企業(yè)的首席執(zhí)行官負責(zé)領(lǐng)導(dǎo)公司的所有戰(zhàn)略規(guī)劃和運營，同時也負有很大的領(lǐng)導(dǎo)責(zé)任。因此，他們希望IT安全方面的工作人員聰明能干，并在正確的地方做正確的事情來應(yīng)對威脅。事實上，很多企業(yè)的首席執(zhí)行官在IT安全方面浪費了大量預(yù)算，因為其安全策略和措施應(yīng)用在那些實際上不起作用的事情上。

 

這是為什么?

 

首席執(zhí)行官對有關(guān)IT安全方面有一些誤解，很多都是一種教條，而不是真實的知識和經(jīng)驗。當首席執(zhí)行官相信錯誤的事情時，就很難有效地做正確的事情。以下是很多企業(yè)首席執(zhí)行官對計算機和網(wǎng)絡(luò)安全的普遍看法。

 

 

大多數(shù)計算機和網(wǎng)絡(luò)的防御措施薄弱，并且不得當，以至于黑客和惡意軟件可以隨意侵入。很多惡意軟件甚至在企業(yè)的IT環(huán)境中存在多年，很多企業(yè)的計算機防御措施非常糟糕并且漏洞百出，以至于首席執(zhí)行官們被告知不可能阻止黑客和惡意軟件的侵襲。他們所能做的最好的事情就是“假定違規(guī)”，在攻擊者進入環(huán)境時及早發(fā)現(xiàn)，并減緩攻擊者的入侵速度。

 

那么，人們能想象一下軍事將領(lǐng)在遭遇敵方攻擊時告訴下屬：無論他們做什么，都沒有辦法贏得勝利......這不可能，但這也正是計算機安全領(lǐng)域希望首席執(zhí)行官們具有清醒認識的原因。

 

雖然由國家層面資助的黑客組織的攻擊很難被阻止，但企業(yè)只要正確地完成安全防御的一些部署，就可以很好地阻止大多數(shù)黑客和惡意軟件的入侵。而采用更好的IT安全策略和一些關(guān)鍵防御措施可以顯著降低黑客或惡意軟件進入企業(yè)IT環(huán)境的大部分風(fēng)險。

 

 

人們認為黑客和惡意軟件永遠無法防御，其部分原因是很多人認為黑客都是非常出色的，是不可阻擋的超級天才。這種浪漫主義的思想很容易在好萊塢電影中得到推廣，這些電影的故事情節(jié)中，黑客可以輕松猜測密碼，并入侵和接管世界各地的計算機，并進入任何系統(tǒng)。黑客可以通過網(wǎng)絡(luò)攻擊，以及掌握密碼發(fā)射核彈，并輕松擦除人們的數(shù)字身份。

 

這個錯誤的想法讓很多人信以為真，因為這些被黑客攻擊或感染惡意軟件的人并不是程序員或IT安全人員。對他們來說，這有些像一個神奇的事件。

 

現(xiàn)實情況是，大多數(shù)黑客的智商水平都和普通人一樣。黑客只知道如何使用以前的工作人員傳遞的特定工具完成特定的交易，這并不是說沒有出色的黑客，但他們很少，就像其他職業(yè)一樣。不幸的是，對黑客非常聰明的誤解正好強化了他們不能被擊敗的神話。

 

 

這可能是最需要消除的誤解之一。大多數(shù)企業(yè)IT安全團隊的工作人員都很聰明和勤奮，但在大多數(shù)情況下，他們所從事的工作不會大幅降低計算機的安全風(fēng)險。因為很多人將太多的資源放在錯誤的地方去對付錯誤的東西。

 

可悲的事實是，IT安全團隊很少有真正的數(shù)據(jù)來支持解決他們認為是真正的問題。如果首席執(zhí)行官詢問IT安全團隊，他們的組織面臨的最大威脅是什么，那么很可能會震驚地發(fā)現(xiàn)沒有人真正知道答案。即使有人給出了正確的答案，他們也沒有數(shù)據(jù)來支持它。相反，IT安全團隊中有很多人不明白什么是最大的問題。如果IT安全團隊不知道最大的問題是什么，他們怎么能最有效地對抗最大的威脅?

