九種行不通的IT安全做法
來源:網(wǎng)界網(wǎng)
摘要: 事實(shí)上,,大多數(shù)IT安全產(chǎn)品和技術(shù)并不能提供其廣告中宣傳的那種安全保護(hù)水平,,使我們面臨著比想象中更大的威脅,。并且,,傳統(tǒng)IT安全主要采取鼴鼠戰(zhàn)術(shù)(引申意思是監(jiān)視與打擊)來處理威脅,,使我們無法應(yīng)對(duì)創(chuàng)新的惡意軟件,。以下是9個(gè)常見IT安全做法和產(chǎn)品,,它們并不能提供你所想象的保護(hù)水平,。
Abstract:
Key words :
你最依賴的安全產(chǎn)品和技術(shù)并不一定能保護(hù)你
事實(shí)上,,大多數(shù)IT安全產(chǎn)品和技術(shù)并不能提供其廣告中宣傳的那種安全保護(hù)水平,,使我們面臨著比想象中更大的威脅。并且,,傳統(tǒng)IT安全主要采取鼴鼠戰(zhàn)術(shù)(引申意思是監(jiān)視與打擊)來處理威脅,,使我們無法應(yīng)對(duì)創(chuàng)新的惡意軟件。
以下是9個(gè)常見IT安全做法和產(chǎn)品,,它們并不能提供你所想象的保護(hù)水平:
行不通的安全方法No. 1:防病毒掃描可能無法發(fā)現(xiàn)真正的網(wǎng)絡(luò)威脅
傳統(tǒng)的防病毒掃描最早出現(xiàn)在20世紀(jì)80年代,。在那之前,如果你懷疑你有特定的惡意應(yīng)用程序,,你需要使用專門為該惡意軟件建立的檢測(cè)程序來對(duì)付它,。
在20世紀(jì)90年代初,這些防惡意軟件掃描儀能夠檢測(cè)出每個(gè)病毒,、蠕蟲病毒和木馬程序,當(dāng)時(shí)的病毒種類和數(shù)量并不多,。
然而,,現(xiàn)在的攻擊者每個(gè)月都會(huì)推出成千上萬種新惡意程序,這并不是任何單個(gè)防病毒程序能夠檢測(cè)出的,。盡管幾乎所有防病毒軟件供應(yīng)商都聲稱他們的產(chǎn)品可以100%地檢測(cè)常見惡意軟件,,并且,他們還能向你展示證明這種難以置信的精準(zhǔn)度的證書,,但事實(shí)并非如此,。
我們都不斷面臨著我們的防病毒引擎無法檢測(cè)出的新惡意軟件。即使你將惡意軟件樣本提交給防病毒引擎網(wǎng)站(例如VirusTotal),,這些防病毒引擎經(jīng)常會(huì)錯(cuò)過這些新惡意軟件樣本,,有時(shí)候長達(dá)幾天。甚至,,幾周后,,防病毒引擎仍然無法檢測(cè)這個(gè)木馬或蠕蟲病毒。
行不通的安全方法No.2:防火墻只能提供很少的保護(hù)
與防病毒掃描相比,,防火墻保護(hù)正變得更加不相關(guān),。為什么呢?因?yàn)榇蠖鄶?shù)惡意軟件是通過誘使最終用戶運(yùn)行其桌面禁止的程序,因而繞過了防火墻保護(hù),。此外,,惡意程序使用端口80或443來“撥號(hào)”,而這在防火墻中總是打開的,。
大多數(shù)人在外圍,、桌面部署多個(gè)防火墻,以及過濾應(yīng)用程序,,但所有這些主機(jī)端口隔離都行不通,。
行不通的安全方法No.3:漏洞修復(fù)并不是靈丹妙藥
多年以來,,我們聽得最多的安全建議就是及時(shí)修復(fù)漏洞。所有軟件都有多個(gè)漏洞,,必須及時(shí)進(jìn)行修復(fù),。盡管存在各種修復(fù)管理系統(tǒng),但不知出于何種原因,,這些系統(tǒng)并不能提供其承諾的完美修復(fù),。
很多時(shí)候,并不是修復(fù)管理軟件的問題,,而是管理者的問題,。他們只是修復(fù)了一些漏洞,但卻漏掉了最主要的目標(biāo),,例如Java,、Adobe Reader、Flash等,?;蛘哒f,他們沒有及時(shí)修復(fù)漏洞,。所以,,總是存在漏洞。即使是在最好的情況下,,大部分人修復(fù)漏洞都需要花幾天或幾周,,但惡意軟件只需要幾分鐘或者幾小時(shí)。
