- 作者:佚名 文章来源:cnBeta.com 点击数: 更新时间:2008-5-16
在拉斯维加斯Interop会场上,一位安全专家告诫与会者:公司的IT负责人必须注意影响到公司网络安全的七个安全产业内的小秘密。
在拉斯维加斯Interop会场上,一位安全专家告诫与会者:公司的IT负责人必须注意影响到公司网络安全的七个安全产业内的小秘密。
虽然IBM/ISS本身也是一个安全服务提供商,其首席安全策略师JoshuaCorman还是在会上说:“对于安全产品和服务提供商试图想要告诉你的东西,最好是保持适度的怀疑。”
他沿用1960年代RalphNader针对汽车安全出版的书《任何速度都不安全》来作为他演讲的标题:“任何速度都不安全,安全产业七个肮脏的秘密”。Nader讽刺汽车制造商针对汽车安全所做的改造都是一些花拳绣腿,没有实质性的提高。
安全厂商们时不时将其研发的投资用于管理界面而非更多的安全功能,他们更倾向于仅在客户强烈要求时才增加这样的安全功能。Corman说道:“安全厂商的目的是赚钱,而不是让用户更安全。”他说这是安全厂商的第零号肮脏的秘密。其他的七个分别为:
1、安全认证具有极强的误导性
安全认证标准经常确认说相应的产品能够100%地阻挡所有的可复制恶意代码。然而被捕获到的恶意代码中有75%是不可复制的,例如木马。当标准设定之后,Corman说:“不可复制的恶意代码仅占恶意代码的5%”。认证意味着一个产品只能捕获100%恶意代码中的25%.
2、没有安全世界
厂商常说网络世界必须设置防御,但大部分数据丢失其实并非经由防火墙,一半的数据丢失其实是经由丢失的笔记本电脑或其他移动设备。企业必须加强其商务流程的管理,如同他们加强其网络边界的管理一样。他说:“如果你继续相信网络世界,就像是你相信圣诞老人一样。”
3、风险评估威胁到安全厂商
安全厂商希望企业买他们所卖的,这样他们能推动阻挡特定威胁的产品。例如,NAC能解决一些实际的问题,但是如果此类问题对企业来说并不会对其主要业务产生大影响,那就根本不需要予以考虑。Corman说:“风险评估应能确定改进业务流程或固化配置是必须的,你需要了解所处的环境和大的优先级。”
4、弱的软件之新还有更多的风险
安全厂商力推如何保护和修复软件的漏洞,但是Cormen说这些问题仅占被成功利用的漏洞的一部分。弱口令、弱配置,特别是缺省配置,以及易被社会工程突破的缺乏安全意识的人才是最大的问题。Cormen说:“即使软件是完美的,仍有病毒木马会肆虐,他们其实并不完全依赖于软件问题。”
5、安全规范威胁到安全
安全规范本身并不是一件坏东西,但是遵从政府制定的标准,例如:HIPAA或行业的标准如PCI并不是以使你的网络更安全。问题在于政策法规制造了规范要求与网管认为对业务来说最需要做的事之间的落差,影响到预算和资源的投入。遵从这样的标准,同时意味着可能引发针对此类相同防御的可能攻击能被实施。他说:“如果PCI告诉他们防御重点在什么地方,那攻击者就能轻易绕开。”
6、厂商的盲点可能导致Storm类蠕虫病毒的再度爆发
公司层的防御能利用行为检测等技术锁定到僵尸网络,但是个人用户网络并未受到保护。行为检测到技术或异常行为分析等在个人安全产品上的运用可以起到一定的保护作用,然而一方面由于此类技术仍存在技术不足和盲点,另外仍有大量未使用此类技术的用户,Storm这样的蠕虫病毒仍然有爆发的可能。
7、安全DIY已不再
安全厂商力图使用户相信,安全由于其复杂性使得用户已不能独自面对,但是由于不同业务的安全需求的不同特点,仅仅选择产品是不够的。Corman说:“仅有对的工具仍然是不够的,还需要针对环境实行正确的安装配置。”所以需要IT的专业人员来完成这样的工作是最好的。
墨者安全专家认为:Corman作为一名资深的安全专家,他揭示的安全业的问题基本上是忠恳的,但字里行间仍然有为IBM/ISS安全咨询服务推销的软文嫌疑,特别是第二、三、五、七个秘密。所以说Corman也不免落于第零个秘密。
