九種行不通的IT安全做法

1、九種行不通的IT安全做法2012-08-20 15:14 你最依賴的安全產品和技術并不一定能保護你。事實上，大多數IT安全產品和技術并不能提供其廣告中宣傳的那種安全保護水平，使我們面臨著比想象中更大的威脅。并且，傳統(tǒng)IT安全主要采取鼴鼠戰(zhàn)術(引申意思是監(jiān)視與打擊)來處理威脅，使我們無法應對創(chuàng)新的惡意軟件。以下是9個常見IT安全做法和產品，它們并不能提供你所想象的保護水平：行不通的安全方法No. 1：防病毒掃描可能無法發(fā)現真正的網絡威脅傳統(tǒng)的防病毒掃描最早出現在20世紀80年代。在那之前，如果你懷疑你有特定的惡意應用程序，你需要使用專門為該惡意軟件建立的檢測程序來對付它。在20世紀90年代初，這

2、些防惡意軟件掃描儀能夠檢測出每個病毒、蠕蟲病毒和木馬程序，當時的病毒種類和數量并不多。然而，現在的攻擊者每個月都會推出成千上萬種新惡意程序，這并不是任何單個防病毒程序能夠檢測出的。盡管幾乎所有防病毒軟件供應商都聲稱他們的產品可以100%地檢測常見惡意軟件，并且，他們還能向你展示證明這種難以置信的精準度的證書，但事實并非如此。我們都不斷面臨著我們的防病毒引擎無法檢測出的新惡意軟件。即使你將惡意軟件樣本提交給防病毒引擎網站(例如VirusTotal)，這些防病毒引擎經常會錯過這些新惡意軟件樣本，有時候長達幾天。甚至，幾周后，防病毒引擎仍然無法檢測這個木馬或蠕蟲病毒。行不通的安全方法No.2：防火墻

3、只能提供很少的保護與防病毒掃描相比，防火墻保護正變得更加不相關。為什么呢?因為大多數惡意軟件是通過誘使最終用戶運行其桌面禁止的程序，因而繞過了防火墻保護。此外，惡意程序使用端口80或443來“撥號”，而這在防火墻中總是打開的。大多數人在外圍、桌面部署多個防火墻，以及過濾應用程序，但所有這些主機端口隔離都行不通。 行不通的安全方法No.3：漏洞修復并不是靈丹妙藥多年以來，我們聽得最多的安全建議就是及時修復漏洞。所有軟件都有多個漏洞，必須及時進行修復。盡管存在各種修復管理系統(tǒng)，但不知出于何種原因，這些系統(tǒng)并不能提供其承諾的完美修復。很多時候，并不是修復管理軟件的問題，而是管理者的問題。他們只是修復

4、了一些漏洞，但卻漏掉了最主要的目標，例如Java、Adobe Reader、Flash等。或者說，他們沒有及時修復漏洞。所以，總是存在漏洞。即使是在最好的情況下，大部分人修復漏洞都需要花幾天或幾周，但惡意軟件只需要幾分鐘或者幾小時。行不通的安全方法No.4：最終用戶教育只能得F自個人電腦出現以來，我們就提醒用戶不要從其軟盤驅動器中的磁盤來啟動，不要允許意外的宏運行，不要點擊可疑的文件附件，還有，不要運行可疑的殺毒軟件清理程序。盡管如此，這無濟于事。如果我們的最終用戶教育政策成功的話，我們早就擊敗攻擊者和黑客了。根據最近的趨勢來看，最終用戶的安全意識比以往任何時候都要糟糕。社會工程木馬(誘使最終

5、用戶運行惡意程序)是迄今為止最大的威脅。大多數最終用戶很容易在社交媒體網站泄露其所有隱私信息，而他們完全沒有考慮過后果，這可能讓他們成為攻擊者的目標。對于大多數最終用戶教育計劃，最終用戶教育變成被迫的不必要的苦差事。并且，培訓課程很隨意地開展，通常并不包含與最新攻擊相關的信息。如果誘騙最終用戶運行木馬程序的頭號方法是通過假的殺毒軟件，你會告訴你的員工真正的殺毒軟件長什么樣子嗎?為什么不呢?這種員工教育的缺失使IT系統(tǒng)處于危險之中。平均來說，最新威脅出現在最終用戶教育計劃中需要兩年時間，而攻擊者只需要一分鐘就可以改變攻擊方法，這讓我們整整落后了兩年。你知道比最終用戶教育更好的安全方法嗎?更安全的