 

 

企業(yè)的首席執(zhí)行官們在業(yè)務(wù)上和職責(zé)上都要確保他們的公司符合每一項法律和法規(guī)的合規(guī)要求。如今，大多數(shù)企業(yè)都會受到多種不同的IT安全需求的影響。所有的首席執(zhí)行官都知道，如果他們履行合規(guī)義務(wù)，他們就是專業(yè)人士所認為的“安全”，或者至少正在做法規(guī)認為是安全的事情。

 

可悲的是，遵守法規(guī)所要求的往往與安全性并不相同，并且有時可能與真正的安全相沖突。例如，人們知道，以往的長期密碼政策要求(包括使用很長而復(fù)雜的密碼在一年中必須經(jīng)常更改)與使用從未改變的非復(fù)雜密碼相比，會造成更大的安全風(fēng)險。人們多年前就已經(jīng)知道這些常識，這實際上是在過去幾年發(fā)布的大部分“官方”密碼建議都有提及。

 

大多數(shù)IT安全人員和首席執(zhí)行官不知道這一點。即使他們知道這一點，他們也無法遵循更新、更好的密碼準則。為什么?因為目前的法規(guī)要求在遵循新的密碼準則方面都沒有更新。因此，安全合規(guī)性并不總是等于安全。有時候，可能出現(xiàn)的情況與人們的想法正好相反。

 

 

大多數(shù)首席執(zhí)行官認為他們的軟件和應(yīng)用程序的補丁已經(jīng)得到了控制。而“控制”的意思是指軟件的補丁是最新的，或者是接近最新的版本。對于那些不是非常安全的設(shè)備，例如路由器，防火墻和服務(wù)器，它們的補丁應(yīng)該是完美的。大多數(shù)IT安全部門可能會告訴他們的首席執(zhí)行官，他們的補丁“接近完美”，可能高達90%。

 

大多數(shù)公司有數(shù)百到數(shù)千個他們需要修補的程序。這些程序的大多數(shù)從不需要修補，不是因為沒有錯誤，而是因為攻擊者沒有攻擊這些程序。而沒有發(fā)現(xiàn)錯誤，因此也不需要修補。

 

在大多數(shù)組織中，可能有10到20個未修補程序，這意味著面臨大多數(shù)的黑客風(fēng)險。在這些程序中，大多數(shù)程序的打補丁的準確率可能非常高，可能只有一兩個程序沒有打補丁。但不幸的是，就是這一個或幾個未修補程序?qū)⑹勾蠖鄶?shù)組織面臨嚴重的風(fēng)險，但是如果只是只查看數(shù)字報告的話，它可能看起來很不錯。

 

舉個例子，假設(shè)一家公司只有一百個程序要打補丁。在這一百個程序中，只有一個程序的修補率很差，假設(shè)它只修補了50%，其整體修補率可以達到99.5%。這看起來相當不錯，但是這意味著，這個只修補了50%補丁的程序可能是黑客用來攻擊組織的程序之一。

 

在這里并沒有提到大多數(shù)公司甚至沒有或不打算修補的大量硬件、固件和驅(qū)動程序。它們通常沒有包含在補丁的修補報告中。如果包括這些，其修補率看起來會更糟糕。而近年來，黑客攻擊硬件和固件的事件更加頻繁。這并不是什么巧合。

 

 

大多數(shù)企業(yè)面臨的兩大威脅之一是社交工程。黑客可以通過電子郵件或網(wǎng)絡(luò)瀏覽器入侵。考慮到將會面臨損害最嚴重的頂級攻擊，社會工程可能涉及99%的案例。

 

然而，大多數(shù)公司每年只花不到30分鐘的時間進行社交工程安全的培訓(xùn)。計算機安全領(lǐng)域已經(jīng)確定了大多數(shù)組織中面臨主要的兩個問題，(另一個是未打補丁的軟件)，但幾乎沒有組織這么實施。相反，企業(yè)的員工沒有接受足夠的安全培訓(xùn)來阻止黑客通過社交工程進行攻擊，無論企業(yè)采取什么措施，無論企業(yè)投入多少資金或其他資源，都有可能被黑客成功攻擊。

 

這些誤解讓人們認為無法阻止黑客和惡意軟件的攻擊。如果首席執(zhí)行官(或CSO或CISO)向IT安全團隊詢問一個問題：“我們最大的威脅是什么，在哪里支持它?”，這很難有一個共同的答案。如果企業(yè)對最大的問題沒有達成一致，那么如何有效地應(yīng)對它們呢?

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。