|
【PConline 杂谈】身为一名企业的高层管理者,既要负责公司的发展战略,又要管理日常庞杂的运营工作,因而难免会有照顾不到的地方,例如容易被忽视的IT安全管理,特别是在这个网络安全问题越来越严峻的当下,安全的重要性毋庸置疑。尽管如此,大多数企业在IT安全方面的投入却非常有限,为了能将预算用在刀刃上,首先你需要了解六个容易被高管误解的安全“惯性思维”。
攻击者都是高智商的天才 其实,对于这个想法,估计全世界都认为黑客是战无不胜的。这种浪漫的黑客英雄主义思想早在众多的美国大片中得到了艺术加工,像碟中谍系列、007系列等等。其中,较为常见的场景就是黑客轻巧几下键盘,就能接管整个网络世界。而之所以有这种想法,是因为大多数遭遇黑客攻击或恶意软件感染的受害者,都不是专业的程序员或IT安全从业者,而是那些普普通通的大众。在他们看来,网络攻击都是像电影中那些超级天才才能实现的。
对此,我们想说你可能真的是电影看多了。现实世界中,大多数的黑客都是与你我一样的普通人。他们就像水工和电工,利用前人创造出的特定工具来完成自己的攻击任务。当然,我们并不否认其中是有真正佼佼者存在的,但毕竟只占少数。另一方面,如今地下黑色产业链已非常成熟,这里不乏攻击‘工具’的生产者、销售者以及服务提供商,换句话说,只要有钱,即使你不懂技术也能轻易的发动一次网络攻击。 黑客是无法阻止的 有了上面这个认知,我们再来谈谈‘攻击者无法阻止’这个问题。为何会有此种想法呢?原因在于大多数的计算机防御体系都很薄弱,以致黑客或者恶意软件可以轻易的入侵计算机,令高层误以为黑客及那些恶意软件是无法阻止的,因此他们能做的最好选择只有承担“违规”,即在发现违规行为时第一时间积极采取补救措施,放缓攻击者的攻击速度和降低攻击影响。
事实上,大多数的黑客和恶意软件是可以通过公司完善的防御措施进行阻止的(除非遇到的是一支训练有素且由国家支持的黑客组织,可能很难阻止外),这些措施中有些可能是公司已经实施但未有效果的,这很可能是因为没有找对重点,也就是引发漏洞的地方。一个关注点明确的安全策略,加之一些关键防御措施,可以显著的降低黑客或恶意软件入侵企业网络的风险。 IT安全人员知道问题所在 非也非也。普遍情况是,IT安全人员将太多的资源放在了错误的地方,对付错误的东西,因此他们所做的工作并不能帮助公司大幅降低计算机安全风险。更不幸的是,很少有IT安全团队拥有真实的数据来支持他们所认为的真正存在的安全风险。 如果你逐个询问IT安全团队成员“公司面临的最大威胁是什么”,你会惊讶地发现根本没有人真的知道答案,即便有人给出了正确答案,他们也没有真实的数据来验证自己的观点。由于缺乏数据支持,IT安全团队中的每位成员都不同意其他人关于“公司面临的最大威胁是什么”所给出的答案。如果IT安全团队都不清楚企业面临的最大威胁是什么,又如何有效地应对威胁呢? 安全合规就是更好的安全? 当下,大部分的公司都受到各类IT安全规则的限制,即便不认同也必须遵守合规性。因为高管们认为,如果公司履行了合规性,就实现了专业人士口中的“安全”,或至少是法院认为的安全。然而事实却是,合规性要求往往与对安全的要求不同,甚至有时它还可能会与真正的安全性相悖。可惜的是,大多数高管甚至IT安全人员并不知晓这点。 补丁更新尽在掌控? 相信大多数人都会认为补丁更新就能尽在掌控,而所谓的“掌控”,意思是软件补丁合规性不是100%最新的,就是接近最新的。然而,任何安全人员都从未清点过所有的计算机或设备是否完全修复过,尤其是像路由器、防火墙、服务器等看似安全的设备,却往往疏于检查。
即便补丁修复高达90%,然而请记住“细节决定成败”。大多数程序没有修补,不是因为它们没有漏洞,而是因为攻击者没有借此发挥,问题没有暴露自然就没有得到修复。换言之,你修复了绝大多数的问题,而问题可能就出在那一两个没有来得及修复的程序上。 对员工的安全培训已经足够 世界计算机防御组织确定,未打补丁的软件和社会工程是大多数企业面临的两大严峻问题。攻击者通过电子邮件、网络浏览器,或是打电话的方式诱骗受害者获取信息。根据数据显示,在造成损害最严重的攻击排行榜中,社会工程占所有攻击案件的99%。
事实上,大多数企业每年对员工进行社会工程培训的时间不足30分钟,企业员工没有接受到足够的培训,来降低社会工程成功率,因此他们做再多其他方面的努力,投入更多金钱或其他资源,仍无法阻止黑客的社会工程攻击活动。 |
