在过去几年中,组织保护自己免受攻击者侵害的方式发生了巨大变化。混合工作模式、快节奏的数字化和不断增加的勒索软件事件已经改变了安全格局,使网络安全从业者的工作比以往任何时候都更加复杂。这种错综复杂的环境需要一种新的思维方式来捍卫,过去可能是正确的,今天可能不正确。数字证书的到期日期是否仍可以在电子表格中进行管理?人类真的是最薄弱的环节吗?安全专家权衡了我们在2022年最终需要思考的22个网络安全神话,神话自然存在不确定性,这里的神话是错误的想法或方法需要纠正。1.购买可以加强网络安全保护组织陷入的最大陷阱之一是预设他们需要更多的工具和平台来保护自己。厂商往往给用户的感觉是,一旦有了这些工具,他们就会认为自己是安全的。ArcticWolf的首席技术官IanMcShane说,组织很想购买“被吹捧为灵丹妙药”的产品。“这绝对不是成功的关键。”购买更多的工具并不一定会提高安全性,因为许多安全风险往往不是工具问题,而是操作问题。因此,组织不应无休止地循环使用新的供应商和产品,而应充分利用现有的投资预算。安全运营对于以满足独特需求的方式应对快速变化的威胁形势至关重要。对产品的采购更加科学合理有很大的帮助。当然,我国很多组织机构中的很多单位连最基本的安全工具都没有。这些组织仍然需要科学合理地购买安全工具。2、网络保险是转移风险的解决方案理论上,网络保险可以让组织规避潜在网络攻击的成本。然而,这个问题更加微妙。例如,勒索软件事件的成本远远超出其直接的财务影响,因为包括对客户信任和组织声誉的损害。ConquestCyber??总裁JeffreyJ.Engle认为,[网络保险]应该是网络安全战略的一部分,而不是网络弹性战略的基石。基本要求、除外责任和保费正在上升,而覆盖范围却在急剧下降。网络保险的概念在我国几年前就有人讨论过,在国外也发展了一段时间,也有成熟的案例。然而,我国很多人对“网络保险”的作用认识不明确,存在很多误解。例如,很多人可能认为网络保险将承担所有责任。事实上,并非如此。业务驱动的网络安全,而我国的网络安全运营商还处于事件驱动的安全状态,所以对于网络保险没有必要过于乐观,至少目前不宜过多讨论这个问题.3.合规即安全正如美国海军陆战队常说的,做好检查准备是一回事,做好战斗准备又是另一回事。ABSGroup工业网络安全全球负责人IanBramson表示:许多公司过于关注满足合规性要求,而对真正的安全性关注不够。选中所有合规框是不够的,因为合规仅意味着满足最低标准。实现网络成熟度的高级状态需要更全面和个性化的计划。这一点在我国也存在同样的问题。许多网络运营商经常考虑“高级保险”。你能通过安全测试吗?你能保证你的生命安全吗?因此,将合规、法律要求等同于安全是非常不负责任的,试图推卸责任更是愚蠢之举。4.如果一切都记录下来,合规性许多公司都有记录,但很少有人能正确地分析它们。根据DevoTechnology的CSOGunterOllmann的说法:如果不主动查看日志并自动查找已知威胁,就无法理解现代网络威胁,最好打印出日志并将其燃烧以供暖公司办公室。最好的日志简单且结构化,但包含足够的信息来帮助研究人员调查事件。设计日志的专业人员应该关注变化和异常,而不是记录平静的状态检查或系统检查。所以,在分配审计员角色的时候,并不是说他能看懂日志信息,而是说他能看懂日志,发现异常,配合其他角色排查技术和管理上的漏洞,修复管理和技术上的漏洞,并提高网络安全性。综合能力和水平。5.电子表格可用于手动管理已部署网络中的所有数字证书。组织依赖于数以千计的在任何给定点都有效的数字证书,并且不可能手动跟踪它们。这些过期证书之一可能会导致级联故障,例如关键系统的中断。