CEO对网络安全容易产生的六大误解

首席执行官需要负责领导其公司的所有战略规划和运营。正是因为需要负责的内容太多，所以难免有所的失误。但如果浪费大量用于IT安全预算的资金，来投入那些实际上根本起不了作用的东西，问题就要严重的多了。因此，本文列出一些高管人员对网络安全常见的误解，以供参考。

一、攻击者无法阻止

大多数计算机防御措施都是薄弱且不当的，以至于黑客和恶意软件能够随意闯入其中。而正是由于这些计算机防御措施的糟糕无力，使得CEO们误以为黑客和恶意软件都是无法阻止的。他们所能做的最好的事情就是“承担违规”，在发现违规行为的第一时间采取补救措施，放缓攻击者的攻击速度以及降低攻击影响。

但是，你能想象一个军事将领在遭遇袭击时告诉下属和士兵称：无论做什么都阻止不了他们的进攻，我方都无法取得胜利......会是怎样一番场景吗？即便是在正确的防御点增配更多士兵和武器进行防守依然无法取得胜利？这听起来很荒诞，不过这正是如今计算机安全界的CEO们所坚守的信条。

虽然，一支训练有素且由国家支持的黑客组织可能很难阻止，但是大多数黑客和恶意软件还是可以通过完善公司的一些防御措施来进行阻止的，这些措施有些公司可能已经实施了，但是仍然没有效果，原因就在于没有找对地点（重点在引发漏洞的地方）。一个关注点更为明确的IT安全策略和一些关键防御措施能够显著降低黑客或恶意软件侵入企业网络环境的风险。

二、黑客都是非常出色的天才

造成“黑客和恶意软件永远无法阻止”的虚无主义信仰的部分原因是，全世界都认为黑客是非常出色且不可阻挡的超级天才。这种浪漫的“黑客英雄主义”思想早在众多系列的好莱坞电影中得到了认证和推广。在这些电影作品中，黑客轻松敲击几下键盘就能够接管整个世界的计算机网络。“电影黑客”可谓无所不能，能力通天，他们坐在家里轻击键盘就可以发射核导弹，再击几下键又可以擦除别人的数字身份。

这种错误的形象很容易为人所接受，因为大多数遭遇黑客攻击或恶意软件感染的都不是程序员或IT安全人员，而是普通的、对电影情节中毒很深的普通民众。对他们来说，网络攻击是需要像科幻电影中的那些超级天才才能实现的神奇事件。

但现实情况是，大多数黑客只是智商水平一般的普通人，比起爱因斯坦式的天才，他们更像是水管工和电工一样的普通人。他们像水管工和电工一样，利用前人智慧创造的特定工具来完成特定的任务，不同的是，他们的任务并不是有关管道和电力，而是攻击计算机设备。这并不否认存在出色的黑客，但他们毕竟只占少数，就像其他行业中的天才也往往总是少数一样。不幸的是，“所有黑客都非常聪明”的神话正好强化了“他们不能被击败”的神话。

三、IT安全人员知道需要解决的问题所在

这可能是最需要消除的一个重要安全神话。大多数IT安全团队都是由一群充满智慧且勤劳的人员组成，但是不可否认，他们真的不清楚自己应该做什么。在大多数情况下，他们所做的工作并没有帮助大幅度降低计算机安全风险。因为他们不知道，他们把太多的资源放在了错误的地方来对付错误的东西。

可悲的现实是，很少有IT安全团队拥有真实的数据来支持他们所认为的真正的安全威胁。如果首席执行官逐个询问IT安全团队成员，“组织所面临的最主要的威胁是什么”？那么首席执行官可能会震惊地发现，根本没有人真的知道答案。即便有人真的给出了正确的答案，他们也没有真实的数据来支持自己的观点。

而正是由于缺乏数据支持，IT安全团队中的每个人都不同意其他人关于“组织所面临的最主要的威胁是什么”所给出的答案。如果说IT安全团队不清楚企业面临的最大威胁是什么，他们能够更有效地应对最大的威胁吗？答案很显然是不能！

四、安全合规性=更好的安全

于公于私，首席执行官都必须遵循相关规定，以确保其公司符合法律和法规的要求。如今，大多数公司都受到多种IT安全规则的限制，即便是不认同相关规定，也必须实现合规性要求。因为，所有首席执行官都认为，如果他们履行了合规义务，他们就实现了专业人士所认为的“安全”，或者至少是法院认为安全的事情。

