企業(yè)首席執(zhí)行官對(duì)于網(wǎng)絡(luò)安全的6個(gè)誤解
2018年04月08日
企業(yè)需要一個(gè)更有效的IT安全策略嗎?如果是的話��,那么就要消除企業(yè)首席執(zhí)行官和高級(jí)管理人員對(duì)于網(wǎng)絡(luò)安全的一些誤解�。
企業(yè)的首席執(zhí)行官負(fù)責(zé)領(lǐng)導(dǎo)公司的所有戰(zhàn)略規(guī)劃和運(yùn)營(yíng),同時(shí)也負(fù)有很大的領(lǐng)導(dǎo)責(zé)任��。因此��,他們希望IT安全方面的工作人員聰明能干����,并在正確的地方做正確的事情來(lái)應(yīng)對(duì)威脅�����。事實(shí)上�,很多企業(yè)的首席執(zhí)行官在IT安全方面浪費(fèi)了大量預(yù)算,因?yàn)槠浒踩呗院痛胧?yīng)用在那些實(shí)際上不起作用的事情上�。
這是為什么?
首席執(zhí)行官對(duì)有關(guān)IT安全方面有一些誤解��,很多都是一種教條����,而不是真實(shí)的知識(shí)和經(jīng)驗(yàn)���。當(dāng)首席執(zhí)行官相信錯(cuò)誤的事情時(shí)�����,就很難有效地做正確的事情����。以下是很多企業(yè)首席執(zhí)行官對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)安全的普遍看法����。
1. 無(wú)法阻止黑客的攻擊
大多數(shù)計(jì)算機(jī)和網(wǎng)絡(luò)的防御措施薄弱,并且不得當(dāng)���,以至于黑客和惡意軟件可以隨意侵入��。很多惡意軟件甚至在企業(yè)的IT環(huán)境中存在多年�����,很多企業(yè)的計(jì)算機(jī)防御措施非常糟糕并且漏洞百出���,以至于首席執(zhí)行官們被告知不可能阻止黑客和惡意軟件的侵襲���。他們所能做的最好的事情就是“假定違規(guī)”,在攻擊者進(jìn)入環(huán)境時(shí)及早發(fā)現(xiàn)�,并減緩攻擊者的入侵速度。
那么����,人們能想象一下軍事將領(lǐng)在遭遇敵方攻擊時(shí)告訴下屬:無(wú)論他們做什么,都沒(méi)有辦法贏得勝利......這不可能�,但這也正是計(jì)算機(jī)安全領(lǐng)域希望首席執(zhí)行官們具有清醒認(rèn)識(shí)的原因。
雖然由國(guó)家層面資助的黑客組織的攻擊很難被阻止�,但企業(yè)只要正確地完成安全防御的一些部署,就可以很好地阻止大多數(shù)黑客和惡意軟件的入侵����。而采用更好的IT安全策略和一些關(guān)鍵防御措施可以顯著降低黑客或惡意軟件進(jìn)入企業(yè)IT環(huán)境的大部分風(fēng)險(xiǎn)。
2. 黑客非常出色
人們認(rèn)為黑客和惡意軟件永遠(yuǎn)無(wú)法防御�����,其部分原因是很多人認(rèn)為黑客都是非常出色的�����,是不可阻擋的超級(jí)天才����。這種浪漫主義的思想很容易在好萊塢電影中得到推廣,這些電影的故事情節(jié)中���,黑客可以輕松猜測(cè)密碼��,并入侵和接管世界各地的計(jì)算機(jī)�����,并進(jìn)入任何系統(tǒng)�����。黑客可以通過(guò)網(wǎng)絡(luò)攻擊�,以及掌握密碼發(fā)射核彈����,并輕松擦除人們的數(shù)字身份。
這個(gè)錯(cuò)誤的想法讓很多人信以為真����,因?yàn)檫@些被黑客攻擊或感染惡意軟件的人并不是程序員或IT安全人員����。對(duì)他們來(lái)說(shuō)�����,這有些像一個(gè)神奇的事件�����。
現(xiàn)實(shí)情況是����,大多數(shù)黑客的智商水平都和普通人一樣。黑客只知道如何使用以前的工作人員傳遞的特定工具完成特定的交易���,這并不是說(shuō)沒(méi)有出色的黑客�����,但他們很少���,就像其他職業(yè)一樣。不幸的是�,對(duì)黑客非常聰明的誤解正好強(qiáng)化了他們不能被擊敗的神話。
