Roger A.Grimes Charles

想要更有效的IT安全策略嗎？企業(yè)的首席執(zhí)行官和高級管理人員就必須走出這些常見的網(wǎng)絡(luò)安全誤區(qū)。

首席執(zhí)行官負責(zé)領(lǐng)導(dǎo)企業(yè)的所有戰(zhàn)略規(guī)劃和運營，肩頭的責(zé)任可謂極其繁重。但如果他們因此而認為自己在IT安全方面雖然花費了大量的預(yù)算，卻未能讓安全措施發(fā)揮真正的作用是可以原諒的，那他們就錯了。他們，以及那些負責(zé)IT安全的下屬本就應(yīng)在正確的地方正確地應(yīng)對威脅。

為什么這么說？

因為他們一直囿于一些IT安全誤區(qū)，這些誤區(qū)就像神話一樣近乎教條。當有了錯誤的觀念后，就很難有效地去做正確的事情。以下介紹的就是首席執(zhí)行官們在網(wǎng)絡(luò)安全方面的一些常見誤區(qū)。

1.攻擊者是無法阻止的

很多計算機防御措施都非常薄弱而且考慮不周全，以至于黑客和惡意軟件可以隨意侵入，只不過惡意入侵者沒想攻破整個環(huán)境而已。計算機防御措施是如此的糟糕，千瘡百孔，因此首席執(zhí)行官們一直認為不可能阻止黑客和惡意軟件。他們所能做的不過是“承認被攻破”，盡快檢測出自己的環(huán)境中是否有攻擊者，并減緩攻擊者的進攻罷了。

你能想象一名將軍在受到攻擊后，告訴下屬和士兵，不管他們做什么，都絕對不會贏——即便給了他很多的士兵和武器，并在要害位置做好了布防？但現(xiàn)在的網(wǎng)絡(luò)安全大環(huán)境就是這樣，這讓首席執(zhí)行官們覺得理應(yīng)如此。

雖然的確很難阻止一些國家資助的專業(yè)黑客組織，但通過一些良好的措施還是能夠阻止大多數(shù)黑客和惡意軟件入侵的。其實企業(yè)已經(jīng)采取了這些措施，只是沒有用好。更有針對性的IT安全策略和一些關(guān)鍵的防御措施能夠大幅度降低黑客和惡意軟件侵入企業(yè)環(huán)境的風(fēng)險。

2.黑客們異于常人

之所以盲目地認為黑客和惡意軟件是防不住的，部分原因是，世人普遍覺得黑客都非常聰明，異于常人，是超級天才，擋也擋不住。好萊塢電影實際上對這種不切實際的情況起到了推波助瀾的作用，在這些電影里，黑客們輕松地就能猜出任何系統(tǒng)的密碼，就能夠控制全世界的計算機。電影里的黑客比其他人都聰明，按幾下按鍵就能發(fā)射核導(dǎo)彈，抹掉人們的數(shù)字身份……等等。

之所以有這種錯誤觀念，是因為大部分被黑客攻擊或者感染了惡意軟件的人既不是程序員也不是IT安全人員。對他們來說，這些都不可思議，必須要有萊克斯·盧瑟（電影《超人》系列中的超級反派角色）那樣的超能力才行。

現(xiàn)實情況是，大多數(shù)黑客都是普通人，他們的智商一般，在愛因斯坦面前，他們就是水管工和電工。黑客們只需知道怎樣采用前輩們留下的某種工具來完成某一項任務(wù)，當然這不是水管工和電工干的活，而是計算機黑客。這并不是說沒有非常出色的黑客，但和其他行業(yè)一樣，這類黑客非常少，屈指可數(shù)。不幸的是，所有黑客都異于常人這種誤解進一步讓人覺得黑客是無法擊敗的。

3.IT安全部門知道該怎么解決問題

這可能是有待于消除的最關(guān)鍵的誤區(qū)。很多IT安全部門人才濟濟而且工作非常努力，但卻真的不知道他們應(yīng)該做些什么。大多數(shù)情況下，他們所從事的工作并沒有大幅度降低安全風(fēng)險。因為他們不知道，他們在錯誤的地方投入了太多的資源來對付錯誤的東西。

可悲的事實是，很少有IT安全部門有真實的數(shù)據(jù)來支持他們所發(fā)現(xiàn)的實際問題。如果首席執(zhí)行官私下里單獨詢問IT安全部門，他們的企業(yè)面臨的最大威脅是什么，那么首席執(zhí)行官可能會震驚地發(fā)現(xiàn)沒有人知道真正的答案。即使有人給出了正確的答案，也不會有數(shù)據(jù)來支持自己的答案。相反，IT安全部門的員工們對于什么是最嚴重的問題各持己見。如果IT安全部門不知道最大的問題是什么，那么他們怎么能高效地對抗最大的威脅呢？