6、軟件和更好的默認提示。不要期待最終用戶作出正確的決定，而應該為他們做決定。最終用戶教育是永遠無法完成的工作，因為只要有一個人，一個錯誤就可以感染整個公司。但你可以通過提供更好更有針對性的最終用戶教育來降低風險。 行不通的安全方法No.5：密碼強度無法保護你這是經常聽到的安全口頭禪：創(chuàng)建一個高強度密碼，并且定期更換。但事實上，很多用戶在多個網站和安全領域使用相同的密碼，并且用戶還可能向隨機電子郵件透露他們的密碼，很多最終用戶根本不那么關心他們的密碼安全。現在更大的問題是，大多數攻擊者也不在乎安全密碼。他們誘騙最終用戶運行木馬程序，然后獲得管理員權限，獲取密碼哈希值。行不通的安全方法No.6：入侵

7、檢測系統(tǒng)無法確定攻擊者意圖入侵檢測系統(tǒng)(IDS)是你愿意相信的安全技術類型。你定義了一堆“攻擊”簽名，如果入侵檢測系統(tǒng)檢測出網絡流量中存在相關字符串或者行為，它就會發(fā)出警告或者阻止攻擊。但與其他安全技術一樣，入侵檢測系統(tǒng)并沒有那么好用。首先，沒有辦法將所有有效的攻擊簽名堆在你的企業(yè)中。最好的入侵檢測系統(tǒng)可能包含數百個簽名，但存在數以萬計的惡意程序企圖攻擊你的系統(tǒng)。你可以自己向IDS添加數以萬計的簽名，但這回減慢所有監(jiān)控的流量。另外，IDS已經出現很多誤報時間，所有警報都被像防火墻日志那樣處理：被忽視和未讀。IDS的失誤是因為大多數攻擊者都搭載合法訪問中。IDS如何能夠分辨CFO查詢其財務數據庫

8、和國外攻擊者使用該CFO的計算機訪問相同的數據庫呢?它們不能，根本沒有辦法判斷查詢的意圖。行不通的安全方法No.7：PKI已經被破壞公共密鑰基礎設施很好用，但問題是很多PKI并不安全，而且大多被忽略，甚至當它們在公共部門完美運行的時候。在過去一年或者兩年中，我們已經看到幾個合法公共證書辦法機構遭到攻擊，使攻擊者能夠訪問其簽名密鑰，這原本應該是最需要受到保護的信息，并且，攻擊者能夠發(fā)布欺詐密鑰來用于其他攻擊。即使PKI仍然強大和完美，人們并不在乎。大多數最終用戶當看到瀏覽器警告說“數字證書不可信任”時，他們仍然會點擊“忽略”按鈕。他們很高興地繞過安全帶來的不便，并繼續(xù)流瀏覽網頁。部分問題在于使用

9、數字證書的網站和程序并沒有認真對待數字證書，導致每天都會發(fā)生證書錯誤消息。而如果最終用戶不忽略數字證書錯誤信息的話，他們將無法繼續(xù)其網絡生活，有時候包括遠程訪問其自己的工作系統(tǒng)。瀏覽器供應商可以對數字證書錯誤進行整治，使網站或者服務不會出現任何錯誤，但客戶可能會選擇另一個瀏覽器。最終，每個人都愉快地忽略我們的公共密鑰系統(tǒng)，大家都不在乎PKI。 行不通的安全方法No.8：你的設備是攻擊者的夢想設備的主要優(yōu)勢(提高安全性)并沒有顯現出來。通過部署一個較小的OS足跡(通常是鎖定版本的Linux或者BSD)，設備將會比運行傳統(tǒng)操作系統(tǒng)的全功能電腦更加安全。然而，在超過十年的安全設備測試中，只出現過一個

10、不包含任何已知公共漏洞的設備。設備只是在封閉的硬盤驅動器或固件上的操作系統(tǒng)，這些設計很難以即使進行漏洞修復。例如，上周在針對一家財富100強公司的測試中，我們發(fā)現每個無線網絡控制器都有未修復的Apache和OpenSSH服務，這些漏洞可能讓攻擊者通過公共無線網絡作為管理員進入其內部企業(yè)網絡。他們的IDS和防火墻設備包含公共腳本(很早以前就被發(fā)現存在遠程繞過漏洞)，且他們的電子郵件設備正在運行允許匿名上傳的不安全的FTP服務。這些結果讓我們很驚訝。設備通常包含與軟件相同數量的漏洞，但它們更難以修復。除了作為被硬化的安全設備外，它們也是攻擊者的夢想。行不通的安全方法No.9：沙盒提供到底層系統(tǒng)的直接路徑安全沙盒的目的在于讓針對軟件的漏洞利用不可能實現或者至少更難執(zhí)行。事實上