2015年07月15日 星期三
打破网络安全神话 安全的关键是平衡

    组织尝试解决网络安全风险的最大挑战之一,就是在网络安全开展工作中所面临的众多最基本的安全误区,这些误区常常导致组织对威胁的错误评估、资源的滥用,乃至不恰当安全目标的设定。消除这些误区,揭开网络安全的神秘面纱,打破网络安全的神话,是保证组织顺利开展复杂的信息安全工作的关键。

    神话一:网络安全就是保护好数据

    这是对网络安全最多的一种误读,认为所谓“网络安全”就是确保数据的访问安全,确保数据不被用于未经授权的目的,确保数据不被未经授权的用户使用。这虽然无疑是网络安全的一个关键问题,但数据所在的系统和网络还要必须防止攻击。例如,拒绝服务攻击(DoS)就不是为了获取企业的敏感数据,但它却能防止包括企业客户、合作伙伴在内的其他人访问和使用这些数据。

    神话二:网络安全就是保护好隐私

    另外一个对网络安全常见的误解就是,网络安全就是为了保护好个人身份信息。保护个人信息显然至关重要,但其他类型的信息也必须应该能够受到保护。这些其他类型的信息包括商业秘密及其他知识产权(如公司的软件产品源代码)、竞争信息(如客户和供应商列表)、定价和市场数据、公司财务信息等等。确保列入供应商和商业合作伙伴关系的所有形式的保密和专有信息受到保护尤为重要。

    神话三:网络安全就是保护好机密

    那么这么说,网络安全就是保护好机密,确保数据未被泄露了,比如,数据既没有被未经授权的用户使用,也没有被用于未经授权的目的?其实不然。因为真正的数据安全,必须确保其保密性,必须确保其完整性,必须确保其需要时的可用性,即信息安全圈著名的CIA原则。

    C——“保密性”(Confidentiality):指保护数据不受未经授权的访问,并且未被泄露。

    I——“完整性”(Integrity):指数据的准确性值得信赖,没有受到未经授权的变更。几年前,就有一家著名的黑客杂志刊登过一篇文章,指导那些觉得自己即将被解雇的员工如何给他们的雇主一点颜色看看。文章特别提到了几种方法,雇员不费吹灰之力就可以让公司的数据面目全非,如更改主要供应商的账户号码、更改发货地址等等。

    A——“可用性”(Availability):指在需要时数据可供访问和使用。只维护了数据的保密性和完整性,而当用户需要的时候,却无法访问和使用,那一切就等于零。例如,DoS攻击就是在不破坏数据的保密性和完整性的情况下,专门让系统和数据无法访问和使用的攻击手段。

    神话四:黑客都是技术高手

    这是企业专注于制定针对专业黑客的安全措施、防止具有高度熟练编程能力和技术的个人或实体进行攻击时最常见的一个错误。然而,这样的技能已经不再是黑客的先决条件。如今,即使没有什么技术知识的人也可以在网上找到简单易用而又能对企业带来巨大伤害的黑客工具。这样人在黑客社区有时被称作“脚本小子”,因为他们不需要真正的黑客知识。也有各种现成的书籍,可以快速培养新手关于黑客方面的技术。甚至有本畅销书竟然有一章叫《如何三十分钟成为一名黑客》。

    最后,如今黑客使用的最有效的攻击手段之一社会工程攻击根本就不需要任何的技术能力。相反,做为一名高效的社会工程师,所需要的不过是自信和对人性的了解。社会工程攻击最普遍的形式之一就是钓鱼攻击,即黑客发送虚假邮件索取敏感信息,或在邮件中包含安装可影响公司网络恶意软件的附件。最近钓鱼攻击和其他社会工程技术进行协同在世界范围内攻击银行机构,造成了3亿美元乃至可能高达10亿美元的损失。

    神话五:可以实现100%的安全

    对网络安全最常见的认识误区之一还有就是可以实现绝对的安全,并且绝对安全是法律规定或行业惯例。这都是不对的。法律和行业惯例对企业的要求也都要合情合理。研究表明,即使规定企业将整体预算提高9倍,也只能解决95%的威胁。这需要企业提高整体安全预算之中只有95%的威胁。在大多数情况下,这样的预算增加对于整个企业来说是得不偿失的。

    关于安全措施有一个基本的矛盾:随着安全防护的增加,安全系统的可用性却在下降。也就是说,越安全的系统越没有使用价值。例如,要实现一台移动设备如智能手机的绝对安全。首先需要将设备设置为飞行模式,并将设备锁定在安全模式。绝对安全倒是实现了,可用性也降到了零。所以要保证数据和系统的安全,必须要在有效安全措施和可用性之间进行较量,并达成某种平衡。

    实施“深度安全”

    因为网络安全的重中之中就是保护好企业的数据,所以好的网络安全措施需要为数据驻留的系统和数据访问通过的网络提供保护。在大多数情况下,企业都应该实行“深度安全”措施。该措施推荐使用多层防护来应对威胁。例如,为了防止网络钓鱼攻击,公司可以对员工进行培训,提醒他们小心打开不明邮件。作为更进一步的安全措施,公司可以将这种培训与杀毒软件结合起来进行培训,如果可能的话,最好是能够检测钓鱼攻击的杀毒软件。

    所有敏感的和专有的信息,而不仅仅是这些数据中一部分,都必须要考虑解决和减轻网络安全威胁。保护这些信息资产不仅必须考虑到公司的内部,还要考虑到外部供应商、承包商和其他合作伙伴。由于企业将其数据委托给系统未受充分保护的第三方供应商所导致的安全泄露事件,时常充斥各大新闻网站的头条。

    说到安全措施,应该将CIA概念(即前面提到的保密性、完整性和可用性)作为一项基本要求。具体来说,安全控制必须不仅仅是为了解决数据的保密性,还要解决数据的完整性和可用性。要知道,黑客神通广大。如果他们无法获得数据,他们可能会阻止其他人的访问,或者设法破坏数据的完整性。

    永远不要低估社会工程攻击和其他类似的“非技术”攻击的有效性。每个公司每天都在经受着网络钓鱼和其他手段的攻击。适当、反复的员工培训是减轻这种实质性威胁的最重要的步骤之一。

    可适用的法律和标准要求企业采取合理的措施应对威胁。这意味着要进行适当的能够平衡安全性和可用性的投资。达到适当平衡是设计成功网络安全方法的关键。(牛安全)  

京ICP备06005116