根据Sectigo的CIOEdGiaquinto的说法:不再可能使用电子表格和手动数字证书部署和撤销方法来管理、保护和验证这些身份,更糟糕的是,过期的证书可以为不良行为者提供渗透企业网络的机会和肆虐的绝佳机会。6.云中的数据更安全由于大约一半的企业数据存储在云中,企业可能对其安全性过于信任。许多云提供商不保证使用他们服务的客户会保护他们的数据。VeritasTechnologies的SaaS保护、端点和备份总监总经理SimonJelley表示:数据对于云服务提供商而言与生产和依赖数据的公司一样有价值,这是不正确的!事实上,许多公司甚至采用了A共享责任模型,该模型明确规定客户的数据是他们保护的责任。7.安全是安全部门或安全团队的工作。OmotolaniOlowosule博士认为,每个人都有尽职或责任来确保他们实践符合道德的业务运营,并且应该在整个组织内加强意识和良好的安全行为。非IT部门中意识较低的员工应该接受适当的培训,以确保他们了解风险并知道如何解决一些最常见的问题。8.每年一次的安全培训可以为员工提供足够的知识许多公司要求员工定期参加在线安全培训。人们观看一段短片并回答几个问题。尽管人们在考试中表现出色,但这种学习方式不一定有效。根据安全顾问SarkaPekarova的说法:如果不提供引人入胜的内容,就不会引起他们的注意,让他们记住所教授的原则或发生安全事件所需的过程和程序。9.雇佣更多的人将解决网络安全问题企业应该优先考虑留住网络安全专业人员而不是寻找人才。他们应该投资并获得获得新技能的机会。根据McShane的说法:拥有一小群训练有素的IT专业人员来保护组织免受网络威胁和攻击,而不是拥有一支没有适当技能的分散的大型团队,尽管雇用新的团队成员可能是有益的,但是企业花在雇佣新员工上的时间和金钱可以更有效地用于加强他们的安全基础设施。10.人是最薄弱的环节大多数攻击都是从人开始的,但组织应该停止责备他们并采取整体方法。她建议改变这个想法。安全顾问SarkaPekarova认为,如果我们为人类提供正确的支持,他们就会茁壮成长并成为我们网络中最强大的一环,这就是我们使用“人力资产”的原因。如果制定了适当的政策和程序(例如零信任)并且人们得到充分支持,则可以提高组织安全性。11.一切都可以自动化安全相关流程的自动化似乎对组织很有吸引力,因为它可以节省时间和金钱。但是,应适度使用。Halborn联合创始人兼首席信息安全官StevenWalbroehl表示:“盲目依赖自动化实际上会在安全评估的质量和准确性方面造成差距,导致未被注意到的漏洞,并造成无法预料的安全风险。”一些复杂的任务最好留给人类,因为它们需要直觉和本能,而这是机器所缺乏的。我还没有看到一种自动化工具可以模仿熟练的渗透测试人员试图破译或利用业务逻辑或复杂的身份验证步骤所执行的思维过程。12.解决最新的攻击以确保安全。公司经常关注最新的攻击,而忽略其他相关的事情,并且未能建立足够的能力来预防未来的事件。布拉姆森认为:只关注已经发生的事情是被接下来发生的事情打击的好方法。威胁和攻击在不断变化。需要有一个程序来适应和为未知做好准备。13.每季度更改一次密码将使帐户更安全BishopFox首席研究员丹·佩特罗表示:要求用户按时更改密码只能确保他们的密码是错误的。比要求用户选择像“Winter2022”这样的短密码要好。TrendMicro基础架构战略副总裁WilliamMalik对此表示赞同。当攻击者获得一堆密码时,进行密码喷射-比每90天一次更频繁。使用特殊字符不会使密码更安全。相反,用户应该鼓励选择长密码并启用多重身份验证。14.加密敏感数据是安全的太多的开发人员认为加密是神奇的仙尘:你把它洒在数据上,它就会神奇地变得安全。在某些情况下,开发人员通常不会考虑密钥的存储位置或攻击者是谁。