組織嘗試解決網絡安全風險的最大挑戰之一,就是在網絡安全開展工作中所面臨的眾多最基本的安全誤區,這些誤區常常導致組織對威脅的錯誤評估、資源的濫用,乃至不恰當安全目標的設定。消除這些誤區,揭開網絡安全的神秘面紗,打破網絡安全的神話,是保證組織順利開展復雜的信息安全工作的關鍵。
神話一:網絡安全就是保護好數據
這是對網絡安全最多的一種誤讀,認為所謂“網絡安全”就是確保數據的訪問安全,確保數據不被用于未經授權的目的,確保數據不被未經授權的用戶使用。這雖然無疑是網絡安全的一個關鍵問題,但數據所在的系統和網絡還要必須防止攻擊。例如,拒絕服務攻擊(DoS)就不是為了獲取企業的敏感數據,但它卻能防止包括企業客戶、合作伙伴在內的其他人訪問和使用這些數據。
神話二:網絡安全就是保護好隱私
另外一個對網絡安全常見的誤解就是,網絡安全就是為了保護好個人身份信息。保護個人信息顯然至關重要,但其他類型的信息也必須應該能夠受到保護。這些其他類型的信息包括商業秘密及其他知識產權(如公司的軟件產品源代碼)、競爭信息(如客戶和供應商列表)、定價和市場數據、公司財務信息等等。確保列入供應商和商業合作伙伴關系的所有形式的保密和專有信息受到保護尤為重要。
神話三:網絡安全就是保護好機密
那么這么說,網絡安全就是保護好機密,確保數據未被泄露了,比如,數據既沒有被未經授權的用戶使用,也沒有被用于未經授權的目的?其實不然。因為真正的數據安全,必須確保其保密性,必須確保其完整性,必須確保其需要時的可用性,即信息安全圈著名的CIA原則。
C——“保密性”(Confidentiality):指保護數據不受未經授權的訪問,并且未被泄露。
I——“完整性”(Integrity):指數據的準確性值得信賴,沒有受到未經授權的變更。幾年前,就有一家著名的黑客雜志刊登過一篇文章,指導那些覺得自己即將被解雇的員工如何給他們的雇主一點顏色看看。文章特別提到了幾種方法,雇員不費吹灰之力就可以讓公司的數據面目全非,如更改主要供應商的賬戶號碼、更改發貨地址等等。
A——“可用性”(Availability):指在需要時數據可供訪問和使用。只維護了數據的保密性和完整性,而當用戶需要的時候,卻無法訪問和使用,那一切就等于零。例如,DoS攻擊就是在不破壞數據的保密性和完整性的情況下,專門讓系統和數據無法訪問和使用的攻擊手段。
神話四:黑客都是技術高手
這是企業專注于制定針對專業黑客的安全措施、防止具有高度熟練編程能力和技術的個人或實體進行攻擊時最常見的一個錯誤。然而,這樣的技能已經不再是黑客的先決條件。如今,即使沒有什么技術知識的人也可以在網上找到簡單易用而又能對企業帶來巨大傷害的黑客工具。這樣人在黑客社區有時被稱作“腳本小子”,因為他們不需要真正的黑客知識。也有各種現成的書籍,可以快速培養新手關于黑客方面的技術。甚至有本暢銷書竟然有一章叫《如何三十分鐘成為一名黑客》。
最后,如今黑客使用的最有效的攻擊手段之一社會工程攻擊根本就不需要任何的技術能力。相反,做為一名高效的社會工程師,所需要的不過是自信和對人性的了解。社會工程攻擊最普遍的形式之一就是釣魚攻擊,即黑客發送虛假郵件索取敏感信息,或在郵件中包含安裝可影響公司網絡惡意軟件的附件。最近釣魚攻擊和其他社會工程技術進行協同在世界范圍內攻擊銀行機構,造成了3億美元乃至可能高達10億美元的損失。
神話五:可以實現100%的安全
對網絡安全最常見的認識誤區之一還有就是可以實現絕對的安全,并且絕對安全是法律規定或行業慣例。這都是不對的。法律和行業慣例對企業的要求也都要合情合理。研究表明,即使規定企業將整體預算提高9倍,也只能解決95%的威脅。這需要企業提高整體安全預算之中只有95%的威脅。在大多數情況下,這樣的預算增加對于整個企業來說是得不償失的。
關于安全措施有一個基本的矛盾:隨著安全防護的增加,安全系統的可用性卻在下降。也就是說,越安全的系統越沒有使用價值。例如,要實現一臺移動設備如智能手機的絕對安全。首先需要將設備設置為飛行模式,并將設備鎖定在安全模式。絕對安全倒是實現了,可用性也降到了零。所以要保證數據和系統的安全,必須要在有效安全措施和可用性之間進行較量,并達成某種平衡。
實施“深度安全”
因為網絡安全的重中之中就是保護好企業的數據,所以好的網絡安全措施需要為數據駐留的系統和數據訪問通過的網絡提供保護。在大多數情況下,企業都應該實行“深度安全”措施。該措施推薦使用多層防護來應對威脅。例如,為了防止網絡釣魚攻擊,公司可以對員工進行培訓,提醒他們小心打開不明郵件。作為更進一步的安全措施,公司可以將這種培訓與殺毒軟件結合起來進行培訓,如果可能的話,最好是能夠檢測釣魚攻擊的殺毒軟件。
所有敏感的和專有的信息,而不僅僅是這些數據中一部分,都必須要考慮解決和減輕網絡安全威脅。保護這些信息資產不僅必須考慮到公司的內部,還要考慮到外部供應商、承包商和其他合作伙伴。由于企業將其數據委托給系統未受充分保護的第三方供應商所導致的安全泄露事件,時常充斥各大新聞網站的頭條。
說到安全措施,應該將CIA概念(即前面提到的保密性、完整性和可用性)作為一項基本要求。具體來說,安全控制必須不僅僅是為了解決數據的保密性,還要解決數據的完整性和可用性。要知道,黑客神通廣大。如果他們無法獲得數據,他們可能會阻止其他人的訪問,或者設法破壞數據的完整性。
永遠不要低估社會工程攻擊和其他類似的“非技術”攻擊的有效性。每個公司每天都在經受著網絡釣魚和其他手段的攻擊。適當、反復的員工培訓是減輕這種實質性威脅的最重要的步驟之一。
可適用的法律和標準要求企業采取合理的措施應對威脅。這意味著要進行適當的能夠平衡安全性和可用性的投資。達到適當平衡是設計成功網絡安全方法的關鍵。
京公網安備 11010502049343號