在IT安全領(lǐng)域，存在一些“安全神話”，它們經(jīng)常被提到，普遍被接受，然而，其實都是不正確的觀念，換句話說，它們只是神話。安全專家、顧問、供應(yīng)商和企業(yè)安全管理人員和我們分享了他們最喜歡的“安全神話”，以下是我們從中選出的13個神話：

安全神話1：“更多安全更好”

安全專家兼安全作家BruceSchneider解釋了為什么這個經(jīng)常被談?wù)摰陌踩�觀念是錯誤的原因。他解釋說：“更多安全并不意味著更好。首先，我們需要對安全進(jìn)行權(quán)衡，有時候額外的安全花費的資金與其創(chuàng)造的價值并不對等。舉例來說，并不值得我們花費10萬美元去保護(hù)一個甜甜圈，當(dāng)然，這個甜甜圈會更加安全，但是這種安全保護(hù)只是在浪費錢，”他還指出“額外的安全會導(dǎo)致收益減少。也就是說，減少25%特定犯罪(例如入店行竊)采取的措施需要花一些錢，但再減少25%采取額外的措施需要花更多錢。更多的安全性從成本效益角度來看并不值得。并且作為一個必然的結(jié)果，絕對安全是不可能實現(xiàn)的。”有時候安全甚至可能成為一種道德選擇，合規(guī)可能是一種不道德的決策，因為這可能涉及到一個極權(quán)制度。“安全需要遵守合規(guī)，而有時候遵守并不是正確的事情。”

安全神話2：“DDoS問題是以帶寬為導(dǎo)向的”

“我們經(jīng)常會聽到各種沒有真實證據(jù)支撐的安全神話，”Radware公司安全解決方案副總裁CarlHerberger表示，“在IT管理人員之間存在一個普遍的看法：只要他們具有足夠的帶寬，分布式拒絕服務(wù)(DDoS)攻擊就會消失。”但事實上，研究數(shù)據(jù)顯示，自去年以來，超過一半的分布式拒絕服務(wù)攻擊根本不是以帶寬為導(dǎo)向的，而是以應(yīng)用程序為導(dǎo)向，攻擊者會攻擊應(yīng)用程序堆棧，并利用漏洞造成服務(wù)中斷。在這種情況下，很多帶寬實際上會幫助攻擊者。Herberger表示，只有四分之一的分布式拒絕服務(wù)攻擊會隨著帶寬的增加而有所緩解。

安全神話3：“定期設(shè)定密碼使用期限(通常每隔90天)能夠加強(qiáng)密碼系統(tǒng)”

EMC公司安全分公司RSA公司首席科學(xué)家AriJuels在談到他最喜歡的安全神話“密碼必須定期設(shè)定過期時間”時表示：“我認(rèn)為這像是一個敦促我們每天喝八杯水的健康建議一樣，沒有人知道這個說法是從哪里來的，也根本不知道這是不是一個好建議。事實上，最近的研究表明，定期的密碼過期時間未必有用。”RSA實驗室的研究表明，如果企業(yè)要設(shè)定密碼使用期限，應(yīng)該是根據(jù)隨機(jī)時間來設(shè)定，而不是固定時間。

安全神話4：“你可以依靠群眾的智慧”

“經(jīng)常，員工會收到某個人發(fā)來的電子郵件說發(fā)現(xiàn)一個新病毒”或者互聯(lián)網(wǎng)上出現(xiàn)了其他類型的危險，導(dǎo)致員工去找IT部門，PhoenixSuns籃球隊信息技術(shù)副總裁BillBolt表示。但是經(jīng)過調(diào)查，這些共有的觀念似乎根本不是新鮮事，事實上，大部分時候，這種恐慌通常只是是關(guān)于十年前首次發(fā)現(xiàn)的知名惡意軟件。

安全神話5：“客戶端虛擬化可以解決‘攜帶自己設(shè)備上班’的安全問題”

