在过去的几年里，企业和社会团体在保护自己免受攻击的方式上发生了巨大变化。混合工作模式、与日俱增的数字化以及越来越多的勒索软件事件已经改变了安全形势，使 CISO 的工作比以往任何时候都更加复杂。

 

因此，这种错综复杂的社会环境就需要一种新的思维方式来捍卫，过去所习以为常的方法可能不再有用。

 

安全专家在一番权衡后，最终确定需要在 2022 年淘汰掉的 22 个网络安全神话。

 

1. 买更多的安全产品可以加强网络安全保护

 

企业陷入的最大陷阱之一是以为他们需要更多的安全产品和平台来保护自己，就好像一旦他们拥有了这些产品，他们就能免受攻击了。

 

Arctic Wolf 的首席技术官麦克肖恩表示，企业去购买那些“被吹捧成灵丹妙药”的产品绝对不是防御的关键。购买更多产品并不一定会提高安全性，因为安全通常不是产品问题，而是操作问题。他们可以充分利用现有投资去考虑怎么做好安全运营，而不是无休止地去循环使用供应商们提供的新产品，这在面对飞速发展的威胁形势上是毫无帮助的。

 

2. 网络保险是转移风险的解决方案

 

从理论上讲，网络保险可以让组织避免潜在网络攻击的成本。然而，这个问题现在变得越来越微妙了。例如，勒索软件事件的成本远远超出其直接的财务影响，因为它包括愤怒的客户和声誉损害等。

 

Conquest Cyber总裁 Jeffrey J. Engle 说：“网络保险应该是防御的一部分，但它并不是网络弹性战略的基石。因为基线要求、除外责任和保费正在上升，而其覆盖的范围却在急速下降。”

 

3. 合规等于安全

 

正如美国海军陆战队所说，做好准备是一回事，但做好战斗准备是另一回事。ABS Group 工业网络安全全球负责人 Ian Bramson 表示：“许多公司太过于关注‘满足合规性要求’，而对真正的安全性关注不够。比如检查所有合规框等是远远不够的，因为合规只意味着满足最低标准。而要达到网络成熟度的高级状态，则需要一个更加全面和个性化的计划。”

 

通往地狱的道路是由善意和糟糕的应急计划铺成的。

 

4. 做好存档和备案就只是意味着合规

 

许多公司保留日志，但很少有人正确分析它们。Devo Technology 的 CSO Gunter Ollmann 说：“如果你没有主动查看日志并寻找已知威胁，那么你就无法理解现代网络威胁。你还不如把日志打印出来烧掉它们去温暖你的办公室。”

 

最好的日志是简单且结构化的，另外还需要足够的信息来帮助研究人员调查事件。设计日志的专业人员应该专注于更改和异常，而不是记录平静的状态检查或系统检查。

 

5. 使用电子表格管理部署在企业网络中的所有数字证书

 

公司依赖于数以千计的数字证书，这些证书在任何给定点都是有效的，而手动跟踪它们是不可能的。这些过期证书可能会导致级联故障或关键系统的中断。

 

Sectigo 的首席信息官 Ed Giaquinto 说：“别再使用电子表格和手动数字证书来管理、保护和验证这些身份，一个过期的证书可以为攻击者提供机会去渗透企业网络并造成严重破坏。”

 

6.数据在云端更安全

 

当下，越来越多的公司会将一半左右的企业数据存储在云中，不得不说企业可能过于信任云端的安全性了。Veritas Technologies SaaS 的总经理 Simon Jelley 表示：“对于云服务提供商而言，数据与生产和依赖数据的公司一样宝贵吗？并不。许多云提供商并不能保证使用他们服务的客户数据也会受到保护。事实上，许多人甚至在他们的条款和条件中建立了责任共担模型，这清楚地表明客户数据的安全责任取决于客户自己。”

 

7.安全是安全部门或安全团队的工作

 

英国拉夫堡大学的候选人Omotolani Olowosule 博士说：“企业中每个人都有责任确保他们从事的商业运营合乎安全规范，应该在整个企业内加强安全意识和良好的安全行为。而非 IT 部门意识较弱的员工则应该接受适当的培训，以确保他们了解风险并知道如何解决一些最常见的问题。”

 

8. 每年一次的点击式安全培训为员工提供足够的知识

 

许多公司会要求员工定期参加在线安全培训，一般表现为观看一段短片或回答几个问题，尽管人们在这样的“考试”中表现出色，但这种学习方式不一定有效。

 

安全顾问 Sarka Pekarova 说：“这样的方式并不能提供引人入胜的内容。这难以引起人们的关注，也难让员工记住所教授的原则或发生安全事件所需的流程和程序。”

 

9. 雇用更多人解决网络安全问题

 

企业应优先考虑留住网络安全专业人员，而不是致力于寻找人才。企业应该对安全人员进行投资，并为他们提供学习的机会。

 

McShane 说：“最好有一小群训练有素的 IT 专业人员来保护组织免受网络威胁和攻击，而不是将安全问题交给一个不具备匹配技能的大群体。虽然雇佣新的团队成员可能是有益的，但企业花在雇佣新员工上的时间和金钱可以更有效地用于加强他们的安全基础设施。”

 

10. 人是最薄弱的环节

 

安全顾问 Sarka Pekarova 说，大多数攻击都是从人开始的，但企业或社会组织应该停止指责他们，取而代之的是采用整体方法。她表示：“如果我们为人类提供正确的支持，他们将茁壮成长并成为我们网络中最强大的纽带。我们使用‘人力资产’是有原因的，如果政策和程序到位，例如零信任，同时如果人们能得到足够的支持，他们就可以提高企业的安全性。

 

11.一切都可以自动化

 