3. IT安全人員知道如何解決問(wèn)題
這可能是最需要消除的誤解之一���。大多數(shù)企業(yè)IT安全團(tuán)隊(duì)的工作人員都很聰明和勤奮�,但在大多數(shù)情況下��,他們所從事的工作不會(huì)大幅降低計(jì)算機(jī)的安全風(fēng)險(xiǎn)�����。因?yàn)楹芏嗳藢⑻嗟馁Y源放在錯(cuò)誤的地方去對(duì)付錯(cuò)誤的東西��。
可悲的事實(shí)是��,IT安全團(tuán)隊(duì)很少有真正的數(shù)據(jù)來(lái)支持解決他們認(rèn)為是真正的問(wèn)題�����。如果首席執(zhí)行官詢問(wèn)IT安全團(tuán)隊(duì)���,他們的組織面臨的最大威脅是什么�,那么很可能會(huì)震驚地發(fā)現(xiàn)沒(méi)有人真正知道答案。即使有人給出了正確的答案��,他們也沒(méi)有數(shù)據(jù)來(lái)支持它�����。相反�,IT安全團(tuán)隊(duì)中有很多人不明白什么是最大的問(wèn)題。如果IT安全團(tuán)隊(duì)不知道最大的問(wèn)題是什么��,他們?cè)趺茨茏钣行У貙?duì)抗最大的威脅?
4. 安全合規(guī)性等于更好的安全性
企業(yè)的首席執(zhí)行官們?cè)跇I(yè)務(wù)上和職責(zé)上都要確保他們的公司符合每一項(xiàng)法律和法規(guī)的合規(guī)要求����。如今,大多數(shù)企業(yè)都會(huì)受到多種不同的IT安全需求的影響��。所有的首席執(zhí)行官都知道���,如果他們履行合規(guī)義務(wù)�,他們就是專業(yè)人士所認(rèn)為的“安全”���,或者至少正在做法規(guī)認(rèn)為是安全的事情��。
可悲的是����,遵守法規(guī)所要求的往往與安全性并不相同,并且有時(shí)可能與真正的安全相沖突�����。例如��,人們知道��,以往的長(zhǎng)期密碼政策要求(包括使用很長(zhǎng)而復(fù)雜的密碼在一年中必須經(jīng)常更改)與使用從未改變的非復(fù)雜密碼相比����,會(huì)造成更大的安全風(fēng)險(xiǎn)�����。人們多年前就已經(jīng)知道這些常識(shí)���,這實(shí)際上是在過(guò)去幾年發(fā)布的大部分“官方”密碼建議都有提及��。
大多數(shù)IT安全人員和首席執(zhí)行官不知道這一點(diǎn)��。即使他們知道這一點(diǎn)����,他們也無(wú)法遵循更新、更好的密碼準(zhǔn)則�。為什么?因?yàn)槟壳暗姆ㄒ?guī)要求在遵循新的密碼準(zhǔn)則方面都沒(méi)有更新。因此����,安全合規(guī)性并不總是等于安全。有時(shí)候�����,可能出現(xiàn)的情況與人們的想法正好相反���。
5. 補(bǔ)丁得到控制
大多數(shù)首席執(zhí)行官認(rèn)為他們的軟件和應(yīng)用程序的補(bǔ)丁已經(jīng)得到了控制�����。而“控制”的意思是指軟件的補(bǔ)丁是最新的�����,或者是接近最新的版本����。對(duì)于那些不是非常安全的設(shè)備,例如路由器���,防火墻和服務(wù)器���,它們的補(bǔ)丁應(yīng)該是完美的。大多數(shù)IT安全部門(mén)可能會(huì)告訴他們的首席執(zhí)行官����,他們的補(bǔ)丁“接近完美”��,可能高達(dá)90%��。
大多數(shù)公司有數(shù)百到數(shù)千個(gè)他們需要修補(bǔ)的程序���。這些程序的大多數(shù)從不需要修補(bǔ)��,不是因?yàn)闆](méi)有錯(cuò)誤����,而是因?yàn)楣粽邲](méi)有攻擊這些程序���。而沒(méi)有發(fā)現(xiàn)錯(cuò)誤����,因此也不需要修補(bǔ)。
