安全产业七大内幕揭秘
关键字: 安全产业 内幕 

安全产业七大内幕揭秘

作者：CNW.com.cn 博恩 编译

在Interop展会上，一位安全专家警告说，企业的IT人员必须认识到，有关安全产业的七大内幕有可能会损害到企业网络的安全。

“对于安全厂商向你描述的东西必须保持一定的怀疑态度。”IBM/ISS首席安全战略师Joshua Corman说，尽管IBM/ISS本身也是一家安全厂商。

他称自己题为“任何速度都不安全：安全产业七大内幕揭秘”的演说实际上是对上世纪60年代Ralph Nader关于汽车安全的著作《任何速度都不安全》的一种模拟。Nader的书要求汽车厂商与其注重汽车的装饰还不如关注汽车如何才能更安全。

安全厂商经常会投入资金去美化GUI（图形界面），而不是增加新的安全特性。只有在用户有要求时，它们才会增加新的功能。“可见，安全厂商的目的并非安全本身，而是如何赚钱。”Corman说。

在他看来，这就是安全产业的第零个内幕。此外还有另外七大不光彩内幕：

1. 防病毒查杀在误导用户。所有的查杀标准都信誓旦旦地保证能够百分之百地防范自我复制的恶意代码。然而这其中有陷阱，因为进入网络的恶意代码中有75%是非自我复制的，比如特洛伊木马。所以一旦设定了查杀标准，也就只有25%的恶意代码能被防范住。

2. 不存在网络边界。安全厂商都在说必须保卫网络的边界，然而事实上，绝大多数的数据都不是通过企业的防火墙泄漏出去的。约有一半左右的数据泄密都是笔记本丢失、U盘丢失或通过其他可移动存储介质造成的。企业与其倾全力去加固所谓的网络边界，还不如倾全力去加固自己的各种业务流程。

3. 风险分析会对安全厂商造成威胁。安全厂商想让企业购买它们销售的产品，所以他们会力推一些防范特殊威胁的特殊产品。举例来说，NAC或许能解决某个实际问题，但是如果这个问题对于企业必须优先考虑的主要业务来说不会产生重要影响的话，那么NAC实际上就是无用的。通过风险评估有可能确定，改善业务流程或者加固现有设备的安全配置才是最需要的。

4. 有漏洞的软件风险最大吗？安全厂商总是想让用户相信，防范软件的漏洞非常重要，然而堵住了软件漏洞也并不表示万事大吉了。不安全的口令、不安全的设备配置（尤其是缺省配置），还有安全意识不强的员工，这些才是可能出大问题的地方。Corman说：“即便软件是完美无缺的，仍然会有病毒，比如特洛伊木马，它们不必借助软件漏洞也能运行。”

5. 法规遵从可能威胁安全。法规遵从本身并没错，但是如果只按照政府设定的安全标准，比如HIPAA或者行业标准PCI去遵从，那么要想保障网络的安全则是远远不够的。法规导致了遵从的预算，并且在法规要求和企业真正需要的最佳安全要求之间会引发资源冲突。遵从此类法规还可能会让潜在的攻击者得知企业的防御方略。Corman说：“假如PCI告诉了攻击者哪里有防御堡垒的话，那么他们就会把攻击目标转移到未设防的地方。”

6. 安全厂商的盲点往往导致暴风蠕虫的爆发。企业网络通过检查网络设备的行为可以找出被僵尸网络接管的机器，但是消费者网络却没有这样的保护措施。虽说基于端点行为的防病毒软件和异常探测系统也能起到一定的保护作用，但是大量的消费者端点并未安装此类软件。暴风蠕虫会找出大量的此类防病毒盲点并利用它们。Corman说，暴风蠕虫雇佣了大批社会工程攻击者在为它工作。

7. 安全DIY不可能吗？安全厂商试图让企业相信，安全防范是很复杂的工作，企业不可能自己去做。然而，企业的安全需求是如此的个性化，所以只靠选择某个安全产品是远远不够的。Corman说；“要实现企业的安全目标，就需要安装和配置适合于企业自身环境的产品。”因此，安全工作最好是由企业的IT部门自己来做。