它们被刻在IT安全的传统智慧中,但这12条信念(对某些人来说)真的是明智的,还是本质上是神话?我们已经召集了一个专家小组来提供他们的判断。
David Lacey,Jericho论坛创始人和研究员:就在这里。不是一切都是已知的或可见的攻击者。这种不确定性可防止并阻止绝大多数攻击。
The 451 Group分析师尼克·塞尔比:不,不为人知很方便。假设你想让你的孩子不知道你在为生日派对做计划,你不想让他每天都等到他睡着了才讨论这些计划。所以围坐在餐桌旁,说德语。现在,为了保护……呃,任何东西,它只是不on。无论你把前门藏在哪里,它都会被琐碎的发现,所以要认识到你住在一个不好的地方,准备一个有好锁的坚固前门——不要把钥匙藏在花园里的小矮人下面。
Bruce Schneier,密码专家,英国电信的首席安全技术官:所有的安全性都需要一些秘密:例如,一个加密密钥。但是良好的安全性来自于最小化和封装这些秘密。系统中可以公开的部分越多——您所依赖的保密性或模糊性越少——系统就越安全。
Lilly UK全球信息安全架构师Peter Johnson:它可以减慢糟糕的家伙,但他们最终会发现。这就像在家里的前门关闭前门,希望没有人会尝试打开它。
John Pescatore,Gartner分析师:只有在“需要知道的真正概念的范围内”。例如,保持密码模糊显然是一个智能策略 - 只有您需要了解。......这个人崩溃了是假设的“默默无闻意味着安全。”这从来都不是真的——更糟糕的是,当人们在设计软件时带着这个概念,各种不好的事情就会发生。
独立分析师Richard Stiennon:我是从Web应用程序防火墙的角度来考虑这个问题的。目前有7000万个网站,但可能只售出了几千个Web应用程序防火墙。大多数Web站点通过隐藏来保护安全性原则。
某投资银行全球信息安全副总裁、杰里科论坛成员Andrew Yeomans:默默无闻能为你赢得时间,但不会永远持续下去。模糊性可以增加一个额外的障碍,并可能阻止资源匮乏的攻击。但资源更丰富的攻击者可能会成功,而且随着成本不断下降,未来可能只需要低成本的资源。一旦失去了默默无闻,安全也就永远失去了。
2.开源软件比闭合源更安全。至少在开源打破你可以保持碎片,并且可能能够自己把它们粘在一起。一些开源软件已经充分检查(“许多眼睛使糟糕浅浅”),但相反,其他开源软件相对不安。在纯粹的安全场所的可比开放和封闭的源软件之间可能很少。但是开源的优势是您可以执行代码审核自己,或者支付才能完成一项工作,也可以在不必等待供应商的情况下解决问题。
美国约曼公司:
莱西:它们带来了一系列不同的风险。没有哪一个比另一个更安全。
施奈尔:安全软件是经过聪明的安全程序员分析的软件。有两种基本的方法让软件被分析:你可以付钱给别人,或者你可以公开代码并希望他们免费做。开源软件有可能比专有软件更安全,但公开代码并不能神奇地使其更安全。
约翰逊:至少你知道[使用开源]你会得到什么——但是它需要一种不同的方法来支持它,特别是在一个规范的环境中。
佩斯卡托雷:这个不是那个不远,但仍然不是真的。最安全的软件是具有最关注安全性的软件。最开放的源开发项目没有大部分安全的开发生命周期。但我确实认为,了解到,了解源的软件将是开放的,而不是通过默默无闻的安全开发的软件更安全。开发人员不太可能在复活节彩蛋中,当他们知道消息来源会被广泛关注时,就会走后门和其他愚蠢的事情。
3.法规遵从性是安全性的一个很好的度量标准。