4.安全合規(guī)等同于更好的安全

首席執(zhí)行官們在專業(yè)層面上和個人層面上都要確保他們的企業(yè)符合所有法律和法規(guī)的要求。今天，很多企業(yè)都要面對多個而且有時候是相互沖突的IT安全要求。所有首席執(zhí)行官們都知道，如果他們履行了合規(guī)義務(wù)，專業(yè)人士們就認為他們是“安全的”，或者至少在法律上可以被解釋為是安全的。

然而，合規(guī)所要求的與安全所要求的并不一樣，有時甚至與真正的安全要求相沖突。例如，現(xiàn)在我們知道，以前一直存在的密碼策略要求，包括使用長而且復(fù)雜的密碼，還必須在一年內(nèi)經(jīng)常更改這些密碼，這些要求比使用從未改變的簡單密碼會帶來更大的安全風(fēng)險。很多年前我們就知道這些了。在過去幾年中，包括NIST出版物在內(nèi)的大部分“官方”密碼建議的確都是如此。

很多IT安全人員和首席執(zhí)行官還不知道這些。即使他們知道，他們也不能遵循更新、更好的密碼指南。為什么？ 因為目前的監(jiān)管要求都沒有進行更新，以遵循新的密碼指南。再重申一次，合規(guī)并不總是等同于安全。有時候，情況恰恰相反。

5.補丁是受控的

大多數(shù)首席執(zhí)行官認為他們的補丁都是受控的。所謂“受控”，我的意思是軟件的補丁程序是100%最新的或者接近最新。相反，在我30多年的IT從業(yè)經(jīng)驗中，從來沒有過打好所有補丁的計算機或者設(shè)備。從來沒有，一個也沒有。特別是那些非常安全的設(shè)備，比如路由器、防火墻和服務(wù)器等，大家都認為這些設(shè)備應(yīng)該很好地打了補丁。很多IT安全部門可能會告訴他們的首席執(zhí)行官補丁打的“近乎完美”，可能高達90%，但“細節(jié)是魔鬼”。

高比例的原因在于：很多企業(yè)都有成百上千需要打補丁的程序。大部分程序不需要打補丁，不是因為沒有漏洞，而是因為攻擊者不會去攻擊它們。不用去找這些漏洞，也不用給這些漏洞打上補丁。

在大多數(shù)企業(yè)中，10到20個未打補丁的程序極有可能帶來被黑客攻擊的風(fēng)險。在這些程序中，大多數(shù)程序的補丁準確率會非常高，可能只有一兩個程序打補丁的準確率沒有像其他程序那樣高。然而，就是這一兩個沒有打好補丁的程序給很多企業(yè)帶來了巨大的風(fēng)險，但如果你只看數(shù)字本身，可能看起來補丁打得很好。

舉個例子。假設(shè)一家企業(yè)只有100個程序要打補丁。在這100個程序中，只有一個程序打補丁的比例很低，比如說只打了50%的補丁。那么打補丁的整體比例為99.5%。這似乎很好，但數(shù)字真正的含義是，一半的計算機是有漏洞的，沒有打上補丁，而更有可能的是，某一個只打了一半補丁的程序便是黑客用來闖入企業(yè)的未打補丁的主要程序之一。

我甚至沒有提及大量未打補丁的硬件、固件和驅(qū)動程序，很多企業(yè)甚至不打算去給它們打上補丁。它們通常不包括在補丁報告中。如果包括它們在內(nèi)，補丁比例看起來更糟糕。最近，黑客們更頻繁地攻擊硬件和固件。這不是巧合。

6.給員工的安全培訓(xùn)足夠了

很多企業(yè)面臨的兩大威脅之一是社會工程，通過電子郵件或者網(wǎng)絡(luò)瀏覽器進行攻擊，有時甚至通過打電話進行。如果只考慮造成嚴重損害的主要攻擊，那么社會工程可能涉及99%的案例。在過去20年里，我只知道唯一的一個案例，企業(yè)被攻破與社會工程無關(guān)。很多IT安全部門都會贊同我的觀點。

然而，很多企業(yè)每年只花不到30分鐘的時間進行社會工程方面的培訓(xùn)。計算機安全防御領(lǐng)域認為這是大部分企業(yè)存在的兩個主要問題之一（另一個是未打補丁的軟件），但幾乎沒有企業(yè)去改正。相反，員工并沒有得到足夠的培訓(xùn)來阻止社會工程攻擊，無論企業(yè)做了什么，也無論企業(yè)投入多少資金和其他資源，企業(yè)都會繼續(xù)被黑客成功地攻擊。

上面討論的所有這些誤區(qū)進一步強化了第一個誤區(qū)：黑客和惡意軟件是無法阻止的。這就形成了一個無用的基本底線，所有IT安全策略都是在此基礎(chǔ)上進行討論的。如果你是一名首席執(zhí)行官（或者首席安全官，或者首席信息安全官），覺得這篇文章有些夸張，那么我建議你問一下自己的IT安全部門：“我們最大的威脅是什么，有沒有數(shù)據(jù)支持你的觀點？”私下里分別問一下安全部門每一名員工這個問題。你得不到一個一致的答案，也沒有支持他們觀點的數(shù)據(jù)。如果不能就最大問題是什么達成一致，那怎么能有效地解決問題呢？