315打假:十大網絡安全謊言
飛速發展的網絡安全行業充斥著謊言和毒餌,有些是出于營銷目的,有些則純屬以訛傳訛,雖然在知識分享高度發達的今天很多謊言都不攻自破,但依然有很多“彌天大謊”被很多用戶、企業管理者甚至是安全專業人士封為圭臬,并最終轉化為戰略跑偏和經濟損失。以下,GoUpSec收集總結了2022年最坑爹的十大網絡安全謊言:
1.購買網絡安全產品越多越安全
企業網絡安全最大陷阱之一就是鼓吹部署的安全工具/產品越多越安全。
企業被引誘購買“被吹捧為靈丹妙藥”的產品,Arctic Wolf的首席技術官Ian McShane說,“這絕對不是成功的關鍵。”
購買更多工具并不一定會提高安全性,因為安全問題通常不是工具問題,而是運營問題。“通過優先考慮和擁抱安全運營,企業可以充分利用現有投資,而不是無休止地循環使用新的安全供應商和新產品。”
2.數據在云端更安全
大多數企業顯然都過于信任云的安全性,如今,大約一半的企業數據已經存儲在云中。Veritas Technologies SaaS保護、端點和備份主管總經理Simon Jelley表示:“云服務提供商會像客戶一樣重視客戶的數據安全嗎?答案是否定的。”
“許多云提供商并不承諾保障其云服務客戶的數據安全。事實上,許多云服務商甚至在其服務條款中采用了責任共擔模型,這清楚地表明數據安全是客戶自己的責任。”Jelley說。
3.比特幣很快會被量子計算破解
近日,馬克韋伯等學者在《AVS量子科學》上刊登的一篇研究論文顯示,要想在有效時間段內(對于比特幣交易來說通常為10-60分鐘)破解比特幣網絡的256位橢圓曲線加密算法,需要量子計算機至少擁有3.17億個量子位,而當今最先進的IBM的超導量子計算機,也僅僅只有127個量子位。即使量子計算機的量子位數或性能以摩爾定律增長,十年內也難以撼動比特幣。
4.合規等于安全
做好檢查準備是一回事,但做好戰斗準備是另一回事。ABS Group工業網絡安全全球負責人Ian Bramson表示:“許多公司過于關注滿足合規性要求,而對真正的安全性關注不夠。”
他說,檢查所有合規要求是遠遠不夠的,因為合規只意味著滿足最低標準。“要達到網絡成熟度的高級狀態,需要一個更加全面和個性化的計劃。”Bramson補充道。
正如恩格爾所言:“通往地獄的道路是由善意和糟糕的應急計劃鋪成的。”
5.安全是網絡安全部門或安全團隊的工作
“今天,企業的每個員工都對網絡安全負有責任,以確保他們實踐合乎道德的商業運營。”英國拉夫堡大學的Omotolani Olowosule博士說:“應該在整個組織內加強意識和良好的安全行為。”
非IT部門的員工應該接受充分的安全意識培訓,以確保他們了解風險并知道如何解決一些最常見的問題。
6.一切安全任務都可以自動化
網絡安全流程的自動化對企業很有吸引力,因為它可以節省時間和成本。不過,自動化并非多多益善。“盲目依賴自動化實際上會在安全評估的質量和準確性方面造成差距。”Halborn聯合創始人兼首席信息安全官Steven Walbroehl說。“這會導致被忽視的漏洞,并造成無法預料的安全風險。”
Walbroehl認為,某些復雜的任務最好留給人類,因為它們需要直覺和本能,而這是機器欠缺的。“我還沒有看到一種自動化工具可以模擬熟練的滲透測試人員的思維過程,他們試圖破解或利用業務邏輯或復雜身份驗證中的步驟。”他說。
7.每年一次的在線安全意識培訓就已足夠
許多公司要求其員工定期參加在線安全培訓。人們觀看一段短片并回答幾個問題。盡管人們在考試中表現出色,但這種學習方式不一定有效。
“它沒有提供引人入勝的內容。”安全顧問Sarka Pekarova說,“這不會引起員工的重視,讓他們記住準則或發生安全事件所需的流程和程序。”
8.用電子表格就可管理企業網絡中的所有數字證書
公司依賴于數以千計的數字證書,并且都要確保其有效性,手動跟蹤管理它們幾乎是不可能的。任何過期證書都可能會導致級聯故障,例如關鍵系統的中斷。
“不再可能使用電子表格和手動數字證書部署和撤銷方法來管理、保護和驗證這些證書。”Sectigo的首席信息官Ed Giaquinto說道:“更糟糕的是,一個過期的證書可以為不良行為者提供滲透企業網絡并造成嚴重破壞的絕佳機會。”
9.人是最薄弱的環節
安全顧問Sarka Pekarova說,大多數攻擊都是從人這個環節開始的,但企業應該停止指責他們,而應該采用整體方法。她建議從反方面看待這個問題:“如果我們為人員提供正確的支持,如果政策和程序到位,例如零信任,他們將茁壯成長并成為安全防御最強大的環節”。
10.XDR與SIEM和SOAR不沖突
作為SOC現代化的兩大路徑之一,飛速發展的XDR已經不再是“窮人的SIEM”。正如Forrester所指出的那樣,XDR正在與SIEM和SOAR發生正面沖突,對于不同安全態勢的企業來說,企業需要考慮其長期業務目標側重點(檢測與響應還是合規與運營)和自身安全資源(預算、人才等)來選擇這兩種不同的技術路徑。XDR和SOAR在今天充其量是松散耦合的,這種情況暫時不會改變。最好的XDR系統將繼續執行基本任務自動化,而無需SOAR。
(來源:@GoUpSec)
