11个戏剧性的安全措施，不会让你的系统更安全

“安全剧场”这个词是用来描述美国机场的一系列安全措施——脱鞋、搜身儿童和老人——这些措施给人一种强硬的印象，但并没有使商业航空更加安全。但是想出这个短语的人是著名网络安全专家布鲁斯·施奈尔，它可以很容易地应用到一些常见的技术安全措施。我们采访了高科技专家组成的阵列，以发现哪些安全技术往往只是作秀。

奥兰多·斯科特-考利，电子邮件安全公司的网络安全战略家Mimecast，是由被赋予戏剧窗口自夸闪屏的形状修整的许多普通（和绝对安全）网上交易激怒了。“有相当多的网站，后登录，显示某种类似于‘安全度汛您的账户信息’或消息的“建立一个安全的连接，”他说。“这是这样一个耻辱和完整的戏剧，当涉及到安全性。”（有时，这些消息将显示在Flash中，并具有闪光阻滞剂安装了能证明他们是多么没有意义的。）

大多数PC用户可能认为防病毒保护是安全PC的基础部分。但Ajit Sancheti，联合创始人和首席执行官抢占这家IT安全公司认为杀毒软件主要是在影院播放。他说:“它在阻止恶意软件和勒索软件方面收效甚微，但却给用户带来了很多不便，尤其是从性能的角度来看。”“随着操作系统更新导致硬件性能下降，杀毒软件很可能是员工个人电脑刷新周期的主要原因。”

Barry Shteiman，实验室主任Exabeam对此表示赞同。他说:“每家公司都把反恶意软件/病毒检测作为安全预算的最高支出。”“在每台终端电脑上安装杀毒软件，并在任务栏上显示一个华丽的图标，这是一种标准，它会告诉你，‘你不会被恶意软件攻击!不幸的是，事实并非如此。今天的每一个恶意软件，特别是工业化犯罪驱动的恶意软件，都在构建反病毒工具作为有效负载的一部分，绕过端点保护，就好像它根本不存在一样。”

加里·麦克拉肯，在技术副总裁WinMagic，认为防火墙和周边安全的措施有一定的戏剧性质量 - 它们是“东西，每个人都没有，但它并没有使企业安全了，”他说。“在城门被猛攻，并且防火墙不能再保持坏人。多数大企业都违反了一个恒定的状态，因此需要新的策略和技术。假设你的网络，或将被突破，检测它，将影响减至最低，并迅速恢复“。Instead of investing more money and resources in ever more elaborate perimeter defense, he advises that you work to "keep the 'blast radius' as small as possible (i.e., contain the damage any one breach can make) or backup every 10 minutes so the restore point can be very recent."

纳丹·伯克，在安全事件响应的专家在营销副总裁Hexadite他知道，有关潜在威胁的数据太多可能会让人不知所措。他说:“安装多种安全产品，产生大量警报，然后对这些警报不做任何事情，这就是安全剧院。”“有太多的警报需要人们在没有自动化的情况下手动处理。所以安全团队经常听到警报响起，但他们只能调查5%或更少的触发警报的事件。”

菲利普·利伯曼，总统利伯曼软件对此表示赞同。“大多数公司忽略的警报，因为有这样的高误报率，”他说。“因为他们害怕的用户愤怒的后果没有人立即启动应对措施。”

IT咨询公司解决方案架构师Cedric CaldwellAdapture，指出，很多企业想“说，他们已经满足的安全要求，以确保他们的环境和他们的网络，他们有IPS，防火墙等，但你怎么用这些数据做一旦你有你的网络上这些设备？你在看数据？有人可能会实施防火墙，而不是到防火墙上的命中讲究“。

"Big corporations are usually good about combing through data," he adds, "but I tend to see this on a smaller scale, at companies that don’t really have the manpower to do that. They check the box and buy the equipment, but they’re not actually taking the next step to say, 'OK, what is this thing really capturing?'"

为Dimitri Sirota, CEO和联合创始人企业隐私管理平台BigID在美国，最显眼的安全剧场就是你最常遇到的安全措施:密码。“密码就像一把房子的前门锁;通过这把锁，你就可以在里面自由支配，没有其他的保护。”他说。“对大多数人来说，它们是一个薄弱环节，因为用户更喜欢容易记住，而不是很难破译。”He feels a password that isn't just the first layer of a defense in depth is just theater.

奈杰尔·斯坦利，网络安全实践总监OpenSky德国莱茵集团(TUV Rheinland)旗下的IT咨询公司尤其对密码感到恼火，这些密码大张旗鼓地要求每月更换一次。“为什么是30天?”他问道。“在第31天发生了什么会产生安全风险?”

斯图Sjouwerman，创始人兼CEOKnowBe4，认为安全性表演的训练水平发生得。他给出的例子是一个公司，“发送模拟钓鱼攻击，但只能每90天一次，而不是互动，参与，基于Web的培训，真正解释了在互联网上的风险之前。结果？员工感觉滋扰和网络钓鱼诈骗易发率没有可测量的下降。”

开放天空的斯坦利嘲笑一些安全公司趋势推销自己的产品与军方的冠冕堂皇的形容词，这可能听起来艰难的，但实际上并不代表更安全的系统。“我包括诸如‘军用级加密’，‘闪砰’，‘杀伤链’和‘引爆’，”他说。“跆拳道？不是描述性的，没有什么帮助。”

J.科林彼得森，总裁兼首席执行官J数字身份，认为当IT人员以安全的名义拒绝任何和所有用户请求时，那就是一种性能。“例如，”他说，“最终用户可能会请求访问某个资源，而不是找出一种安全的方法来授予用户访问权限，IT专业人员只会说一些类似‘对不起，这会影响安全性，我不能允许这样做’之类的话。”

Shlomo Touboul，首席执行官虚幻的网络说，你所经历的破坏的趋势，共享数据可以达到性能为好。“当一个特定的部门一个新的大规模攻击被发现，该部门内其他公司会立即发出警报。但是，这并不使他们更安全，”他说。“每个企业都已经嵌入了不同的攻击向量其网络中，几乎所有人都看不到他们，但发现和被攻击者利用。虽然共享有关特定攻击可能有助于修补某些系统中，他们什么也不做，露出隐藏的攻击源信息，并让企业感到安全当他们没有“。

Mimecast的Scott-Cowley说，不仅仅是技术人员在数据泄露后上台。他表示:“最令人发指的罪行是，在遭到攻击后，谷歌发表了一份油嘴滑舌的声明，声称‘我们认真对待(数据/客户/服务的)安全’。”这是首席执行官和公关部门在发布新闻稿时经常提到的，一旦有人设法破坏了他们显然非常不严重的安全。通常他们也会使用“复杂而协调的攻击”这个短语，在我看来这也是一派胡言。这两句话同时掩盖了这样一个事实，即薄弱的安全被攻破，黑客在几乎没有抵抗的情况下获得了数据资源。”

不过，如果我们不从BigID的Sirota中提供一个反向的观点，那就是我们的疏忽了。“这确实起到了威慑作用。城市里的警察不会一天24小时不间断地逮捕人。但是，它们的存在具有威慑作用。你可以在军队中看到同样的效果。我们并不总是在与人作战，但演习提醒敌人要有能力。”Sometimes, in other words, a weak password or firewall is still better than nothing at all.