密码学是一个复杂的主题,太多的开发人员最终将自己包裹在一种错误的安全感中,认为他们已经“加密”了他们的数据,因此它是安全的是的,当然加密数据不太安全。因此,无论是数据所有者还是程序开发人员都不应沉迷于一种错误的安全感。15.URL旁边带有绿色锁的网站可能在一到二十年内是安全的多年前就是这种情况,当时流量很少加密,获得有效的HTTPS证书非常昂贵。如今,网络罪犯可以免费获得恶意网站的证书。卡巴斯基的安全研究员丹·德米特(DanDemeter)建议:首先在您最喜欢的搜索引擎上查看一个网站,如有疑问,请始终手动输入其URL,而不是单击链接。16.组织太小,即使在今天也无法成为目标,太多的公司认为他们的相关性不足以成为网络攻击的受害者。布拉姆森争辩说:如果你有暴露,你就是一个目标......每个人都有暴露,网络攻击者可以专门针对一家公司,或者他们可以发起一般攻击,看看谁被抓到了他们的网络生活。无论哪种方式,您都会在某个时候受到攻击。客户数据是在暗网上出售的宝贵商品,被入侵的网站可以传播恶意软件。中小型企业通常缺乏资源来实施和管理适当的信息安全计划,这使他们很容易成为猎物。17.严重威胁是政府的责任在安全方面,每个组织都应该尽自己的一份力量。政府无法保护所有人——很难保护自己免受高级持续威胁的无情攻击。法律法规就像汽车召回。为了让政府去写、审查、批准一些东西,然后强制它消失,必须发生很多安全事件。因此,政府通常会在风险得到广泛认可后采取行动。18.可以通过修补所有内部第三方硬件和软件来阻止供应链攻击Armorblox的联合创始人兼首席执行官DJSampath认为这非常简单。虽然软件漏洞和未打补丁的系统为攻击者提供了完美的攻击面,但它们并不是攻击者可以使用的唯一手段,企业需要全面了解其供应商管理,包括商业电子邮件妥协(BEC)、帐户接管和供应商横向移动环境。不作为的代价可能很高。一个例证这种危险的案例研究是一名立陶宛男子因在欺诈性BEC计划中盗窃超过1.2亿美元而被判刑。19.数据在企业防火墙后是安全的没有防火墙的网络是不安全的网络,但防火墙后的数据并不真正安全。混合模型使组织走出了他们的舒适区。随着每个人在家庭和企业网络中工作不再是安全边界,他们现在必须重新关注应用零信任技术并理解身份——无论位置如何——是新的安全边界。组织正在实施创新的公钥基础设施(PKI)解决方案,这些解决方案通过集成和自动化数字证书的部署、发现、管理和更新来验证设备、用户和实体的身份,从而在实现零信任环境方面发挥关键作用。20.广泛的软件测试可防止攻击测试软件始终是一个好主意,努力工作会有所帮助。但Virsec的联合创始人兼首席技术官SatyaGupta表示,攻击者仍然可以找到漏洞。就PrintNightmare漏洞而言,微软在2021年7月为Windows2003修补了代码。显然,微软拥有大量资源,但也没有发现该漏洞。近年来,越来越多的组织设立了漏洞赏金计划来激励白帽黑客。如果管理不当,这些程序会提供一种错误的安全感。21.加载远程不受信任的任意Java代码是绝对安全的这可能听起来是世界上最明显的事情,但为什么似乎每个Java程序仍然这样做?也许2022年将是Java程序最终停止故意加载任意远程代码的一年,值得期待。网络安全是一项非常全面、系统的工作。很多网络安全迷思是由于我们对某些内容缺乏了解或理解有偏差,比如对某些知识缺乏认识,所以我们没有相关的安全意识,有时对某些内容不了解。它是有偏见的,认为某种安全措施可以万无一失。总之,在网络安全策略中,应该考虑“中”的程度。不可忽视,但又不可或缺。因此,该学位要求对网络安全及相关责任义务有深入全面的认识,才能最终做到更加合理科学。当然,我们都在不断地讨论网络安全。网络没有绝对的安全,当然也有漏洞百出的网络保护。网络安全需要坚持和可持续发展。可以说,网络安全也属于无趣生活之列。