行不通的安全方法No.4:最終用戶教育只能得F
自個(gè)人電腦出現(xiàn)以來,,我們就提醒用戶不要從其軟盤驅(qū)動(dòng)器中的磁盤來啟動(dòng),,不要允許意外的宏運(yùn)行,不要點(diǎn)擊可疑的文件附件,,還有,,不要運(yùn)行可疑的殺毒軟件清理程序。盡管如此,,這無濟(jì)于事,。
如果我們的最終用戶教育政策成功的話,我們?cè)缇蛽魯」粽吆秃诳土?。根?jù)最近的趨勢(shì)來看,,最終用戶的安全意識(shí)比以往任何時(shí)候都要糟糕。社會(huì)工程木馬(誘使最終用戶運(yùn)行惡意程序)是迄今為止最大的威脅,。大多數(shù)最終用戶很容易在社交媒體網(wǎng)站泄露其所有隱私信息,,而他們完全沒有考慮過后果,這可能讓他們成為攻擊者的目標(biāo),。
對(duì)于大多數(shù)最終用戶教育計(jì)劃,,最終用戶教育變成被迫的不必要的苦差事,。并且,培訓(xùn)課程很隨意地開展,,通常并不包含與最新攻擊相關(guān)的信息,。如果誘騙最終用戶運(yùn)行木馬程序的頭號(hào)方法是通過假的殺毒軟件,你會(huì)告訴你的員工真正的殺毒軟件長什么樣子嗎?為什么不呢?
這種員工教育的缺失使IT系統(tǒng)處于危險(xiǎn)之中,。平均來說,,最新威脅出現(xiàn)在最終用戶教育計(jì)劃中需要兩年時(shí)間,而攻擊者只需要一分鐘就可以改變攻擊方法,,這讓我們整整落后了兩年,。
你知道比最終用戶教育更好的安全方法嗎?更安全的軟件和更好的默認(rèn)提示。不要期待最終用戶作出正確的決定,,而應(yīng)該為他們做決定,。
最終用戶教育是永遠(yuǎn)無法完成的工作,因?yàn)橹灰幸粋€(gè)人,,一個(gè)錯(cuò)誤就可以感染整個(gè)公司,。但你可以通過提供更好更有針對(duì)性的最終用戶教育來降低風(fēng)險(xiǎn)。
行不通的安全方法No.5:密碼強(qiáng)度無法保護(hù)你
這是經(jīng)常聽到的安全口頭禪:創(chuàng)建一個(gè)高強(qiáng)度密碼,,并且定期更換。但事實(shí)上,,很多用戶在多個(gè)網(wǎng)站和安全領(lǐng)域使用相同的密碼,,并且用戶還可能向隨機(jī)電子郵件透露他們的密碼,很多最終用戶根本不那么關(guān)心他們的密碼安全,。
現(xiàn)在更大的問題是,,大多數(shù)攻擊者也不在乎安全密碼。他們誘騙最終用戶運(yùn)行木馬程序,,然后獲得管理員權(quán)限,,獲取密碼哈希值。
行不通的安全方法No.6:入侵檢測(cè)系統(tǒng)無法確定攻擊者意圖
入侵檢測(cè)系統(tǒng)(IDS)是你愿意相信的安全技術(shù)類型,。你定義了一堆“攻擊”簽名,,如果入侵檢測(cè)系統(tǒng)檢測(cè)出網(wǎng)絡(luò)流量中存在相關(guān)字符串或者行為,它就會(huì)發(fā)出警告或者阻止攻擊,。但與其他安全技術(shù)一樣,,入侵檢測(cè)系統(tǒng)并沒有那么好用。
首先,,沒有辦法將所有有效的攻擊簽名堆在你的企業(yè)中,。最好的入侵檢測(cè)系統(tǒng)可能包含數(shù)百個(gè)簽名,但存在數(shù)以萬計(jì)的惡意程序企圖攻擊你的系統(tǒng),。你可以自己向IDS添加數(shù)以萬計(jì)的簽名,,但這回減慢所有監(jiān)控的流量,。另外,IDS已經(jīng)出現(xiàn)很多誤報(bào)時(shí)間,,所有警報(bào)都被像防火墻日志那樣處理:被忽視和未讀,。
IDS的失誤是因?yàn)榇蠖鄶?shù)攻擊者都搭載合法訪問中。IDS如何能夠分辨CFO查詢其財(cái)務(wù)數(shù)據(jù)庫和國外攻擊者使用該CFO的計(jì)算機(jī)訪問相同的數(shù)據(jù)庫呢?它們不能,,根本沒有辦法判斷查詢的意圖,。
行不通的安全方法No.7:PKI已經(jīng)被破壞