但可悲的是，合规性的要求往往与对安全的要求不同，而且它有时候还可能会与真正的安全性相悖。例如，如今我们知道，长期以来所遵循的密码策略要求（包括使用长而复杂的密码，且必须频繁更换）与使用永不更改的非复杂密码相比，会造成更多的安全风险。而这些密码策略要求在过去几年里曾频繁出现在各大“官方”密码建议中，包括NIST出版物。

大多数IT安全人员和首席执行官并不知道这一点。即便他们知道这一点，他们也无法遵循更新、更好的密码准则。为什么呢？因为目前的法规要求都没有更新以遵循新的密码准则。最后重复一遍，合规并不总是等于安全。有时候，情况还可能恰恰相反。

五、补丁更新尽在控制之中

大多数首席执行官认为，他们的补丁更新工作始终尽在控制之中。所谓“控制”，意思是说，软件补丁合规性要么是100%最新的，要么是接近最新的。但是实际上，任何安全人员都从来没有清点过所有的计算机或设备是否完全修复过。从来没有，哪怕一次！特别是对于路由器、防火墙以及服务器等“非常安全的”设备更是疏于检查，因为我们总是想当然地认为它们应该是被完美修复的。大多数IT安全部门可能会告诉自己的首席执行官称，补丁修复“接近完美”，可能高达90%，但是记住“细节决定成败”。

补丁修复率高达90%的原因在于，大多数公司有成百上千个需要修补的程序，但是大多数这些程序并没有修补，并不是因为它们没有错误，而是因为攻击者不会攻击它们。因为问题没有暴露，所以没有得到修复。

在大多数企业中，绝大多数的安全风险都是由其中10到20个未修补的程序造成的。在这些程序中，可能只有一两个程序的修补速度较为迟缓。而不幸的是，可能就是这一两个没来及修复的程序为企业带来了严重的安全风险。所以，如果您仅凭报告中提供的数据来判断安全情况，那你绝对会被现实击得头破血流。

举例说明，假设一家公司共有100个程序需要打补丁。而在这100个程序中，只有一个程序的修补率较差，假设它只修补了50%。那么，整体来看，补丁修复率已经达到了99.5%，这一比例看起来相当不错，但实际上，造成风险的可能就是那未完成修复的0.5%，更有可能的是，攻击者就是利用那一半未打补丁的程序闯入了你的组织系统，并窃取了敏感数据。

这里甚至还没提大多数公司根本不打算修补大量存在漏洞的硬件、固件以及驱动程序等。因为这些信息通常不包含在修补报告中，所以不占比例。试想一下，如果修复报告中包含硬件、固件以及驱动程序的修补率，那么得到的数据将有多糟糕。最近，黑客开始更为频繁地攻击硬件和固件，想来不是没有缘由的。

六、员工安全培训已经足够

对大多数企业而言，最严重的两大威胁之一就是社会工程攻击，攻击者通过电子邮件或网络浏览器，甚至是打电话的方式诱骗受害者获取信息。根据数据显示，在造成损害最严重的“Top攻击榜”中，社会工程占据所有攻击案例的99%。

然而，大多数企业每年进行社会工程培训的时间仍不足30分钟。世界计算机防御组织已经确定，大多数企业面临的最严重的两个问题分别是——未打补丁的软件和社会工程，但是显然，几乎没有企业对此做出任何行动回应。相反地，企业员工没有接受到足够的培训，以降低社会工程成功率。所以，无论他们做了多少其他方面的努力，投入了多少金钱或其他资源，都无法阻止黑客的社会工程攻击活动。

所有接下来的这些安全神话都进一步强化了第一个神话：黑客和恶意软件是无法阻止的。如此形成了一个低效的恶性循环，在此循环中如何能够得出正确的IT安全策略？

如果您是一名首席执行官（或首席安全官或首席信息安全官），且您认为这篇文章有些危言耸听，我会建议您逐个地咨询IT安全团队成员下述问题：

我们企业面临的最大威胁是什么？有哪些数据可以支持你的观点？

我想你将无法得到一个共同的答案或数据来支撑该答案。如果您对这一最根本的问题都没有达成一致，还谈什么有效地对抗它们呢？