信息安全从业者必须接受的六个事实

本文讲的是 信息安全从业者必须接受的六个事实,世界上几乎每一家大型企业都有着各种各样数量繁多的漏洞,对于任何IT行业内的人而言,这并不是什么爆炸性消息,早已司空见惯。

现实情况是,不论花费多少资金,完全消灭系统漏洞是不可能的。但公司可以把信息安全防御方面的预算主要花在防止黑客可以利用的日常漏洞。道理很简单:如果安全防御层级足够复杂,坏人就会转而寻找其它更容易得手的目标。

坦白的说,任何信息安全解决方案都不像它们在广告中说得那样好。任何“保证安全,高端的安全系统”都注定要失败。安全和IT厂商承诺的目标或多或少都有水分,不断地投入努力才是企业力所能及的切实举措。

以下六个IT安全事实不仅解释了为什么如今的安全解决方案都以功亏一篑告终,还在一定程度上阐述了如何通过不完美的安全解决方案,减少被入侵的可能并最小化之后的损失。

一、没有100%的部署
如果不能在环境中的每一台设备上都安装对应的软件,就很难布置绝对可靠的防御体系。安全解决方案只工作在一小部分平台和软件版本上,而这一小部分子集总比顾客拥有的要小。有些解决方案并不支持已经过时的设备和操作系统,而另一些可能无法跟上最新的操作系统和设备的脚步。

如果用一句话来描述如今这个复杂的BYOD(人人自带设备办公)场景,那就是维护网络安全这件事情的难度级别已经从困难变成了不可能。安全厂商们关于不支持所有平台的说法算不上什么,事实上应该说,没有人,哪怕是从事IT行业的企业,也不可能理解所有连接到你网络上的设备。它是手机、笔记本、平板,还是超极本?它运行Windows、Linux、OS X,还是没人听过的个人化操作系统?如果它是虚拟机,它明天还会存在吗?它运行在公司主机上还是某人的个人设备上?它属于公司还是其它承包商?

即便是对于支持这些设备和平台的方案而言,设备发现和部署情况也不是完美的。你的解决方案永远不可能覆盖到百分之百的设备,因为其中存在无数问题,包括网络或网站的连接、防火墙的封锁、离线资产的保护,受损的注册表或本地数据库,独立的安全域,以及操作系统版本变化等问题。

另外,还有政治和管理上的拦路石,它们通常被称作OSI模型的第八层。由于存在着管理壁垒、业务单元,以及那些默认具有豁免权的部门,即使你已经有了一个关于保护公司资产的绝佳方案,也很有可能无法实施它。

因此,IT安全必须面对的事实是,有一部分设备可能永远也不会安装安全软件。不过至少并且很重要的一点,是所有安全解决方案都会告诉你哪些设备成功安装了安全软件而哪些并没有,这使你可以寻找其中的共同点,并让自己的软件尽可能在更多的设备上安装。

然而,安装软件仅仅是第一个挑战。

二、缺乏人手
下面的场景屡见不鲜:

一个企业购买了一个“伟大”的信息安全解决方案,然后要么从未部署过,要么在正确部署它的过程中失败。评估和争论一项信息安全大订单往往会浪费几个月时间,购置后却被扔在了某个角落里,连盒子都没有打开。

更不幸的情况在于,孤独的IT人员被告知需要部署新的解决方案,尽管他的日常关键任务已经超过负荷,而这些“关键任务”才是他真正的工作内容。这位可怜的员工尽其所能在几天之内完成了英雄般的壮举,并摇身一变成为公司设备和威胁防护方面的“专家”。他会尽最大的努力配置设备,并在接下来的几天或者几周内在交出一份勉强过得去的答卷。

之后,他日常的关键任务恢复正常,监控这些新型酷炫安全工具的时间越来越少。而与此同时,这些新上马的安全设备会发出一个接一个的警报,他没有时间去追查分析这些警报的真假,只好让这些警报与其它缺乏监控的设备发出的警报一样成为“噪音”(Verizon的数据泄露调查报告显示,70~90%的恶意事件本来可以被避免,因为现有的日志和警报已经发现了它们。而考虑到几乎不可避免的缺乏对这些信息的调查分析工作,恶意事件的必然发生毫不意外)。

信息安全设备从来就不是全自动化的。它们需要配备正确的团队、资源、关注度来实现它的设计目标。企业往往在购买安全资产方面很慷慨,但却恐惧增加运营费用和工作人员。这意味着是企业自身的失败,不要让自己陷入其中。因此要在购买任何安全技术方案之前,确认自己拥有与之匹配的人力资源。

