就不得不放棄一部分個(gè)人自由

        新興企業(yè)Cylance公司CEO兼總裁Stuart McClure指出，千萬(wàn)不要聽(tīng)信這類(lèi)說(shuō)法。什么為了打擊壞人，我們必須讓政府插手自己的網(wǎng)絡(luò)流量信息，全都是一派胡言。要想防患于未然，安全專(zhuān)家該做的是了解壞人的想法、揣測(cè)其行動(dòng)并熟悉其作案工具，并最終將其一舉攻陷。

        安全謠言第十二位：阻止惡意軟件，實(shí)時(shí)反應(yīng)最重要

        Snort入侵檢測(cè)系統(tǒng)締造者、Sourcefire公司創(chuàng)始人Martin Roesch認(rèn)為安全防范機(jī)制往往效果有限，很難快速追蹤或捕捉到各種類(lèi)型的攻擊。而且即使錯(cuò)過(guò)了實(shí)時(shí)反應(yīng)的機(jī)會(huì)，現(xiàn)有防御機(jī)制也會(huì)對(duì)整個(gè)流程有所認(rèn)知并準(zhǔn)備應(yīng)對(duì)攻擊者的后續(xù)活動(dòng)。新型安全防護(hù)模式會(huì)持續(xù)不斷進(jìn)行信息更新，這樣就算無(wú)法第一時(shí)間揪出犯罪分子，了解其攻擊范圍及手段也是很有意義的。

        安全謠言第十三位：有了正確的保護(hù)機(jī)制，攻擊者將被拒之門(mén)外

        微軟公司可信計(jì)算全球副總裁Scott Charney表示，我們常常把安全跟‘拒之門(mén)外’聯(lián)系起來(lái)；鎖上門(mén)、裝上防火墻似乎就萬(wàn)事大吉了。然而實(shí)際情況在于，即使是最復(fù)雜的安全策略與最優(yōu)秀的執(zhí)行流程也終會(huì)被有耐心、有決心的攻擊者找到可乘之機(jī)。實(shí)際上，我們應(yīng)該轉(zhuǎn)化自己對(duì)于安全概念的認(rèn)識(shí)。對(duì)于整個(gè)安全社區(qū)而言，這意味著保護(hù)、遏制及恢復(fù)三大方針，這才是足以對(duì)抗威脅的長(zhǎng)久之計(jì)。