当前位置：首页 > CIO > CIO商学院 > 正文

CIO:九种行不通的IT安全做法

来源：网界网

2012/8/22 10:32:21

大中小

事实上，大多数IT安全产品和技术并不能提供其广告中宣传的那种安全保护水平，使我们面临着比想象中更大的威胁。并且，传统IT安全主要采取鼹鼠战术(引申意思是监视与打击)来处理威胁，使我们无法应对创新的恶意软件。

分享到：新浪微博腾讯微博

本文关键字： CIO IT安全

在过去一年或者两年中，我们已经看到几个合法公共证书办法机构遭到攻击，使攻击者能够访问其签名密钥，这原本应该是最需要受到保护的信息，并且，攻击者能够发布欺诈密钥来用于其他攻击。

即使PKI仍然强大和完美，人们并不在乎。大多数最终用户当看到浏览器警告说“数字证书不可信任”时，他们仍然会点击“忽略”按钮。他们很高兴地绕过安全带来的不便，并继续流浏览网页。

部分问题在于使用数字证书的网站和程序并没有认真对待数字证书，导致每天都会发生证书错误消息。而如果最终用户不忽略数字证书错误信息的话，他们将无法继续其网络生活，有时候包括远程访问其自己的工作系统。浏览器供应商可以对数字证书错误进行整治，使网站或者服务不会出现任何错误，但客户可能会选择另一个浏览器。最终，每个人都愉快地忽略我们的公共密钥系统，大家都不在乎PKI。

行不通的安全方法No.8：你的设备是攻击者的梦想

设备的主要优势(提高安全性)并没有显现出来。通过部署一个较小的OS足迹(通常是锁定版本的Linux或者BSD)，设备将会比运行传统操作系统的全功能电脑更加安全。然而，在超过十年的安全设备测试中，只出现过一个不包含任何已知公共漏洞的设备。设备只是在封闭的硬盘驱动器或固件上的操作系统，这些设计很难以即使进行漏洞修复。

例如，上周在针对一家财富100强公司的测试中，我们发现每个无线网络控制器都有未修复的Apache和OpenSSH服务，这些漏洞可能让攻击者通过公共无线网络作为管理员进入其内部企业网络。他们的IDS和防火墙设备包含公共脚本(很早以前就被发现存在远程绕过漏洞)，且他们的电子邮件设备正在运行允许匿名上传的不安全的FTP服务。

这些结果让我们很惊讶。设备通常包含与软件相同数量的漏洞，但它们更难以修复。除了作为被硬化的安全设备外，它们也是攻击者的梦想。

行不通的安全方法No.9：沙盒提供到底层系统的直接路径

安全沙盒的目的在于让针对软件的漏洞利用不可能实现或者至少更难执行。事实上，安全沙盒并没有发挥这个作用。

目前，最大的安全沙盒可能是Java和谷歌的Chrome浏览器，而它们都遭受了100次漏洞利用，并允许对底层系统的直接访问。然而，这并没有阻止这些梦想家追求能够阻止所有漏洞利用和电脑病毒的沙箱。

很多安全方法和产品名不符其实，企业应该在众多解决方案中作出选择，选出能够真正降低风险的解决方案。

责编：罗信