企業(yè)首席執(zhí)行官對于網(wǎng)絡(luò)安全的6個誤解

責(zé)任編輯:cres

作者:Roger A. Grimes

2018-04-02 17:21:42

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

企業(yè)需要一個更有效的IT安全策略嗎?如果是的話,那么就要消除企業(yè)首席執(zhí)行官和高級管理人員對于網(wǎng)絡(luò)安全的一些誤解。

企業(yè)需要一個更有效的IT安全策略嗎?如果是的話,那么就要消除企業(yè)首席執(zhí)行官和高級管理人員對于網(wǎng)絡(luò)安全的一些誤解。
 
企業(yè)的首席執(zhí)行官負(fù)責(zé)領(lǐng)導(dǎo)公司的所有戰(zhàn)略規(guī)劃和運(yùn)營,同時也負(fù)有很大的領(lǐng)導(dǎo)責(zé)任。因此,他們希望IT安全方面的工作人員聰明能干,并在正確的地方做正確的事情來應(yīng)對威脅。事實(shí)上,很多企業(yè)的首席執(zhí)行官在IT安全方面浪費(fèi)了大量預(yù)算,因?yàn)槠浒踩呗院痛胧?yīng)用在那些實(shí)際上不起作用的事情上。
 
這是為什么?
 
首席執(zhí)行官對有關(guān)IT安全方面有一些誤解,很多都是一種教條,而不是真實(shí)的知識和經(jīng)驗(yàn)。當(dāng)首席執(zhí)行官相信錯誤的事情時,就很難有效地做正確的事情。以下是很多企業(yè)首席執(zhí)行官對計(jì)算機(jī)和網(wǎng)絡(luò)安全的普遍看法。
 
1. 無法阻止黑客的攻擊
 
大多數(shù)計(jì)算機(jī)和網(wǎng)絡(luò)的防御措施薄弱,并且不得當(dāng),以至于黑客和惡意軟件可以隨意侵入。很多惡意軟件甚至在企業(yè)的IT環(huán)境中存在多年,很多企業(yè)的計(jì)算機(jī)防御措施非常糟糕并且漏洞百出,以至于首席執(zhí)行官們被告知不可能阻止黑客和惡意軟件的侵襲。他們所能做的最好的事情就是“假定違規(guī)”,在攻擊者進(jìn)入環(huán)境時及早發(fā)現(xiàn),并減緩攻擊者的入侵速度。
 
那么,人們能想象一下軍事將領(lǐng)在遭遇敵方攻擊時告訴下屬:無論他們做什么,都沒有辦法贏得勝利......這不可能,但這也正是計(jì)算機(jī)安全領(lǐng)域希望首席執(zhí)行官們具有清醒認(rèn)識的原因。
 
雖然由國家層面資助的黑客組織的攻擊很難被阻止,但企業(yè)只要正確地完成安全防御的一些部署,就可以很好地阻止大多數(shù)黑客和惡意軟件的入侵。而采用更好的IT安全策略和一些關(guān)鍵防御措施可以顯著降低黑客或惡意軟件進(jìn)入企業(yè)IT環(huán)境的大部分風(fēng)險。
 
2.黑客非常出色
 
人們認(rèn)為黑客和惡意軟件永遠(yuǎn)無法防御,其部分原因是很多人認(rèn)為黑客都是非常出色的,是不可阻擋的超級天才。這種浪漫主義的思想很容易在好萊塢電影中得到推廣,這些電影的故事情節(jié)中,黑客可以輕松猜測密碼,并入侵和接管世界各地的計(jì)算機(jī),并進(jìn)入任何系統(tǒng)。黑客可以通過網(wǎng)絡(luò)攻擊,以及掌握密碼發(fā)射核彈,并輕松擦除人們的數(shù)字身份。
 
這個錯誤的想法讓很多人信以為真,因?yàn)檫@些被黑客攻擊或感染惡意軟件的人并不是程序員或IT安全人員。對他們來說,這有些像一個神奇的事件。
 
現(xiàn)實(shí)情況是,大多數(shù)黑客的智商水平都和普通人一樣。黑客只知道如何使用以前的工作人員傳遞的特定工具完成特定的交易,這并不是說沒有出色的黑客,但他們很少,就像其他職業(yè)一樣。不幸的是,對黑客非常聰明的誤解正好強(qiáng)化了他們不能被擊敗的神話。
 
3.IT安全人員知道如何解決問題
 
這可能是最需要消除的誤解之一。大多數(shù)企業(yè)IT安全團(tuán)隊(duì)的工作人員都很聰明和勤奮,但在大多數(shù)情況下,他們所從事的工作不會大幅降低計(jì)算機(jī)的安全風(fēng)險。因?yàn)楹芏嗳藢⑻嗟馁Y源放在錯誤的地方去對付錯誤的東西。
 
可悲的事實(shí)是,IT安全團(tuán)隊(duì)很少有真正的數(shù)據(jù)來支持解決他們認(rèn)為是真正的問題。如果首席執(zhí)行官詢問IT安全團(tuán)隊(duì),他們的組織面臨的最大威脅是什么,那么很可能會震驚地發(fā)現(xiàn)沒有人真正知道答案。即使有人給出了正確的答案,他們也沒有數(shù)據(jù)來支持它。相反,IT安全團(tuán)隊(duì)中有很多人不明白什么是最大的問題。如果IT安全團(tuán)隊(duì)不知道最大的問題是什么,他們怎么能最有效地對抗最大的威脅?
 
