6月9日外电头条：为什么1000万$的补丁不如100$的策略

【51CTO快译】如今企业安全的决策似乎更多是靠道听途说而不是根据实际数据，靠条件反射而不是严密的逻辑，最近在纽约举行的Cyber Infrastructure Protection '09 (CIP 09)
大会上，ISCA实验室创始人，Verizon Business的Peter Tippett博士在发言中表示了他的不满。“企业安全属于信息科学，而我找不到科学的影子，”他说，“只看到大量的工程。”航空安全的发展经验表明，依靠科学可以比工程学得到更多的安全性。与五十年前相比，如今的空中旅行已经安全了5000倍。他说，对于安全性来说，数据积累比技术创新更为至关重要。“技术创新将安全性提高了10倍，而在流程方面则提高了500倍。如今的飞机仍然可能会坠毁在山谷里，
但是我们在流程中加入了数以百计的统计数据与分析，让这架飞机不太可能飞进山谷。”最
新的Verizon Business数据破坏调查报告已经发布，其中详细描述了90个安全漏洞的实际调查结果，Tippett说，他的数据可用于企业安全策略，使之更加安全。密码一直是企业安全的焦点问题，他说。“虽然较长的密码可以更好保护一台计算机，但网络上的情况却不一样。一般你会把电脑设定为三次猜测密码失败后锁定，但黑客却不会傻到去猜你们大学足球队的名字。”他补充说，在一个一万台电脑的网络，黑客可以在一二个小时内猜中80%的
五个字符的密码，九个字符的密码相对安全一些，可以猜中20%到30%。“你能说两千台电脑被攻破的网络就比八千台电脑被攻破的网络更安全吗？”有兴趣的朋友可以看下51CTO以前发布的：使用Ophcrack破解系统Hash密码没必要
那么急着打补丁Tippett也对另一项安全观点发起了攻击：即计算机的漏洞必须立即打上补丁，否则就会受到零日攻击等快速破坏。他指出，目前的补丁计划总是优先考虑那些严重的漏洞，比如那些让攻击者有机会接管机器的漏洞。而Verizon Business调查则显示没有人使用了零日攻击，而且事实上只有3%的应用漏洞被利用。51CTO编辑点评：个人觉得Verizon Business的调查持怀疑态度，因为不管是在国外还是国内，零日攻击的比重都是相当大的。面对打满补丁的系统和尽心尽责的系统管理员，不用0day怎么容易打的下来？“大多数攻击其实瞄准的是那些不那么关键的安全漏洞，而并不是关键的漏洞，”他补充说。他还指出虽然调查中没有发现僵尸网络参与散布恶意软件，但有些僵尸网络被用来扫描网络漏洞。“你可以不停的给机器打补丁，但安全性并不会成比例的提高，”他说。“有许多公司为此每年多支出1000万美元，而他们本来没必要这样做。”相反，企业可以专注于其他方面，那些目前做得还不好的地方。“比如有件事只需要你花3分钟（第一次做可能是15分钟）。剪切并粘贴你的使用记录，在路由上创建一个出口筛选（egress filter）。这样就能将对你的攻击的成功可能性降低80%，而且还是免费的。我们说这件事已经有两年了，可只有2%的人这样做，即使它可以5倍降低攻击的机会。”51CTO编辑点评：这个还是挺有效果的，拿早期的冲击波病毒来说吧，当时笔者就见到机房的网络工程师预先在路由上做了限制，直到微软发布补丁的期间，笔者所维护网段没有一台机器中招。还有一个问题是有些安全专家
认为每一层的防御都必须做到完美，而并不愿意采取措施来按百分比减少威胁。“安全问题不是只有是或否两个答案。大多数攻击是类似的。因此即使是很便宜的防火墙，如果能够降低50%的威胁也是不错的，”他补充说。Tippett说，许多企业可能实施三个安全措施，每个都能做到90%有效，而每个成本都在10万美元。如果风险价值1000万美元，第一个措施能使风险降低到100万美元，这是完全值得的。第二个措施能使风险降低到10万美元，仍然是值得的。但是，第三个措施的10万美元就只能带来9万美元的好处了。“对于第三个措施，你可以花5万美元来减少80%的风险，而不一定要做到90%，”他说。控制远程访问相对于不断的打补丁，企业应该把更多的精力放在控制远程访问上。“许多企业每年花费超过1000万美元来保护他们的关键应用，但却花不到100美元来寻找PCAnywhere有没有安装在不该出现的地方。在这上面他们本应花得更多一点。”Tippett说。另一个造成补丁策略失败的原因是有很多被损害的系统从未被修补。报告中说，平均来说，一个补丁从漏洞被发现到真正可用需要两年半的时间。“通常情况下，罪犯们会去寻找非关键的系统比如HVAC。他们不希望把事情搞大，他们想要的是钱。因此他们会安装keylogger、scanner和木马软件，并从
那里感染其他系统”，Tippett说。从大方面也可以看到企
业开支的分配不当。“罪犯们窃取的数据有99.9%是来自于服务器，只有0.01%来自终端用户系统，但企业在终端的安全预算也占到了约50%，”他说。“他们应该更多
的确保服务器的安全。”对于笔记本来说，密码保护基本上够用。他说，企业用户的笔记本加密有三种选择：文件级加密，这是免费的；启动后加密，这有点贵；还有启动前加密，这会增加笔记本的启动时间几乎五分钟，还会造成蓝屏。许多企业使用启动前加密，因为一年前出现过针对启动后加密的攻击。Tippett指出，这种攻击主要是从被冻结的RAM中提取数据，
所以对大多数公司来说并不算是常见的情况，文件级加密应该已经足够，也应该能让用户满意。