“我經(jīng)常聽到這樣的安全神話：‘攜帶自己設(shè)備上班’的安全問題可以通過部署‘工作’虛擬機(jī)和‘個人’虛擬機(jī)來解決，”Gartner公司分析師JohnPescatore表示，“這樣做的話，個人端的所有風(fēng)險都將得到控制，并且沒有數(shù)據(jù)會從工作端泄露到游戲端。”但是對此Pescatore表示懷疑。“情報界在多年前也嘗試過這個方法，美國國家安全局雇傭了當(dāng)時還是小公司的VMware公司來開發(fā)一個名為NetTop的產(chǎn)品以用于情報分析，這個產(chǎn)品為機(jī)密、絕密、非機(jī)密等信息分別創(chuàng)建了獨立虛擬機(jī)，很快就出現(xiàn)了一個問題，分析師需要同時跨域所有域來工作，需要在域間移動信息。對于現(xiàn)在的‘工作’和‘游戲’也是同樣的情況，客戶端虛擬化首先出現(xiàn)的事情是：我在工作環(huán)境收到一封個人電子郵件，而我需要在個人環(huán)境使用這封郵件，所以我將郵件發(fā)給我自己，或者使用USB來轉(zhuǎn)移，這樣這種隔離就失去作用了。虛擬化只是浪費錢。NetTop仍然在使用，不過僅限于在情報界使用，這是這種產(chǎn)品最有可能有效發(fā)揮作用的領(lǐng)域。”

安全神話6：“IT部門應(yīng)該鼓勵用戶使用完全隨機(jī)的密碼來提高密碼安全強(qiáng)度，還應(yīng)該要求密碼至少每隔30天修改一次。”

賽門鐵克安全響應(yīng)部門主管KevinHaley表示，“事實上，完全隨機(jī)的密碼是很強(qiáng)大，但是它們也有缺點：很難讓人記住，輸入速度也很慢。在現(xiàn)實中，可以通過使用一些簡單的技巧，很容易地創(chuàng)建和隨機(jī)密碼一樣強(qiáng)大的密碼，而且更加容易記住。密碼至少要14個字符長，利用大寫和小寫字母，兩個數(shù)字和兩個符號，這樣的密碼通常就相當(dāng)強(qiáng)大了，并且可以使用很容易記住的短語。”他補充說雖然30天使用期限對于一些高風(fēng)險環(huán)境是一個很好的建議，但這通常并不是最好的政策，因為這么短的使用期限往往會導(dǎo)致用戶提前準(zhǔn)備好類似密碼或者降低密碼的有效性。90到120天的期限更加現(xiàn)實。

安全神話7：“任何計算機(jī)病毒都會在屏幕上產(chǎn)生一個可見的癥狀”

“對于街上的人，計算機(jī)病毒大多是一個神話，也就是說，他對于惡意軟件的了解大多數(shù)來自于科幻小說、電視和電影，”GDataSoftware公司DavidPerry表示，“我最喜歡的安全神話就是任何計算機(jī)病毒都會在屏幕上產(chǎn)生一個明顯的癥狀，顯示文件正在被侵蝕或者讓計算機(jī)本身起火。而沒有任何可見的病毒跡象就表明系統(tǒng)中沒有惡意軟件。這顯然是無稽之談。”

安全神話8：“我們并不是攻擊目標(biāo)”

Kroll公司網(wǎng)絡(luò)安全和信息保障體系高級管理總監(jiān)AlanBrill表示：“我經(jīng)常聽到受害者說他們認(rèn)為他們并不值得黑客攻擊，有些說不值得是因為他們只是小型企業(yè)，根本不至于成為目標(biāo)。另一些人認(rèn)為他們的系統(tǒng)中并沒有社會安全號碼、信用卡信息或者其他‘有價值的’信息。但事實并不是這樣。”

安全神話9：“從安全漏洞來看，與以前的軟件相比，現(xiàn)在的軟件并沒有任何好轉(zhuǎn)”

“有一大群人指責(zé)說軟件中存在太多漏洞，與以前的軟件相比，安全性并沒有任何好轉(zhuǎn)，”Cigital公司首席技術(shù)官GaryMcGraw表示，“事實上，現(xiàn)在的軟件改善了很多，并且缺陷密度比率正在下降。”他指出與十年或者二十年前相比，現(xiàn)在大家對于安全編碼做法有了更好的理解，并且有很多有效的安全編碼工具。McGraw表示：“我們知道該做什么。”經(jīng)常被我們忽視的事實是與Windows95的時代相比，現(xiàn)在需要編寫太多軟件代碼，我們現(xiàn)在編寫的代碼量比以往任何時候都要多得多。“龐大的代碼量也是現(xiàn)在的軟件比以前的軟件存在更多漏洞的原因，但是零漏洞是不可能實現(xiàn)的。”

安全神話10：“通過SSL會話傳輸敏感信息是安全的”