莱西:是的,它是。我总是发现,控制实施的数量与事件和脆弱性的水平之间存在直接关联。
塞尔比:(笑声)
施奈尔:显然不是。您可以非常安全,但不合规。就像你很容易一样兼容但不安全。
施奈尔:遵守是一个很好的规定衡量标准。如果安全监管是一个好的,那么合规性提高了安全性。如果它是一个坏人,那就没有。
美国约曼公司:这并不总是安全的衡量标准。法规遵从性将有助于提供合理的安全基础水平,并可能使其更容易证明预算成本的合理性。但是,它有时可能导致良好的安全措施不符合要求,而符合要求的措施的成本高于合理水平。
约翰逊:通常有许多方法来遵守规则 - 并非所有人都像其他人一样安全。经验表明了这一点,现在监管机构开始尝试指定要求,这将是困难的,因为它们通常不理解安全性。
佩斯卡托雷:没有脑子,错了。特别是对于像Sarbanes Oxley这样的东西,它实际上与安全性无关。我们告诉客户的是:保护您的业务,保护您的客户,然后遵守您所处的任何制度。
4.没有办法衡量投资安全回报
莱西:您可以根据历史统计准确地评估许多好处,但不是所有好处都可以衡量,未来的好处也不能保证。
施奈尔:衡量安全投资回报率的方法有很多,但都有缺陷。然而,这并不意味着我们应该放弃尝试。
美国约曼公司:ROI对于供应商来说意义重大,对于购买者来说就更不重要了。“防止可能的损失”不是收获,否则我不赌彩票就会发财!一些安全投资有可衡量的回报,比如更多的客户或更低的费用。例如,安全的网上银行和购物的安全措施已经在这些行业产生了正回报。但它很快成为做生意的最低要求,特别是对后来进入这个行业的人来说。
佩斯卡托雷:度量安全ROI的方法有很多,但是这样做的时候却很少做出任何经济意义。你有没有见过CEO问,在建筑上安装屋顶,在门上上锁的投资回报率是什么?真正的问题是将安全性与业务需求联系起来——业务需求决定了ROI。
施奈尔:今天有一种方法是因为大多数组织都有安全预算,因此他们可以衡量安全性,并将其与改进安全性的成本进行比较。
5.俄罗斯的纽瓦布裁判是责备最糟糕的在线犯罪。
施奈尔:RBN [俄罗斯商业网络是一些最恶意的恶意软件和协同攻击的罪魁祸首。
莱西:那要看你说的"最坏"是什么意思了它当然要承担很多责任。
美国约曼公司:用电脑承诺的传统欺诈击败了他们。
施奈尔:他们当然要承担很多责任,但我认为我们没有足够的知识来对各种犯罪组织进行从好到坏的排序。
佩斯卡托雷:这个不远处,但谁关心?如果你的房子被抢劫,因为你离开了Windows打开了,那么小偷来自哪里都来自哪里?关闭漏洞,您停止各种网络犯罪分子。
约翰逊:我不想评论保护家人的安全。
6.杀毒软件是必不可少的,以防止恶意软件。是的,它是。试着不用它做手术。
莱西:
美国约曼公司:只有一些具有某些类型用户的平台。有些人似乎吸引恶意软件,其他人没有。桌面系统更有可能被击中服务器,Windows XP比Unix和Vista更有可能。恶意软件变体的生产规模也使纯防病毒系统更加困难。期待白名单和沙箱技术的趋势,远离只需寻找已知的坏事。
施奈尔:杀毒软件是必要的,但不是充分的。我想如果你有一个真正安全的网络,你不需要杀毒软件在主机上。不过我不会用自己去证明。
约翰逊:它降低了噪音,这样你就可以集中精力对付那些传统的杀毒软件很可能忽略的安静而危险的恶意软件。它在Windows环境中仍然是必须的,但这已经开始受到挑战,因为今天恶意软件攻击的能见度较低。
