來(lái)源：比特網(wǎng)

    你最依賴(lài)的安全產(chǎn)品和技術(shù)并不一定能保護你。事實(shí)上，大多數IT安全產(chǎn)品和技術(shù)并不能提供其廣告中宣傳的那種安全保護水平，使我們面臨著(zhù)比想象中更大的威脅。并且，傳統IT安全主要采取鼴鼠戰術(shù)(引申意思是監視與打擊)來(lái)處理威脅，使我們無(wú)法應對創(chuàng )新的惡意軟件。

    以下是9個(gè)常見(jiàn)IT安全做法和產(chǎn)品，它們并不能提供你所想象的保護水平：

    行不通的安全方法No. 1：防病毒掃描可能無(wú)法發(fā)現真正的網(wǎng)絡(luò )威脅

    傳統的防病毒掃描最早出現在20世紀80年代。在那之前，如果你懷疑你有特定的惡意應用程序，你需要使用專(zhuān)門(mén)為該惡意軟件建立的檢測程序來(lái)對付它。

    在20世紀90年代初，這些防惡意軟件掃描儀能夠檢測出每個(gè)病毒、蠕蟲(chóng)病毒和木馬程序，當時(shí)的病毒種類(lèi)和數量并不多。

    然而，現在的攻擊者每個(gè)月都會(huì )推出成千上萬(wàn)種新惡意程序，這并不是任何單個(gè)防病毒程序能夠檢測出的。盡管幾乎所有防病毒軟件供應商都聲稱(chēng)他們的產(chǎn)品可以100%地檢測常見(jiàn)惡意軟件，并且，他們還能向你展示證明這種難以置信的精準度的證書(shū)，但事實(shí)并非如此。

    我們都不斷面臨著(zhù)我們的防病毒引擎無(wú)法檢測出的新惡意軟件。即使你將惡意軟件樣本提交給防病毒引擎網(wǎng)站(例如VirusTotal)，這些防病毒引擎經(jīng)常會(huì )錯過(guò)這些新惡意軟件樣本，有時(shí)候長(cháng)達幾天。甚至，幾周后，防病毒引擎仍然無(wú)法檢測這個(gè)木馬或蠕蟲(chóng)病毒。

    行不通的安全方法No.2：防火墻只能提供很少的保護

    與防病毒掃描相比，防火墻保護正變得更加不相關(guān)。為什么呢?因為大多數惡意軟件是通過(guò)誘使最終用戶(hù)運行其桌面禁止的程序，因而繞過(guò)了防火墻保護。此外，惡意程序使用端口80或443來(lái)“撥號”，而這在防火墻中總是打開(kāi)的。

    大多數人在外圍、桌面部署多個(gè)防火墻，以及過(guò)濾應用程序，但所有這些主機端口隔離都行不通。

    行不通的安全方法No.3：漏洞修復并不是靈丹妙藥

    多年以來(lái)，我們聽(tīng)得最多的安全建議就是及時(shí)修復漏洞。所有軟件都有多個(gè)漏洞，必須及時(shí)進(jìn)行修復。盡管存在各種修復管理系統，但不知出于何種原因，這些系統并不能提供其承諾的完美修復。

    很多時(shí)候，并不是修復管理軟件的問(wèn)題，而是管理者的問(wèn)題。他們只是修復了一些漏洞，但卻漏掉了最主要的目標，例如Java、Adobe Reader、Flash等?；蛘哒f(shuō)，他們沒(méi)有及時(shí)修復漏洞。所以，總是存在漏洞。即使是在最好的情況下，大部分人修復漏洞都需要花幾天或幾周，但惡意軟件只需要幾分鐘或者幾小時(shí)。

    行不通的安全方法No.4：最終用戶(hù)教育只能得F

    自個(gè)人電腦出現以來(lái)，我們就提醒用戶(hù)不要從其軟盤(pán)驅動(dòng)器中的磁盤(pán)來(lái)啟動(dòng)，不要允許意外的宏運行，不要點(diǎn)擊可疑的文件附件，還有，不要運行可疑的殺毒軟件清理程序。盡管如此，這無(wú)濟于事。