公共密鑰基礎(chǔ)設(shè)施很好用,但問題是很多PKI并不安全,,而且大多被忽略,,甚至當(dāng)它們?cè)诠膊块T完美運(yùn)行的時(shí)候。
在過去一年或者兩年中,,我們已經(jīng)看到幾個(gè)合法公共證書辦法機(jī)構(gòu)遭到攻擊,,使攻擊者能夠訪問其簽名密鑰,這原本應(yīng)該是最需要受到保護(hù)的信息,,并且,,攻擊者能夠發(fā)布欺詐密鑰來用于其他攻擊。
即使PKI仍然強(qiáng)大和完美,,人們并不在乎,。大多數(shù)最終用戶當(dāng)看到瀏覽器警告說“數(shù)字證書不可信任”時(shí),他們?nèi)匀粫?huì)點(diǎn)擊“忽略”按鈕,。他們很高興地繞過安全帶來的不便,,并繼續(xù)流瀏覽網(wǎng)頁。
部分問題在于使用數(shù)字證書的網(wǎng)站和程序并沒有認(rèn)真對(duì)待數(shù)字證書,,導(dǎo)致每天都會(huì)發(fā)生證書錯(cuò)誤消息,。而如果最終用戶不忽略數(shù)字證書錯(cuò)誤信息的話,他們將無法繼續(xù)其網(wǎng)絡(luò)生活,,有時(shí)候包括遠(yuǎn)程訪問其自己的工作系統(tǒng),。瀏覽器供應(yīng)商可以對(duì)數(shù)字證書錯(cuò)誤進(jìn)行整治,使網(wǎng)站或者服務(wù)不會(huì)出現(xiàn)任何錯(cuò)誤,,但客戶可能會(huì)選擇另一個(gè)瀏覽器,。最終,每個(gè)人都愉快地忽略我們的公共密鑰系統(tǒng),,大家都不在乎PKI,。
行不通的安全方法No.8:你的設(shè)備是攻擊者的夢(mèng)想
設(shè)備的主要優(yōu)勢(shì)(提高安全性)并沒有顯現(xiàn)出來。通過部署一個(gè)較小的OS足跡(通常是鎖定版本的Linux或者BSD),,設(shè)備將會(huì)比運(yùn)行傳統(tǒng)操作系統(tǒng)的全功能電腦更加安全,。然而,在超過十年的安全設(shè)備測(cè)試中,,只出現(xiàn)過一個(gè)不包含任何已知公共漏洞的設(shè)備,。設(shè)備只是在封閉的硬盤驅(qū)動(dòng)器或固件上的操作系統(tǒng),,這些設(shè)計(jì)很難以即使進(jìn)行漏洞修復(fù)。
例如,,上周在針對(duì)一家財(cái)富100強(qiáng)公司的測(cè)試中,,我們發(fā)現(xiàn)每個(gè)無線網(wǎng)絡(luò)控制器都有未修復(fù)的Apache和OpenSSH服務(wù),這些漏洞可能讓攻擊者通過公共無線網(wǎng)絡(luò)作為管理員進(jìn)入其內(nèi)部企業(yè)網(wǎng)絡(luò),。他們的IDS和防火墻設(shè)備包含公共腳本(很早以前就被發(fā)現(xiàn)存在遠(yuǎn)程繞過漏洞),,且他們的電子郵件設(shè)備正在運(yùn)行允許匿名上傳的不安全的FTP服務(wù)。
這些結(jié)果讓我們很驚訝,。設(shè)備通常包含與軟件相同數(shù)量的漏洞,,但它們更難以修復(fù)。除了作為被硬化的安全設(shè)備外,,它們也是攻擊者的夢(mèng)想,。
行不通的安全方法No.9:沙盒提供到底層系統(tǒng)的直接路徑
安全沙盒的目的在于讓針對(duì)軟件的漏洞利用不可能實(shí)現(xiàn)或者至少更難執(zhí)行。事實(shí)上,,安全沙盒并沒有發(fā)揮這個(gè)作用,。
目前,最大的安全沙盒可能是Java和谷歌的Chrome瀏覽器,,而它們都遭受了100次漏洞利用,,并允許對(duì)底層系統(tǒng)的直接訪問。然而,,這并沒有阻止這些夢(mèng)想家追求能夠阻止所有漏洞利用和電腦病毒的沙箱,。
很多安全方法和產(chǎn)品名不符其實(shí),企業(yè)應(yīng)該在眾多解決方案中作出選擇,,選出能夠真正降低風(fēng)險(xiǎn)的解決方案。
此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載,。