迷思之祸：单位应考虑的21个网络安全神话

在过去的几年里，组织保护自己免受攻击者的方式发生了巨大变化。混合工作模式、快节奏的数字化以及越来越多的勒索软件事件已经改变了安全格局，使得网络安全从业者工作比以往任何时候都更加复杂。

这种错综复杂的环境需要一种新的思维方式来捍卫，过去可能成立的事情如今可能不再有用。数字证书的到期日期是否仍可在电子表格中进行管理？人类真的是最薄弱的环节吗？

国外安全专家权衡了21个网络安全神话，神话自然存在非常大不确定性，即此处的神话是要纠正的错误思想或方法。

1. 买买买可以加强网络安全保护

组织陷入的最大陷阱之一是预置了一个前提，就是需要更多的工具和平台来保护自己。厂商时长给用户的感觉是一旦他们拥有这些工具，就会认为他们是安全的。组织被引诱购买“被吹捧为灵丹妙药”的产品，ArcticWolf 的首席技术官 Ian McShane说：“这绝对不是成功的关键。”

购买更多工具并不一定会提高安全性，因为很多安全隐患通常不是工具问题，而是操作问题。所以，组织应充分利用现有投资预算，应该优先考虑安全运营，而不是无休止地循环使用新供应商和新产品，安全运营将在以一种满足独特需求的方式应对快速发展的威胁形势方面大有帮助，让产品的购买更具科学合理性，当然我国很多单位在很多组织内，连最基本的安全工具都不具备，这些组织还是需要科学合理的采购安全工具的。

从理论上讲，网络保险可以让组织避免潜在网络攻击的成本。然而，这个问题更加微妙。例如，勒索软件事件的成本远远超出其直接的财务影响，因为包括客户的信任和组织声誉受损等事情。

3. 合规等于安全

正如美国海军陆战队喜欢说的那样，做好检查准备是一回事，但做好战斗准备是另一回事。ABS Group 工业网络安全全球主管 Ian Bramson 表示：许多公司过于关注满足合规性要求，而对真正的安全性关注不够。

检查所有合规框是远远不够的，因为合规只意味着满足最低标准。要达到网络成熟度的高级状态，需要一个更加全面和个性化的计划。这一点，在我国也是存在相同的问题，很多网络运营者往往考虑“过等保”，原则上何曾有“过等保”这个概念呢？好比，检查车况是为交警检查的吗？过了交警那一关，能够过安全关吗？能够保障生命安全嘛？所以，把合规以及遵守法纪要求，理解等同于安全是非常不负责的想法，想推卸责任更是愚蠢的想法。

4. 如果所有内容都记录就合规

许多公司保留日志，但很少有人正确分析它们。Devo Technology 的 CSO Gunter Ollmann 认为：如果没有主动查看日志并自动寻找已知威胁，那么就无法理解现代网络威胁，你最好打印出日志并烧掉来加热你的公司办公室。

原文始发于微信公众号（河南等级保护测评）：迷思之祸：单位应考虑的21个网络安全神话