对于安全认证,尤其是所谓的国际安全认证,Corman确实说到了点子上。这其实是一个安全行业的潜规则。例如近年来几乎被国内杀毒厂商神话了的VB100,认证其初衷是为比较各厂商的安全产品而设立的“不偏不倚”的独立评测组织,其每次测试的病毒样本来源于另个独立组织Wildlist.org。然而随着商业利益的驱使,就如同近年来常见诸报道的各大国际标准组织一样,Wildlist.org、VirusBulletin以及ICSA等组织的认证,目前都带有浓厚的商业味道。是否是组织内部人士,甚至是否是组织内的核心圈人士能直接影响到该次测试的样本集,从而直接影响到测试的结果。所以围绕这些组织的公关是愈演愈烈。更有甚者,目前Wildlist.org中的通信员是一个封闭的组织,其成员的选取程序目前未见任何公开的披露。他们个人及代表的公司的利益直接影响到相关评测的公正性。从某种意义上来说,只有立法公正,才能保证程序的公正,从而保证结果的公正。
相关文章
| · | 国家药品代码将实现"三码合一" | 5月15日 |
| · | 企业建站:首选虚拟主机建站 | 5月15日 |
| · | 全球采购市场:机遇与挑战并存 | 5月13日 |
| · | 中国制药行业信息化现状 | 5月6日 |
| · | 互联网销售假药治标难 | 4月30日 |
| · | 网上买药陷阱重重要小心 | 4月29日 |
| · | CRO将成为整个医药行业的重要组成部分 | 4月23日 |
| · | 广东药品阳光采购报名企业减少 | 4月22日 |
| · | 网上卖药品陷阱重重 | 4月21日 |
| · | SFDA将重点打击网络假药销售 | 4月18日 |
| · | 谷歌地图服务欧洲受阻:欧盟称将侵犯隐私 | 5月16日 |
| · | 信息化专业人才匮乏:医药零售企业落差较大 | 5月16日 |
| · | 阿里巴巴:传递信息鼓励中小企业集体赈灾 | 5月16日 |
| · | 揭露网络安全产业的七个“肮脏”秘密 | 5月16日 |
| · | “网络牵手信息助残”行动今启动 | 5月16日 |
| · | 第1季网络安全市场规模达19.06亿元 | 5月15日 |
| · | 医院信息化:发展迅速,阻力重重 | 5月15日 |
| · | 谷歌地图服务欧洲受阻:欧盟称将侵犯隐私 | 5月16日 |
| · | 揭露网络安全产业的七个“肮脏”秘密 | 5月16日 |
| · | 阿里巴巴与软银正式宣布成立日本阿里巴巴 | 5月15日 |
| · | 日本网上银行被盗现象激增 | 5月14日 |
| · | 传伊坎抢购雅虎股票:罢免拒微软收购董事 | 5月14日 |
| · | 全球采购市场:机遇与挑战并存 | 5月13日 |
| · | 韩国全面推行网络实名制 | 5月13日 |
| · | 信息化专业人才匮乏:医药零售企业落差较大 | 5月16日 |
| · | 阿里巴巴:传递信息鼓励中小企业集体赈灾 | 5月16日 |
| · | “网络牵手信息助残”行动今启动 | 5月16日 |
| · | 第1季网络安全市场规模达19.06亿元 | 5月15日 |
| · | 医院信息化:发展迅速,阻力重重 | 5月15日 |
| · | CN域名有效期将延长:保障震区用户利益 | 5月15日 |
| · | IT企业捐款将近1.5亿:互联网企业捐赠踊跃 | 5月15日 |
| · | 别让中小企业再迷茫 | 5月16日 |
| · | 赵之心坐客康Q网:解读"红颜薄命" | 5月16日 |
| · | 精准营销:让企业不再远离消费者 | 5月16日 |
| · | 雅虎“收购战”将风云再起 | 5月15日 |
| · | 社交网试水电子商务:社区为驱动力 | 5月15日 |
| · | 倡导绿色环保263:免费发放环保布袋 | 5月15日 |
| · | 百度Hi:大棋局的必然结果 | 5月15日 |
| · | 什么是远程开票? | 6月19日 |
| · | 什么是在线采购? | 6月18日 |
| · | 什么是对帐系统? | 6月18日 |
| · | 远程开票具体使用步骤 | 6月18日 |
| · | 在线采购具体使用步骤 | 6月17日 |
| · | 对帐系统具体使用步骤 | 6月17日 |
| · | 业务员销售系统 | 6月17日 |