世界上几乎每一家大型企业都有着各种各样数量繁多的漏洞,对于任何IT行业内的人而言,这并不是什么爆炸性消息,早已司空见惯。
现实情况是,不论花费多少资金,完全消灭系统漏洞是不可能的。但公司可以把信息安全防御方面的预算主要花在防止黑客可以利用的日常漏洞。道理很简单:如果安全防御层级足够复杂,坏人就会转而寻找其它更容易得手的目标。
坦白的说,任何信息安全解决方案都不像它们在广告中说得那样好。任何“保证安全,高端的安全系统”都注定要失败。安全和IT厂商承诺的目标或多或少都有水分,不断地投入努力才是企业力所能及的切实举措。
以下六个IT安全事实不仅解释了为什么如今的安全解决方案都以功亏一篑告终,还在一定程度上阐述了如何通过不完美的安全解决方案,减少被入侵的可能并最小化之后的损失。
一、没有100%的部署
如果不能在环境中的每一台设备上都安装对应的软件,就很难布置绝对可靠的防御体系。安全解决方案只工作在一小部分平台和软件版本上,而这一小部分子集总比顾客拥有的要小。有些解决方案并不支持已经过时的设备和操作系统,而另一些可能无法跟上最新的操作系统和设备的脚步。
如果用一句话来描述如今这个复杂的BYOD(人人自带设备办公)场景,那就是维护网络安全这件事情的难度级别已经从困难变成了不可能。安全厂商们关于不支持所有平台的说法算不上什么,事实上应该说,没有人,哪怕是从事IT行业的企业,也不可能理解所有连接到你网络上的设备。它是手机、笔记本、平板,还是超极本?它运行Windows、Linux、OS X,还是没人听过的个人化操作系统?如果它是虚拟机,它明天还会存在吗?它运行在公司主机上还是某人的个人设备上?它属于公司还是其它承包商?
即便是对于支持这些设备和平台的方案而言,设备发现和部署情况也不是完美的。你的解决方案永远不可能覆盖到百分之百的设备,因为其中存在无数问题,包括网络或网站的连接、防火墙的封锁、离线资产的保护,受损的注册表或本地数据库,独立的安全域,以及操作系统版本变化等问题。
另外,还有政治和管理上的拦路石,它们通常被称作OSI模型的第八层。由于存在着管理壁垒、业务单元,以及那些默认具有豁免权的部门,即使你已经有了一个关于保护公司资产的绝佳方案,也很有可能无法实施它。
因此,IT安全必须面对的事实是,有一部分设备可能永远也不会安装安全软件。不过至少并且很重要的一点,是所有安全解决方案都会告诉你哪些设备成功安装了安全软件而哪些并没有,这使你可以寻找其中的共同点,并让自己的软件尽可能在更多的设备上安装。
然而,安装软件仅仅是第一个挑战。
二、缺乏人手
下面的场景屡见不鲜:
一个企业购买了一个“伟大”的信息安全解决方案,然后要么从未部署过,要么在正确部署它的过程中失败。评估和争论一项信息安全大订单往往会浪费几个月时间,购置后却被扔在了某个角落里,连盒子都没有打开。
更不幸的情况在于,孤独的IT人员被告知需要部署新的解决方案,尽管他的日常关键任务已经超过负荷,而这些“关键任务”才是他真正的工作内容。这位可怜的员工尽其所能在几天之内完成了英雄般的壮举,并摇身一变成为公司设备和威胁防护方面的“专家”。他会尽最大的努力配置设备,并在接下来的几天或者几周内在交出一份勉强过得去的答卷。
之后,他日常的关键任务恢复正常,监控这些新型酷炫安全工具的时间越来越少。而与此同时,这些新上马的安全设备会发出一个接一个的警报,他没有时间去追查分析这些警报的真假,只好让这些警报与其它缺乏监控的设备发出的警报一样成为“噪音”(Verizon的数据泄露调查报告显示,70~90%的恶意事件本来可以被避免,因为现有的日志和警报已经发现了它们。而考虑到几乎不可避免的缺乏对这些信息的调查分析工作,恶意事件的必然发生毫不意外)。
信息安全设备从来就不是全自动化的。它们需要配备正确的团队、资源、关注度来实现它的设计目标。企业往往在购买安全资产方面很慷慨,但却恐惧增加运营费用和工作人员。这意味着是企业自身的失败,不要让自己陷入其中。因此要在购买任何安全技术方案之前,确认自己拥有与之匹配的人力资源。
三、防不胜防
假设一家公司拥有1000台web服务器,其中的999台都完美地打上了补丁并正确地配置。而黑客只需打开漏洞扫描器,指定正确的域名或IP地址范围即可。扫描1000台服务器与扫描1台服务器用时的差别并不大。典型的漏洞扫描会发现每个服务器上的一个漏洞甚至更多,当扫描结束时,黑客就可依据扫描结果来看菜下碟了。
这种防不胜防的恶意扫描尝试,如今在通过Email传播的恶意软件场景中更加明显。黑客向大量员工发送带有恶意软件的信息,总有一个人会打开电子邮件并盲目地跟从其中的每一条指令。根据一些培训机构的统计,在对企业员工进行的反钓鱼培训测试中,通常大概在25%到50%之间的员工在第一轮测试中上钩。尽管上钩率会随着培训测试的反复有所下降,但总有一些人还是会“愿者上钩”。
(责任编辑:安博涛)
