在拉斯维加斯Interop会场上,一位安全专家告诫与会者:公司的IT负责人必须注意影响到公司网络安全的七个安全产业内的小秘密。
虽然IBM/ISS本身也是一个安全服务提供商,其首席安全策略师Joshua Corman还是在会上说:"对于安全产品和服务提供商试图想要告诉你的东西,最好是保持立度的怀疑。他沿用1960年代Ralph Nader针对汽车安全出版的书《任何速度都不安全》来作为他演讲的标题:"任何速度都不安全,安全产业七个肮脏的秘密"。Nader讽刺汽车制造商针对汽车安全所做的改造都是一些花拳绣腿,没有实质性的提高。
安全厂商们时不时将其研发的投资用于管理界面而非更多的安全功能,他们更倾向于仅在客户强烈要求时才增加这样的安全功能。Corman说道:"安全厂商的目的是赚钱,而不是让用户更安全。"他说这是安全厂商的第零号肮脏的秘密。其他的七个分别为:
1、安全认证具有极强的误导性
安全认证标准经常确认说相应的产品能够100%地阻挡所有的可复制恶意代码。然而被捕获到的恶意代码中有75%是不可复制的,例如木马。当标准设定之后,Corman说:"不可复制的恶意代码仅占恶意代码的5%"。认证意味着一个产品只能捕获100%恶意代码中的25%.
2、没有安全世界
厂商常说网络世界必须设置防御,但大部分数据丢失其实并非经由防火墙,一半的数据丢失其实是经由丢失的笔记本电脑或其他移动设备。企业必须加强其商务流程的管理,如同他们加强其网络边界的管理一样。他说:"如果你继续相信网络世界,就像是你相信圣诞老人一样。"
3、风险评估威胁到安全厂商
安全厂商希望企业买他 们所卖的,这样他们能推动阻挡特定威胁的产品。例如,NAC能解决一些实际的问题,但是如果此类问题对企业来说并不会对其主要业务产生大影响,那就根本不 需要予以考虑。Corman说:"风险评估应能确定改进业务流程或固化配置是必须的,你需要了解所处的环境和大的优先级。"
4、弱的软件之新还有更多的风险
安全厂商力推如何保护 和修复软件的漏洞,但是Cormen说这些问题仅占被成功利用的漏洞的一部分。弱口令、弱配置,特别是缺省配置,以及易被社会工程突破的缺乏安全意识的人 才是最大的问题。Cormen说:"即使软件是完美的,仍有病毒木马会肆虐,他们其实并不完全依赖于软件问题。"
5、安全规范威胁到安全
安全规范本身并不是一 件坏东西,但是遵从政府制定的标准,例如:HIPAA或行业的标准如PCI并不是以使你的网络更安全。问题在于政策法规制造了规范要求与网管认为对业务来 说最需要做的事之间的落差,影响到预算和资源的投入。遵从这样的标准,同时意味着可能引发针对此类相同防御的可能攻击能被实施。他说:"如果PCI告诉他 们防御重点在什么地方,那攻击者就能轻易绕开。"
6、厂商的盲点可能导致Storm类蠕虫病毒的再度爆发
公司层的防御能利用行 为检测等技术锁定到僵尸网络,但是个人用户网络并未受到保护。行为检测到技术或异常行为分析等在个人安全产品上的运用可以起到一定的保护作用,然而一方面 由于此类技术仍存在技术不足和盲点,另外仍有大量未使用此类技术的用户,Storm这样的蠕虫病毒仍然有爆发的可能。
7、安全DIY已不再
安全厂商力图使用户相信,安全由于其复杂性使得用户已不能独自面对,但是由于不同业务的安全需求的不同特点,仅仅选择产品是不够的。Corman说:"仅有对的工具仍然是不够的,还需要针对环境实行正确的安装配置。"所以需要IT的专业人员来完成这样的工作是最好的。
更多内容请看路由安全配置专题、网络管理实用手册、系统安全设置专题,或进入讨论组讨论。
相关专题
- “QQ广东第一号”是个什么号 (306次浏览)
- 如何成为一个真正的程序高手? (226次浏览)
- 网络新文化:最牛古汉字“囧” (215次浏览)
- 走出校门应该做什么? (199次浏览)
- 十个习惯 让你精通新的开发技术 (109次浏览)
- 收费高服务差 中国宽带为何排在世界30名之后? (99次浏览)
- 个人从事设计行业40句观感 (94次浏览)
- 有些道理在青春里渐渐明了 (87次浏览)
- 我在博客过程中学到的99件事 (85次浏览)
- 中国宽带啥时才能真正宽起来 (80次浏览)
