企业需要一个更有效的IT安全策略吗?如果是的话,那么就要消除企业首席执行官和高级管理人员对于网络安全的一些误解。
企业的首席执行官负责领导公司的所有战略规划和运营,同时也负有很大的领导责任。因此,他们希望IT安全方面的工作人员聪明能干,并在正确的地方做正确的事情来应对威胁。事实上,很多企业的首席执行官在IT安全方面浪费了大量预算,因为其安全策略和措施应用在那些实际上不起作用的事情上。
这是为什么?
首席执行官对有关IT安全方面有一些误解,很多都是一种教条,而不是真实的知识和经验。当首席执行官相信错误的事情时,就很难有效地做正确的事情。以下是很多企业首席执行官对计算机和网络安全的普遍看法。
1. 无法阻止黑客的攻击
大多数计算机和网络的防御措施薄弱,并且不得当,以至于黑客和恶意软件可以随意侵入。很多恶意软件甚至在企业的IT环境中存在多年,很多企业的计算机防御措施非常糟糕并且漏洞百出,以至于首席执行官们被告知不可能阻止黑客和恶意软件的侵袭。他们所能做的最好的事情就是“假定违规”,在攻击者进入环境时及早发现,并减缓攻击者的入侵速度。
那么,人们能想象一下军事将领在遭遇敌方攻击时告诉下属:无论他们做什么,都没有办法赢得胜利......这不可能,但这也正是计算机安全领域希望首席执行官们具有清醒认识的原因。
虽然由国家层面资助的黑客组织的攻击很难被阻止,但企业只要正确地完成安全防御的一些部署,就可以很好地阻止大多数黑客和恶意软件的入侵。而采用更好的IT安全策略和一些关键防御措施可以显著降低黑客或恶意软件进入企业IT环境的大部分风险。
2. 黑客非常出色
人们认为黑客和恶意软件永远无法防御,其部分原因是很多人认为黑客都是非常出色的,是不可阻挡的超级天才。这种浪漫主义的思想很容易在好莱坞电影中得到推广,这些电影的故事情节中,黑客可以轻松猜测密码,并入侵和接管世界各地的计算机,并进入任何系统。黑客可以通过网络攻击,以及掌握密码发射核弹,并轻松擦除人们的数字身份。
这个错误的想法让很多人信以为真,因为这些被黑客攻击或感染恶意软件的人并不是程序员或IT安全人员。对他们来说,这有些像一个神奇的事件。
现实情况是,大多数黑客的智商水平都和普通人一样。黑客只知道如何使用以前的工作人员传递的特定工具完成特定的交易,这并不是说没有出色的黑客,但他们很少,就像其他职业一样。不幸的是,对黑客非常聪明的误解正好强化了他们不能被击败的神话。
3. IT安全人员知道如何解决问题
这可能是最需要消除的误解之一。大多数企业IT安全团队的工作人员都很聪明和勤奋,但在大多数情况下,他们所从事的工作不会大幅降低计算机的安全风险。因为很多人将太多的资源放在错误的地方去对付错误的东西。
可悲的事实是,IT安全团队很少有真正的数据来支持解决他们认为是真正的问题。如果首席执行官询问IT安全团队,他们的组织面临的最大威胁是什么,那么很可能会震惊地发现没有人真正知道答案。即使有人给出了正确的答案,他们也没有数据来支持它。相反,IT安全团队中有很多人不明白什么是最大的问题。如果IT安全团队不知道最大的问题是什么,他们怎么能最有效地对抗最大的威胁?
4. 安全合规性等于更好的安全性
企业的首席执行官们在业务上和职责上都要确保他们的公司符合每一项法律和法规的合规要求。如今,大多数企业都会受到多种不同的IT安全需求的影响。所有的首席执行官都知道,如果他们履行合规义务,他们就是专业人士所认为的“安全”,或者至少正在做法规认为是安全的事情。
可悲的是,遵守法规所要求的往往与安全性并不相同,并且有时可能与真正的安全相冲突。例如,人们知道,以往的长期密码政策要求(包括使用很长而复杂的密码在一年中必须经常更改)与使用从未改变的非复杂密码相比,会造成更大的安全风险。人们多年前就已经知道这些常识,这实际上是在过去几年发布的大部分“官方”密码建议都有提及。
大多数IT安全人员和首席执行官不知道这一点。即使他们知道这一点,他们也无法遵循更新、更好的密码准则。为什么?因为目前的法规要求在遵循新的密码准则方面都没有更新。因此,安全合规性并不总是等于安全。有时候,可能出现的情况与人们的想法正好相反。
5. 补丁得到控制
大多数首席执行官认为他们的软件和应用程序的补丁已经得到了控制。而“控制”的意思是指软件的补丁是最新的,或者是接近最新的版本。对于那些不是非常安全的设备,例如路由器,防火墙和服务器,它们的补丁应该是完美的。大多数IT安全部门可能会告诉他们的首席执行官,他们的补丁“接近完美”,可能高达90%。
大多数公司有数百到数千个他们需要修补的程序。这些程序的大多数从不需要修补,不是因为没有错误,而是因为攻击者没有攻击这些程序。而没有发现错误,因此也不需要修补。
在大多数组织中,可能有10到20个未修补程序,这意味着面临大多数的黑客风险。在这些程序中,大多数程序的打补丁的准确率可能非常高,可能只有一两个程序没有打补丁。但不幸的是,就是这一个或几个未修补程序将使大多数组织面临严重的风险,但是如果只是只查看数字报告的话,它可能看起来很不错。
举个例子,假设一家公司只有一百个程序要打补丁。在这一百个程序中,只有一个程序的修补率很差,假设它只修补了50%,其整体修补率可以达到99.5%。这看起来相当不错,但是这意味着,这个只修补了50%补丁的程序可能是黑客用来攻击组织的程序之一。
在这里并没有提到大多数公司甚至没有或不打算修补的大量硬件、固件和驱动程序。它们通常没有包含在补丁的修补报告中。如果包括这些,其修补率看起来会更糟糕。而近年来,黑客攻击硬件和固件的事件更加频繁。这并不是什么巧合。
6. 员工安全培训已足够
大多数企业面临的两大威胁之一是社交工程。黑客可以通过电子邮件或网络浏览器入侵。考虑到将会面临损害最严重的顶级攻击,社会工程可能涉及99%的案例。
然而,大多数公司每年只花不到30分钟的时间进行社交工程安全的培训。计算机安全领域已经确定了大多数组织中面临主要的两个问题,(另一个是未打补丁的软件),但几乎没有组织这么实施。相反,企业的员工没有接受足够的安全培训来阻止黑客通过社交工程进行攻击,无论企业采取什么措施,无论企业投入多少资金或其他资源,都有可能被黑客成功攻击。
这些误解让人们认为无法阻止黑客和恶意软件的攻击。如果首席执行官(或CSO或CISO)向IT安全团队询问一个问题:“我们最大的威胁是什么,在哪里支持它?”,这很难有一个共同的答案。如果企业对最大的问题没有达成一致,那么如何有效地应对它们呢?