安全神话8:“我们并不是攻击目标”
Kroll公司网络安全和信息保障体系高级管理总监Alan Brill表示:“我经常听到受害者说他们认为他们并不值得黑客攻击,有些说不值得是因为他们只是小型企业,根本不至于成为目标。另一些人认为他们的系统中并没有社会安全号码、信用卡信息或者其他‘有价值的’信息。但事实并不是这样。”
安全神话9:“从安全漏洞来看,与以前的软件相比,现在的软件并没有任何好转”
“有一大群人指责说软件中存在太多漏洞,与以前的软件相比,安全性并没有任何好转,”Cigital公司首席技术官Gary McGraw表示,“事实上,现在的软件改善了很多,并且缺陷密度比率正在下降。”他指出与十年或者二十年前相比,现在大家对于安全编码做法有了更好的理解,并且有很多有效的安全编码工具。McGraw表示:“我们知道该做什么。”经常被我们忽视的事实是与Windows 95的时代相比,现在需要编写太多软件代码,我们现在编写的代码量比以往任何时候都要多得多。“庞大的代码量也是现在的软件比以前的软件存在更多漏洞的原因,但是零漏洞是不可能实现的。”
安全神话10:“通过SSL会话传输敏感信息是安全的”
“企业经常使用SSL向客户或者合作伙伴发送敏感信息,他们认为通过SSL会话的数据传输是非常安全的,”Americas公司NCP Engineering部门首席技术官Rainer Enders表示,“但是这个过程中开始涌现出越来越多的漏洞。”他指出花旗银行就在这个过程中遭受了数据泄露,并且这并不是一个孤立的事件。“瑞士研究人员最近公布了一份备忘录,描述了通过利用块加密算法(例如AES)中的漏洞在SSL通道传输数据过程中捕获数据的方法,”他表示业界对SSL会话的安全性存在怀疑,“也许避免这个问题最理想的方法就是永远不要使用相同的密钥流来加密两个不同的文件”。Ender还补充说,另一个类似的安全神话是使用来自证书颁发机构的可信证书是绝对安全的,而去年欺诈性证书就推翻了这个神话。
安全神话11:“端点安全软件是一种商品”
企业战略集团(ESG)分析师Jon Oltsik表示,在ESG的问卷调查中询问端点安全软件是否是一个商品以及是否基本上都是一样时,大多数企业安全专业人士都同意这个关于端点安全产品的说法。但是Oltsik表示他不同意端点安全软件基本上都是相同的说法。“我认为这完全是一个讹传,”他表示,“端点安全产品在保护和功能/特性方面来看有很大的不同。”Oltsik补充说,他甚至认为大多数企业根本不知道他们已经购买的端点安全产品的功能,并没有使用适当的产品来加大保护。
安全神话12:“当然,我们网络中有防火墙,我们当然受到保护!”
阿肯色大学信息技术安全分析师Kevin Butler表示他从事防火墙管理员的工作长达十年,有很多关于防火墙的神话。他承认在过去几年他曾相信其中一些神话,包括“防火墙是一个硬件”和“正确配置的防火墙能够保护你免受任何威胁”。他知道的其他防火墙神话包括“有了防火墙,就不需要杀毒软件了”,最让他愤怒的是“某品牌防火墙甚至可以抵御零日威胁”。对此,他表示,“针对防火墙保护的新漏洞利用出现的速度非常快,防火墙不可能抵御零日威胁。防火墙对于外围保护永远不可能是一个一劳永逸的解决方案。”
安全神话13:“你发现了作为有针对性攻击一部分的恶意软件样本,你不应该将这些样本上传给知名恶意软件供应商或者服务。”
Dell SecureWorks公司恶意软件分析主管Joe Stewart表示他曾听过这个建议,他认为这是个“有问题的”建议。他表示这个想法的出现是建立在,“首先,攻击者可能会查看公共沙箱和病毒扫描仪来寻找他们的恶意软件的踪迹,将在事件响应中发现的样本上传将会让攻击者知道他们被发现了。”他指出这种想法存在的第二个原因在于:在一个有针对性攻击中,恶意软件中可能存在线索指明谁是攻击目标,导致暴露了攻击。Stewart指出:“第一点假设了攻击者有时间去定期查看公共信息,这几乎是不可能的,即使在有针对性攻击中,单次攻击活动往往有几十个受害者,而同一名攻击者每年要发动几次这样的攻击活动。攻击者很少对每个不同目标使用独特的恶意软件,他们只是选择使用预选的木马程序,让他们不被杀毒软件发现。即使某个恶意软件样本出现在公共恶意软件追踪网站,也不能保证攻击者会看到,即使攻击者看到,攻击者也无法确定上传这个恶意软件样本的目标。”对于有针对性攻击,共享你发现的恶意软件样本有很大的好处。恶意软件也有可能揭露目标机构的名称,这是可能发生的,只是不经常能看到。Stewart表示,从长期来看,试图对这种有针对性攻击活动进行保密可能会对所有人带来造成影响,因为这样将助长攻击者的攻击活动。