佩斯卡托雷:在桌面,杀毒软件主要是一个删除工具,而不是预防工具。在电子邮件流和Web安全网关中,反恶意软件是必须的。
施奈尔:不是一个神话。误区是:配置管理和基于行为的解决方案可以保护你免受恶意软件的侵害。
7.外包安全比内部安全风险更大。
莱西:是的,它是。你失去了大量的可见度和控制权。
施奈尔:人们是有风险的,不管他们拿到的是你签的还是外包商签的薪水。重点关注这些人是如何被雇佣的,他们是如何接受培训的,他们是如何被监控的,以及他们是如何被审计的——而不是谁在他们的薪水上签字。通常,外包商比你有更多的安全措施。
约翰逊:在操作上,它有点差异;了解要求,设置期望,然后监视合规是关键。
佩斯卡托雷:如果你需要24/7的覆盖,选择一个可靠的管理安全服务提供商,并选择正确的服务外包——那么对于四分之三的企业来说,这个神话是完全错误的。
施奈尔:外包商可以雇用更好的人,因为他们看到更真实的坏事,它们更好地反应。
美国约曼公司:你不能外包您的负债.但专家可能会击败当地的多面手团队。要看情况而定。一个技术娴熟的内部团队可能会打败外包商,但可能无法提供24小时的服务。如果一个内部团队没有技能或时间,外包的安全将降低风险。
8.生物识别技术是最好的认证方法。
佩斯卡托雷:只在电影中。
美国约曼公司:只要你不介意经常出错。需要了解错误的接受率和错误的拒收率。生物识别技术很好地解决了一些问题,但不是所有问题。
莱西:这取决于你说的“最好”是什么意思。这是一种理想的方法,但还不够完善。
约翰逊:至少你不能忘记它——但是经常改变它是一个问题。与许多解决方案一样,实现是关键。
施奈尔:和所有的安全系统一样,生物识别技术也有价值,但并不是万灵药。有些应用程序可以提供很好的身份验证系统,而有些应用程序则完全没有意义。
塞尔比:你有没有像白痴一样站在门口或笔记本电脑前刷手指?即使是纽约的捷运卡也有某种古怪的节奏。现在让我们用某种生物识别装置锁住61000名员工。我们现在安全了-是的,格雷琴,把你的眼珠放到眼罩上。不,往前看。不工作吗?也许你不是真正的格雷琴,“格雷琴。”快点,有四万三千六百人正试图进入洗手间。
9.数字证书标识一个网站。
施奈尔:一个好!
美国约曼公司:当由优秀的人员和流程使用时。公开密钥密码学在数学上仍然能够很好地识别证书,但它只能与证书的处理过程一样好。
施奈尔:数字证书可以识别网站但是谁看起来?
莱西:如果收件人了解如何使用它们,他们会这样做。
佩斯卡托雷:扩展验证SSL证书确实可以识别一个网站,对于我们这些使用足够新的浏览器来识别它们的人,以及那些真正明白绿色URL栏意味着什么的人来说——仍然不到一半的用户。
约翰逊:但是,这是一个正确的网站吗?有多少用户知道如何使用证书,即使他们知道,所有的广告和其他内容提要又如何呢?
10.员工可以被训练得行为安全,抵制网络社交工程。
施奈尔:爱死它了。
佩斯卡托雷:当赌场倒闭时,这是真的,因为人们不再相信他们可能真的赢了什么。
美国约曼公司:是的,但记得亚伯拉罕·林肯说,“你可以欺骗所有的人。”教育将极大地帮助人们检测到许多安全问题,但总会有一些超过专家。
塞尔比:DCI电脑上的色情片。这说明了一切,员工行为安全。抵制社会工程是非常非常困难的,因为你想雇佣的大多数人,在社会上都倾向于,至少是乐于助人的。
施奈尔:我们是人,我们充当人类。社会工程射击我们固有的人类。虽然你可以训练人们表现得更好,但你永远不会训练他们不要成为人类。