“企業(yè)經(jīng)常使用SSL向客戶或者合作伙伴發(fā)送敏感信息，他們認(rèn)為通過SSL會話的數(shù)據(jù)傳輸是非常安全的，”Americas公司NCPEngineering部門首席技術(shù)官RainerEnders表示，“但是這個過程中開始涌現(xiàn)出越來越多的漏洞。”他指出花旗銀行就在這個過程中遭受了數(shù)據(jù)泄露，并且這并不是一個孤立的事件。“瑞士研究人員最近公布了一份備忘錄，描述了通過利用塊加密算法(例如AES)中的漏洞在SSL通道傳輸數(shù)據(jù)過程中捕獲數(shù)據(jù)的方法，”他表示業(yè)界對SSL會話的安全性存在懷疑，“也許避免這個問題最理想的方法就是永遠(yuǎn)不要使用相同的密鑰流來加密兩個不同的文件”。Ender還補充說，另一個類似的安全神話是使用來自證書頒發(fā)機(jī)構(gòu)的可信證書是絕對安全的，而去年欺詐性證書就推翻了這個神話。

安全神話11：“端點安全軟件是一種商品”

企業(yè)戰(zhàn)略集團(tuán)(ESG)分析師JonOltsik表示，在ESG的問卷調(diào)查中詢問端點安全軟件是否是一個商品以及是否基本上都是一樣時，大多數(shù)企業(yè)安全專業(yè)人士都同意這個關(guān)于端點安全產(chǎn)品的說法。但是Oltsik表示他不同意端點安全軟件基本上都是相同的說法。“我認(rèn)為這完全是一個訛傳，”他表示，“端點安全產(chǎn)品在保護(hù)和功能/特性方面來看有很大的不同。”Oltsik補充說，他甚至認(rèn)為大多數(shù)企業(yè)根本不知道他們已經(jīng)購買的端點安全產(chǎn)品的功能，并沒有使用適當(dāng)?shù)漠a(chǎn)品來加大保護(hù)。

安全神話12“當(dāng)然，我們網(wǎng)絡(luò)中有防火墻，我們當(dāng)然受到保護(hù)!”

阿肯色大學(xué)信息技術(shù)安全分析師KevinButler表示他從事防火墻管理員的工作長達(dá)十年，有很多關(guān)于防火墻的神話。他承認(rèn)在過去幾年他曾相信其中一些神話，包括“防火墻是一個硬件”和“正確配置的防火墻能夠保護(hù)你免受任何威脅”。他知道的其他防火墻神話包括“有了防火墻，就不需要殺毒軟件了”，最讓他憤怒的是“某品牌防火墻甚至可以抵御零日威脅”。對此，他表示，“針對防火墻保護(hù)的新漏洞利用出現(xiàn)的速度非�？�，防火墻不可能抵御零日威脅。防火墻對于外圍保護(hù)永遠(yuǎn)不可能是一個一勞永逸的解決方案。”

安全神話13：“你發(fā)現(xiàn)了作為有針對性攻擊一部分的惡意軟件樣本，你不應(yīng)該將這些樣本上傳給知名惡意軟件供應(yīng)商或者服務(wù)。”

DellSecureWorks公司惡意軟件分析主管JoeStewart表示他曾聽過這個建議，他認(rèn)為這是個“有問題的”建議。他表示這個想法的出現(xiàn)是建立在，“首先，攻擊者可能會查看公共沙箱和病毒掃描儀來尋找他們的惡意軟件的蹤跡，將在事件響應(yīng)中發(fā)現(xiàn)的樣本上傳將會讓攻擊者知道他們被發(fā)現(xiàn)了。”他指出這種想法存在的第二個原因在于：在一個有針對性攻擊中，惡意軟件中可能存在線索指明誰是攻擊目標(biāo)，導(dǎo)致暴露了攻擊。Stewart指出：“第一點假設(shè)了攻擊者有時間去定期查看公共信息，這幾乎是不可能的，即使在有針對性攻擊中，單次攻擊活動往往有幾十個受害者，而同一名攻擊者每年要發(fā)動幾次這樣的攻擊活動。攻擊者很少對每個不同目標(biāo)使用獨特的惡意軟件，他們只是選擇使用預(yù)選的木馬程序，讓他們不被殺毒軟件發(fā)現(xiàn)。即使某個惡意軟件樣本出現(xiàn)在公共惡意軟件追蹤網(wǎng)站，也不能保證攻擊者會看到，即使攻擊者看到，攻擊者也無法確定上傳這個惡意軟件樣本的目標(biāo)。”對于有針對性攻擊，共享你發(fā)現(xiàn)的惡意軟件樣本有很大的好處。惡意軟件也有可能揭露目標(biāo)機(jī)構(gòu)的名稱，這是可能發(fā)生的，只是不經(jīng)常能看到。Stewart表示，從長期來看，試圖對這種有針對性攻擊活動進(jìn)行保密可能會對所有人帶來造成影響，因為這樣將助長攻擊者的攻擊活動。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０