三、防不胜防
假设一家公司拥有1000台web服务器,其中的999台都完美地打上了补丁并正确地配置。而黑客只需打开漏洞扫描器,指定正确的域名或IP地址范围即可。扫描1000台服务器与扫描1台服务器用时的差别并不大。典型的漏洞扫描会发现每个服务器上的一个漏洞甚至更多,当扫描结束时,黑客就可依据扫描结果来看菜下碟了。

这种防不胜防的恶意扫描尝试,如今在通过Email传播的恶意软件场景中更加明显。黑客向大量员工发送带有恶意软件的信息,总有一个人会打开电子邮件并盲目地跟从其中的每一条指令。根据一些培训机构的统计,在对企业员工进行的反钓鱼培训测试中,通常大概在25%到50%之间的员工在第一轮测试中上钩。尽管上钩率会随着培训测试的反复有所下降,但总有一些人还是会“愿者上钩”。

公司的部门人员结构越复杂,就越难构建防御体系。近年来的一些大型黑客事件有好多都源于企业的承包商。比如被已经被安全界提过无数次的塔吉特被黑事件,其被入侵的跳板就是一家采暖通风和空调系统的承包商。

有时,攻击者会紧跟着你最信任的保护措施而来。在一次堪称有史以来最复杂的入侵事件,一个高级黑客组织攻破了在安全方面长期受到赞誉的安全公司RSA。黑客的攻击点集中在几种未打补丁的旧软件上。然后发送了一份带有恶意代码的电子表格文件,最终突破了公司的防御体系。

之后的调查显示,RSA的员工在打开恶意信息的过程中至少收到了5次警告提醒。这些消息告诉他们收到的信息有可能是恶意的,而且在每一个警告窗口下,用户都需要选择不同的答案来绕过报警。但攻击者依然偷到了RSA公司可信级非常高的身份认证密钥,并利用获得的信息盗取他们的终极目标。包括美国军工巨头诺斯洛普格鲁曼公司和洛克希德马丁。

这个故事告诉我们,即便企业对漏洞的检测和修补已经做到极致,但也可能因无法保证商业合作伙伴的安全而被黑客击败。

黑客的得天独厚的优势在于,他只需要使用扫描工具尽可能多的记录你系统中的设备和软件信息或称指纹,然后等待某个厂商发布关键补丁。不论企业在修补漏洞方面做得多快多好,他们也不大可能比得上伺机而动并在短时间内一剑封喉的刺客。

四、魔高一丈
防御者,顾名思义,是被动的。在数字空间中,防守者始终慢于攻击者。IT和安全行业往往需要两到三年时间来彻底解决一个新的威胁,而攻击者在此之前就会转移到新的攻击形式上。

回溯上个世纪的80年代末,引导区病毒曾大行其道。之后人们花了几年的时间才具备重启电脑前拔出软盘的操作意识和习惯。事实上,直到软驱消亡,引导区病毒才随之而去。但现在的USB自启动病毒,做的是同样的事情。而早在90年代流行的宏病毒让我们花了十年时间告诉人们不要随便打开文件附件,尤其是在来历不明的情况下。但如今我们还在提醒人们理解这种安全操作习惯。

攻击者会对他们的攻击技术作出稍许改动,以便再次得手。举例而言,我们警告人们注意假的反病毒信息,但他们却被假的硬盘压缩程序所骗。我们警告人们注意更新操作系统的版本,而攻击者们却转而对知名的浏览器下手。

如今,大多数的攻击都从入侵网站上开始。人们有可能被一个其天天登录的网站所入侵。虽然各种安全意识教育都在告诉人们不要随便打开链接或可执行文件,也不要向未受信任的人或网站提交自己的登录信息。但需要多长时间才能教会人们彻底理解这些东西,仍然不得而知。

我们还没来得及学会如何阻止攻击者利用我们的电脑,他们就已经转而攻击移动设备了。在PC世界中上演的几乎每一个威胁都正在移动世界中重复。更糟的是,我们很难把经验教训从一个平台转移到另一个平台上。物联网(IOT)的普及只会加速情况的恶化。智能电视、汽车、烤面包机、可穿戴设备等,一切都会成为攻击的目标。

五、轻重混淆
计算机防御中的最大问题之一就是无法恰当地评估威胁的优先级。一家公司也许有100种入侵方法,但其中几种方法被黑客用来利用的可能性要远大于其它所有的方法。这就在评级最严重的威胁与最可能发生的威胁之间建立了一道鸿沟,而成功的防护往往属于把注意力集中在后者的企业身上。

如果让IT安全人员列出在公司中部署的所有防御策略,以及相关的经费和运行项目所耗用的人力资源,然后再列出公司最可能被入侵的途径。两者相比你会发现,这两者的答案很难统一。要是连安全人员在哪儿出了问题的都无法形成一致思路的话,又如何能期更有效地保护整个企业环境呢?