安全流程的自动化似乎对企业很有吸引力，因为它可以节省时间和金钱。不过，它应该适度使用。

 

Halborn 联合创始人兼首席信息安全官 Steven Walbroehl 说：“盲目依赖自动化实际上会在安全评估的质量和准确性方面造成误差，这会导致有些漏洞被忽视，并造成无法预料的安全风险。”

 

Walbroehl 认为，某些复杂的任务最好留给人类，因为这些问题需要人类的直觉和本能，而机器正好缺乏这些。他说：“我还没有看到一种自动化工具可以模拟、渗透测试人员的思维过程。”

 

12. 我们只要解决当前的威胁就好

 

公司常常只关注最新的攻击，并因此错过了其他相关的事情，这样就会错过时间去建立足够的能力来防止未来的事件。

 

布拉姆森说：“只关注已经发生的事情是最容易受害的，因为接下来发生的事情你将无法逃避。威胁和攻击是不断变化的。你需要有一个程序来适应和未雨绸缪。”

 

13. 每 90 天更改一次密码将使你的帐户更安全

 

Bishop Fox 的首席研究员 Dan Petro 说：“要求你的用户按时更改密码只会使他们的密码更糟糕。同时，使用特殊字符不会使密码更安全，而是应该鼓励用户选择长密码并启用多因素身份验证。”

 

14.加密敏感数据

 

Petro 说：“太多的开发人员将加密视为魔法仙尘，就好像你将它洒在数据上，数据就能神奇地变为安全。通常，开发人员不会考虑这密钥存储在哪里或在某些情况下攻击者到底是谁。密码学是一个复杂的主题，太多的开发人员最终将自己笼罩在一种错误的安全感中，认为他们已经‘加密’了他们的数据，因此它就是安全的，其实不然。”

 

15. 如果网站具备有效的证书那么该网站就是安全的

 

这也许在二十年前是这样，因为当时流量很少加密，获得有效 HTTPS 证书的成本很高。而如今，网络犯罪分子可以免费获得恶意网站的证书。

 

卡巴斯基安全研究员 Dan Demeter 说：“我的建议是，首先在你最喜欢的搜索引擎上查看网站，如过有问题，请始终手动输入其 URL，而不是单击链接。”

 

16. 小企业不会成为目标

 

即使在今天，仍有太多公司认为他们的相关性不足以成为网络攻击的受害者。对此布拉姆森说道：“如果你参与了网络，那你就是目标，我们每个人都或多或少会参与进网络，网络攻击者可以专门只针对一家公司，同时他们也可以发起一般攻击，看看谁会被他们的网络给抓住。而无论哪种方式，你都会在某个时候遭受攻击。你要知道的是，客户数据是暗网上宝贵的商品，而受感染的网站很可能会传播恶意软件。所以，中小型企业通常缺乏资源来管理适当的信息安全，这就很容易使他们成为猎物。”

 

17. 严重威胁是政府的责任

 

在安全方面，每个企业、每个社会团体都应该尽自己的一份力量。恩格尔说：“政府无法及时保护所有人。很多时候，政府行动通常是在风险被广泛意识到之后才采取具体措施的。”

 

18、可以通过修补所有第三方软硬件来阻止供应链攻击

 

Armorblox 的联合创始人兼首席执行官 DJ Sampath 说：“虽然软件漏洞和未打补丁的系统会为攻击者提供便利的攻击面，但这些并不是攻击者们可以使用的唯一手段。企业需要全面审视他们的供应商管理，包括商业电子邮件泄露 (BEC)、帐户接管和供应商环境中的横向移动等。就像立陶宛所发生的案件，男子因在欺诈性 BEC 计划中盗窃超过 1.2 亿美元而被判刑。”

 

19. 有了防火墙就安全了

 

混合模式已经让公司走出了他们的舒适区。Giaquinto 说：“随着越来越多的人都在家里办公，企业网络已不再是安全边界。现在我们必须重新专注于应用零信任技术，理解身份，无论位置如何都是新的安全边界。企业正在实施创新的公钥基础设施 (PKI) 解决方案，在实现零信任环境方面发挥着关键作用。”

 

20. 频繁的软件测试可以防止攻击

 

测试软件是一个好主意，并且只要努力去做总会有帮助的，但 Virsec 的联合创始人兼首席技术官 Satya Gupta 表示，攻击者仍然可以找到漏洞，对此他提到了 PrintNightmare。他说，微软于2021 年 7 月才刚刚修补了 Windows 2003 的代码，显然，即使是资源丰富的微软也有找不到漏洞的时候。

 

21. 加载远程不受信任的Java 代码是绝对安全的

 

彼得罗说：“这听起来可能是安全界内最明显不过的事，但为什么并没有停止这事呢？ 也许 2022 年将是 Java 程序最终停止故意加载任意远程代码的一年，我们可以期待。”

 

22. 我们必须为执法部门解密端到端的加密通信

 

世界各国政府都在努力通过立法，允许执法机构拦截、存储甚至解密在 WhatsApp、Telegram 和 Signal 等应用程序中所交换的即时消息。

 

独立安全研究员萨宾娜-亚历山德拉·斯特凡内斯库 (Sabina-Alexandra Stefanescu) 表示：“公民社会和安全专家对此类法律的抵制是基于坚定的原则，即每个人都有不可剥夺的隐私权。在有些国家，当记者和有名人士面临来自执政党或联盟的严厉压迫时，加密信息和文件存储将是他们进行调查最后的堡垒。”

 

 

 

齐心抗疫 与你同在 

点【在看】的人最好看

 

原文始发于微信公众号（安在）：编译 | 2022年企业对网络安全的22个盲目幻想