    如果我們的最終用戶(hù)教育政策成功的話(huà)，我們早就擊敗攻擊者和黑客了。根據最近的趨勢來(lái)看，最終用戶(hù)的安全意識比以往任何時(shí)候都要糟糕。社會(huì )工程木馬(誘使最終用戶(hù)運行惡意程序)是迄今為止最大的威脅。大多數最終用戶(hù)很容易在社交媒體網(wǎng)站泄露其所有隱私信息，而他們完全沒(méi)有考慮過(guò)后果，這可能讓他們成為攻擊者的目標。

    對于大多數最終用戶(hù)教育計劃，最終用戶(hù)教育變成被迫的不必要的苦差事。并且，培訓課程很隨意地開(kāi)展，通常并不包含與最新攻擊相關(guān)的信息。如果誘騙最終用戶(hù)運行木馬程序的頭號方法是通過(guò)假的殺毒軟件，你會(huì )告訴你的員工真正的殺毒軟件長(cháng)什么樣子嗎?為什么不呢?

    這種員工教育的缺失使IT系統處于危險之中。平均來(lái)說(shuō)，最新威脅出現在最終用戶(hù)教育計劃中需要兩年時(shí)間，而攻擊者只需要一分鐘就可以改變攻擊方法，這讓我們整整落后了兩年。

    你知道比最終用戶(hù)教育更好的安全方法嗎?更安全的軟件和更好的默認提示。不要期待最終用戶(hù)作出正確的決定，而應該為他們做決定。

    最終用戶(hù)教育是永遠無(wú)法完成的工作，因為只要有一個(gè)人，一個(gè)錯誤就可以感染整個(gè)公司。但你可以通過(guò)提供更好更有針對性的最終用戶(hù)教育來(lái)降低風(fēng)險。

    行不通的安全方法No.5：密碼強度無(wú)法保護你

    這是經(jīng)常聽(tīng)到的安全口頭禪：創(chuàng )建一個(gè)高強度密碼，并且定期更換。但事實(shí)上，很多用戶(hù)在多個(gè)網(wǎng)站和安全領(lǐng)域使用相同的密碼，并且用戶(hù)還可能向隨機電子郵件透露他們的密碼，很多最終用戶(hù)根本不那么關(guān)心他們的密碼安全。

    現在更大的問(wèn)題是，大多數攻擊者也不在乎安全密碼。他們誘騙最終用戶(hù)運行木馬程序，然后獲得管理員權限，獲取密碼哈希值。

    行不通的安全方法No.6：入侵檢測系統無(wú)法確定攻擊者意圖

    入侵檢測系統(IDS)是你愿意相信的安全技術(shù)類(lèi)型。你定義了一堆“攻擊”簽名，如果入侵檢測系統檢測出網(wǎng)絡(luò )流量中存在相關(guān)字符串或者行為，它就會(huì )發(fā)出警告或者阻止攻擊。但與其他安全技術(shù)一樣，入侵檢測系統并沒(méi)有那么好用。

    首先，沒(méi)有辦法將所有有效的攻擊簽名堆在你的企業(yè)中。最好的入侵檢測系統可能包含數百個(gè)簽名，但存在數以萬(wàn)計的惡意程序企圖攻擊你的系統。你可以自己向IDS添加數以萬(wàn)計的簽名，但這回減慢所有監控的流量。另外，IDS已經(jīng)出現很多誤報時(shí)間，所有警報都被像防火墻日志那樣處理：被忽視和未讀。

    IDS的失誤是因為大多數攻擊者都搭載合法訪(fǎng)問(wèn)中。IDS如何能夠分辨CFO查詢(xún)其財務(wù)數據庫和國外攻擊者使用該CFO的計算機訪(fǎng)問(wèn)相同的數據庫呢?它們不能，根本沒(méi)有辦法判斷查詢(xún)的意圖。