一般情况下,安全维护人员列出的头号问题是打补丁。对此而言,企业可能会有成百上千个需要打补丁的软件和系统,而攻击者经常用到的往往只是其中的两三个。但是又有多少公司会只将注意力放在那两三个软件上,而忽略其它的软件呢?几乎没有。

可以说社会工程问题仅次于补丁问题。许多企业的IT部门或保密部门都在抱怨员工的信息安全意识培训项目总是处于预算紧张的状况,因而无法定期给员工灌输最新威胁的知识以及应对技巧。大多数安全培训教育都是些过时的东西,又怎能跟得上“天才”黑客那些花样百处和与时俱进的手段呢?

好的信息安全意识培训会告诉员工企业实际使用的反病毒软件是什么或看起来像什么,以帮助用户辨别自己是否遇到了假冒的安全软件。还会告诉员工,他们更有可能被自己信任的网站感染,提醒他们不要运行来自任何网页的陌生可执行文件。与此同时,又有多少课程会通知那些总是成为入侵事件导火索的员工,以及告诉他们如何避免被入侵呢?

好的信息安全意识培训是安全防护体系极为重要甚至是最为重要的一环。

六、匿名之痛
企业购买的每个安全解决方案都只运行在一组特定的平台上,针对一组特定的威胁。就像打地鼠一样,这些软件只会盯着其中几个洞下手,解决威胁的方式也称不上完美。与此同时,狡猾的黑客却换了一个地方挖了一个新的洞。这是一场数字版打地鼠游戏,防御者永远不会赢。

在每一次攻击的背后,一个最基本的问题仍然没有得到解决。那就是网络身份的普遍匿名性。任何人都可以发送网络数据包,而服务器会不加甄别地把响应包传送回去。任何人都可以向你发送一封电子邮件,声称自己是某个谁。即,任何人都可以声称自己是任何人。这意味着,作恶的人很难被识别出来。只要这种情况延续,我们永远不可能战胜恶意的黑客。

虽然匿名也有好处。很多事例表明,相对的个人隐私应当得到保证,对于论坛和其它一些网络体系,保持参与者的匿名性可以带给运营方好处。这也是社会的一个基本真理,在此不予展开。

但很多人对无法确认身份的邮件感到恐惧,还有人由于收到了骚扰信息或针对人身的威胁而选择退出社交网络。更重要的是,如果我们有办法让参加在线交易的各方选择匿名性的具体程度,以决定交易是否继续进行,网络犯罪很可能会随之下跌,而识别甚至是起诉网络犯罪分子终将成为可能。

当然,在这方面没有什么一站式解决方案。这需要各方面的协同努力,不仅包括安全解决方案提供商,也需要大部分网民和用户的参与。然而我们都有足够的动机来作出这样的努力。防止成为僵尸网络的一分子,告别垃圾邮件,消灭恶意软件……

如果我们把关注点放在正确的防御方式上,这种局面可以发生。

时间: 2024-09-28 02:05:49

信息安全从业者必须接受的六个事实的相关文章

关于免费增值 你不可不知的六个事实

中介交易 SEO诊断 淘宝客 云主机 技术大厅 编者按:过去数月,关于免费增值到底行不行的讨论一直没有中断.IVP合伙人及研究员在花费数月采访研究37signals,Dropbox,Evernote等数家免费增值领头羊后,得到了下面六条.它传递的信号,要远远多于"免费增值"这四个字.而且你会发现,任何下面一条事实都是基于前面一条.跟前一条环环相扣的.既然我有耐心把它翻完,也请读者耐心把它读完,你会有收获的. 在过去的几个月里,关于免费增值这一商业模式到底行不行的争论可以说是相当激烈.对

四大最值得推荐的信息安全从业者认证

01.信息安全国际第一认证--CISSP 这个俗称"双SS"的CISSP认证,已经具有二十多年的历史,绝对称得上是全球安全行业最权威认证,拥有十几万持证人员,在全球范围内得到业内的认可.甚至在移民澳大利亚.加拿大和欧洲一些国家时,拥有此证还可加分.无论是做安全产品.售前工程师,还是企业内部的安全管理人员,CISSP几乎可以说是必持之证. CISSP的涉及面很广,基本覆盖了安全的各个领域,而且会根据行业新形势的变化相应加入新的内容.如目前更新的教材中,移动安全.云安全.工控安全等技术全都