在大多數(shù)組織中����,可能有10到20個(gè)未修補(bǔ)程序,這意味著面臨大多數(shù)的黑客風(fēng)險(xiǎn)����。在這些程序中,大多數(shù)程序的打補(bǔ)丁的準(zhǔn)確率可能非常高�,可能只有一兩個(gè)程序沒(méi)有打補(bǔ)丁。但不幸的是�����,就是這一個(gè)或幾個(gè)未修補(bǔ)程序?qū)⑹勾蠖鄶?shù)組織面臨嚴(yán)重的風(fēng)險(xiǎn)����,但是如果只是只查看數(shù)字報(bào)告的話,它可能看起來(lái)很不錯(cuò)�����。
舉個(gè)例子����,假設(shè)一家公司只有一百個(gè)程序要打補(bǔ)丁�����。在這一百個(gè)程序中��,只有一個(gè)程序的修補(bǔ)率很差�,假設(shè)它只修補(bǔ)了50%�����,其整體修補(bǔ)率可以達(dá)到99.5%�����。這看起來(lái)相當(dāng)不錯(cuò)�����,但是這意味著��,這個(gè)只修補(bǔ)了50%補(bǔ)丁的程序可能是黑客用來(lái)攻擊組織的程序之一��。
在這里并沒(méi)有提到大多數(shù)公司甚至沒(méi)有或不打算修補(bǔ)的大量硬件��、固件和驅(qū)動(dòng)程序��。它們通常沒(méi)有包含在補(bǔ)丁的修補(bǔ)報(bào)告中�����。如果包括這些�,其修補(bǔ)率看起來(lái)會(huì)更糟糕。而近年來(lái)���,黑客攻擊硬件和固件的事件更加頻繁�。這并不是什么巧合�。
6. 員工安全培訓(xùn)已足夠
大多數(shù)企業(yè)面臨的兩大威脅之一是社交工程。黑客可以通過(guò)電子郵件或網(wǎng)絡(luò)瀏覽器入侵���??紤]到將會(huì)面臨損害最嚴(yán)重的頂級(jí)攻擊����,社會(huì)工程可能涉及99%的案例。
然而��,大多數(shù)公司每年只花不到30分鐘的時(shí)間進(jìn)行社交工程安全的培訓(xùn)���。計(jì)算機(jī)安全領(lǐng)域已經(jīng)確定了大多數(shù)組織中面臨主要的兩個(gè)問(wèn)題�����,(另一個(gè)是未打補(bǔ)丁的軟件)���,但幾乎沒(méi)有組織這么實(shí)施���。相反,企業(yè)的員工沒(méi)有接受足夠的安全培訓(xùn)來(lái)阻止黑客通過(guò)社交工程進(jìn)行攻擊�����,無(wú)論企業(yè)采取什么措施�,無(wú)論企業(yè)投入多少資金或其他資源,都有可能被黑客成功攻擊��。
這些誤解讓人們認(rèn)為無(wú)法阻止黑客和惡意軟件的攻擊��。如果首席執(zhí)行官(或CSO或CISO)向IT安全團(tuán)隊(duì)詢問(wèn)一個(gè)問(wèn)題:“我們最大的威脅是什么����,在哪里支持它?”�,這很難有一個(gè)共同的答案���。如果企業(yè)對(duì)最大的問(wèn)題沒(méi)有達(dá)成一致,那么如何有效地應(yīng)對(duì)它們呢?
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全��、運(yùn)維平臺(tái)建設(shè)����、動(dòng)漫設(shè)計(jì)、軟件研發(fā)��、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”�、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面�、可信的方案,業(yè)務(wù)涵蓋咨詢�����、評(píng)估���、規(guī)劃��、管控�、建設(shè)、培訓(xùn)等�����。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商����。