4.安全合規(guī)性等于更好的安全性
 
企業(yè)的首席執(zhí)行官們在業(yè)務(wù)上和職責(zé)上都要確保他們的公司符合每一項(xiàng)法律和法規(guī)的合規(guī)要求。如今,大多數(shù)企業(yè)都會受到多種不同的IT安全需求的影響。所有的首席執(zhí)行官都知道,如果他們履行合規(guī)義務(wù),他們就是專業(yè)人士所認(rèn)為的“安全”,或者至少正在做法規(guī)認(rèn)為是安全的事情。
 
可悲的是,遵守法規(guī)所要求的往往與安全性并不相同,并且有時可能與真正的安全相沖突。例如,人們知道,以往的長期密碼政策要求(包括使用很長而復(fù)雜的密碼在一年中必須經(jīng)常更改)與使用從未改變的非復(fù)雜密碼相比,會造成更大的安全風(fēng)險。人們多年前就已經(jīng)知道這些常識,這實(shí)際上是在過去幾年發(fā)布的大部分“官方”密碼建議都有提及。
 
大多數(shù)IT安全人員和首席執(zhí)行官不知道這一點(diǎn)。即使他們知道這一點(diǎn),他們也無法遵循更新、更好的密碼準(zhǔn)則。為什么?因?yàn)槟壳暗姆ㄒ?guī)要求在遵循新的密碼準(zhǔn)則方面都沒有更新。因此,安全合規(guī)性并不總是等于安全。有時候,可能出現(xiàn)的情況與人們的想法正好相反。
 
5.補(bǔ)丁得到控制
 
大多數(shù)首席執(zhí)行官認(rèn)為他們的軟件和應(yīng)用程序的補(bǔ)丁已經(jīng)得到了控制。而“控制”的意思是指軟件的補(bǔ)丁是最新的,或者是接近最新的版本。對于那些不是非常安全的設(shè)備,例如路由器,防火墻和服務(wù)器,它們的補(bǔ)丁應(yīng)該是完美的。大多數(shù)IT安全部門可能會告訴他們的首席執(zhí)行官,他們的補(bǔ)丁“接近完美”,可能高達(dá)90%。
 
大多數(shù)公司有數(shù)百到數(shù)千個他們需要修補(bǔ)的程序。這些程序的大多數(shù)從不需要修補(bǔ),不是因?yàn)闆]有錯誤,而是因?yàn)楣粽邲]有攻擊這些程序。而沒有發(fā)現(xiàn)錯誤,因此也不需要修補(bǔ)。
 
在大多數(shù)組織中,可能有10到20個未修補(bǔ)程序,這意味著面臨大多數(shù)的黑客風(fēng)險。在這些程序中,大多數(shù)程序的打補(bǔ)丁的準(zhǔn)確率可能非常高,可能只有一兩個程序沒有打補(bǔ)丁。但不幸的是,就是這一個或幾個未修補(bǔ)程序?qū)⑹勾蠖鄶?shù)組織面臨嚴(yán)重的風(fēng)險,但是如果只是只查看數(shù)字報告的話,它可能看起來很不錯。
 
舉個例子,假設(shè)一家公司只有一百個程序要打補(bǔ)丁。在這一百個程序中,只有一個程序的修補(bǔ)率很差,假設(shè)它只修補(bǔ)了50%,其整體修補(bǔ)率可以達(dá)到99.5%。這看起來相當(dāng)不錯,但是這意味著,這個只修補(bǔ)了50%補(bǔ)丁的程序可能是黑客用來攻擊組織的程序之一。
 
在這里并沒有提到大多數(shù)公司甚至沒有或不打算修補(bǔ)的大量硬件、固件和驅(qū)動程序。它們通常沒有包含在補(bǔ)丁的修補(bǔ)報告中。如果包括這些,其修補(bǔ)率看起來會更糟糕。而近年來,黑客攻擊硬件和固件的事件更加頻繁。這并不是什么巧合。
 
6.員工安全培訓(xùn)已足夠
 
大多數(shù)企業(yè)面臨的兩大威脅之一是社交工程。黑客可以通過電子郵件或網(wǎng)絡(luò)瀏覽器入侵??紤]到將會面臨損害最嚴(yán)重的頂級攻擊,社會工程可能涉及99%的案例。
 
然而,大多數(shù)公司每年只花不到30分鐘的時間進(jìn)行社交工程安全的培訓(xùn)。計(jì)算機(jī)安全領(lǐng)域已經(jīng)確定了大多數(shù)組織中面臨主要的兩個問題,(另一個是未打補(bǔ)丁的軟件),但幾乎沒有組織這么實(shí)施。相反,企業(yè)的員工沒有接受足夠的安全培訓(xùn)來阻止黑客通過社交工程進(jìn)行攻擊,無論企業(yè)采取什么措施,無論企業(yè)投入多少資金或其他資源,都有可能被黑客成功攻擊。
 
這些誤解讓人們認(rèn)為無法阻止黑客和惡意軟件的攻擊。如果首席執(zhí)行官(或CSO或CISO)向IT安全團(tuán)隊(duì)詢問一個問題:“我們最大的威脅是什么,在哪里支持它?”,這很難有一個共同的答案。如果企業(yè)對最大的問題沒有達(dá)成一致,那么如何有效地應(yīng)對它們呢?
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
CIO

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號