2015信息安全大数据公司排名琅琊榜

近日,一份由CDO精英俱乐部发布的<2015年中国大数据公司年度排行榜>在业内广为传播.这是中国大数据行业首次极具高度和权威性的中国本土大数据企业排名榜单,通过<2015大数据公司年度排行榜>能够让我们更直观.更彻底的了解在大数据领域各企业的服务及解决方案能力情况. 排名的依据是什么? 据悉,本次年度排行花了一个多月的时间收集和整理了全国近400余家大数据公司,采用通过定量+定性的分析方式深度剖析中国大数据公司,按行业.商业应用领域和技术平台三大一级维度,五大二级维度和六十余个三级

首都网络安全日直击 永信至诚“信息安全加油站”人气爆棚

4月28日,以"网络安全同担,网络生活共享"为主题的"4.29首都网络安全日"在北京展览馆正式拉开帷幕,作为社会各界人士密切关注的网络安全盛事,本届展会一开始就展现出了堪比小鲜肉的人气实力,北京展览馆门口排起长龙,来的人络绎不绝,堪称大写的人气爆棚. 然而说起本届展会的人气王,堪比实力"暖男"的永信至诚应当之无愧.作为国内信息技术安全研究与教育培训平台中的人气爱豆,永信至诚专门为本届"首都网络安全日"准备了一系列别开生面的&q

国内车载信息安全市场 东软靠技术创新的行动力独树一帜

在2000到2015的15年间,中国汽车的产销量增长了10余倍,去年,在购置税减半政策的影响下,车市更是迎来了"第二春".中国汽车工业协会调查显示,消费者对车的"功能性需求"增长明显,中国汽车市场已经从轿车为主的单一需求,发展为更加强调功能性和个性化的多元化需求阶段,综合安全和品质的自主品牌车越来越受到消费者的青睐. 在这样的车市大背景下,"智能联网汽车"在共享经济的推动下热度不断攀升,电影中的无人驾驶场景可能很快就会出现在日常生活中.这里,不得

POST 网站登录 返回 406 无法接受

问题描述 POST地址:http://login.netgame.com(国外)第一次遇到这种情况.服务器返回:406不接受求解答! 解决方案 本帖最后由 johnwanzhi 于 2012-02-28 20:52:37 编辑解决方案二:HTTP406错误是HTTP协议状态码的一种,表示无法使用请求的内容特性来响应请求的网页.一般是指客户端浏览器不接受所请求页面的MIME类型.而MIME类型是在把输出结果传送到浏览器上的时候,浏览器必须启动应用程序来处理这个输出文档.这可以通过多种类型MIME(

个性化推荐系统的六个问题

大数据的声音,从没如此聒噪的充斥着我们周遭,而基于大数据的个性化推荐亦如是的包围着我们.以下是个性化推荐系统的一丝陋见,不破不立,止增笑耳: 1.好体验与烂体验只有一线之隔: 完全陌生的人为你推荐.筛选的资讯体验如何?微博的广场让少数人毫无兴趣,让多数人忘记它的存在:然而,传统编辑筛选新闻的模式,早已让用户接受.如此被事实做证明的模式,不可谓体验不好.由此可见,完全陌生的推荐.筛选机制,好体验与差体验只有一线之隔.如何选择KPI去评估其效果,必然与之前方法有所不同,值得PM去仔细思考. 2.是否

永信至诚助中国航信2015年信息安全技能竞赛圆满举行

日前,由中国航信工会主办,中国航信研发中心分工会承办,北京永信至诚科技股份有限公司担任技术合作厂商所举办的"中国航信2015年信息安全技能竞赛"总决赛圆满结束.国务院国资委群众工作局孔祥亮,中国航信党委书记崔志雄,中国航信党委常委.总经理肖殷洪,中国航信党委常委.副总经理荣刚,中国航信监事会主席.工会主席黄源昌全程出席并观摩了本届总决赛.经过长达4.5小时紧张激烈的角逐,来自中国航信研发中心的赵悦.李彪.李乔表现出色,一举获得了本次竞赛的一等奖.据悉,在报请国务院国资委群工局批准后,获

安全创业者修炼手册:信息安全的江湖,是属于圈内人的

雷锋网按:作者张矩,峰瑞资本董事,负责过 Google 和 YouTube数据中心的构建与运维,是 Google 中国创始团队成员和首位运维人员,参与研发和服务环境建设,也曾任 Joyent 中国区首席代表.友友系统首席运营官,以及光速安振执行董事,国内最早一批投身云计算产业的人.本文系张矩在阿里安全峰会上发表的题为<投资人眼里有"安全感"的创业者>的部分演讲内容,解析当下网络安全团队创业面临的问题和机遇,对投资人而言,到底什么样的安全创业者是有"安全感"