    行不通的安全方法No.7：PKI已經(jīng)被破壞

    公共密鑰基礎設施很好用，但問(wèn)題是很多PKI并不安全，而且大多被忽略，甚至當它們在公共部門(mén)完美運行的時(shí)候。

    在過(guò)去一年或者兩年中，我們已經(jīng)看到幾個(gè)合法公共證書(shū)辦法機構遭到攻擊，使攻擊者能夠訪(fǎng)問(wèn)其簽名密鑰，這原本應該是最需要受到保護的信息，并且，攻擊者能夠發(fā)布欺詐密鑰來(lái)用于其他攻擊。

    即使PKI仍然強大和完美，人們并不在乎。大多數最終用戶(hù)當看到瀏覽器警告說(shuō)“數字證書(shū)不可信任”時(shí)，他們仍然會(huì )點(diǎn)擊“忽略”按鈕。他們很高興地繞過(guò)安全帶來(lái)的不便，并繼續流瀏覽網(wǎng)頁(yè)。

    部分問(wèn)題在于使用數字證書(shū)的網(wǎng)站和程序并沒(méi)有認真對待數字證書(shū)，導致每天都會(huì )發(fā)生證書(shū)錯誤消息。而如果最終用戶(hù)不忽略數字證書(shū)錯誤信息的話(huà)，他們將無(wú)法繼續其網(wǎng)絡(luò )生活，有時(shí)候包括遠程訪(fǎng)問(wèn)其自己的工作系統。瀏覽器供應商可以對數字證書(shū)錯誤進(jìn)行整治，使網(wǎng)站或者服務(wù)不會(huì )出現任何錯誤，但客戶(hù)可能會(huì )選擇另一個(gè)瀏覽器。最終，每個(gè)人都愉快地忽略我們的公共密鑰系統，大家都不在乎PKI。

    行不通的安全方法No.8：你的設備是攻擊者的夢(mèng)想

    設備的主要優(yōu)勢(提高安全性)并沒(méi)有顯現出來(lái)。通過(guò)部署一個(gè)較小的OS足跡(通常是鎖定版本的Linux或者BSD)，設備將會(huì )比運行傳統操作系統的全功能電腦更加安全。然而，在超過(guò)十年的安全設備測試中，只出現過(guò)一個(gè)不包含任何已知公共漏洞的設備。設備只是在封閉的硬盤(pán)驅動(dòng)器或固件上的操作系統，這些設計很難以即使進(jìn)行漏洞修復。

    例如，上周在針對一家財富100強公司的測試中，我們發(fā)現每個(gè)無(wú)線(xiàn)網(wǎng)絡(luò )控制器都有未修復的Apache和OpenSSH服務(wù)，這些漏洞可能讓攻擊者通過(guò)公共無(wú)線(xiàn)網(wǎng)絡(luò )作為管理員進(jìn)入其內部企業(yè)網(wǎng)絡(luò )。他們的IDS和防火墻設備包含公共腳本(很早以前就被發(fā)現存在遠程繞過(guò)漏洞)，且他們的電子郵件設備正在運行允許匿名上傳的不安全的FTP服務(wù)。

    這些結果讓我們很驚訝。設備通常包含與軟件相同數量的漏洞，但它們更難以修復。除了作為被硬化的安全設備外，它們也是攻擊者的夢(mèng)想。

    行不通的安全方法No.9：沙盒提供到底層系統的直接路徑

    安全沙盒的目的在于讓針對軟件的漏洞利用不可能實(shí)現或者至少更難執行。事實(shí)上，安全沙盒并沒(méi)有發(fā)揮這個(gè)作用。

    目前，最大的安全沙盒可能是Java和谷歌的Chrome瀏覽器，而它們都遭受了100次漏洞利用，并允許對底層系統的直接訪(fǎng)問(wèn)。然而，這并沒(méi)有阻止這些夢(mèng)想家追求能夠阻止所有漏洞利用和電腦病毒的沙箱。

    很多安全方法和產(chǎn)品名不符其實(shí)，企業(yè)應該在眾多解決方案中作出選擇，選出能夠真正降低風(fēng)險的解決方案。