二元论将世界分成非此即彼的两个类别,并将此作为唯一可能的选择,认为一件事不完美,那么它就是糟糕的,如果你不完全同意一件事,那么你就应该坚定反对。二元论思维阻碍人们对多元、复杂事物的认知和理解,也是很多错误的根源。网络安全领域基本上是属于复杂系统问题,可也存在一些比较流行的二元论的观点,并且它们还存在一定的影响力。下面收集了一些具体的例子,其中一部分选自Google云CSO——Phil Venables 的文章。
合规对实际安全效果没有价值
合规是安全的必要条件,但不是充分条件。当前合规性制度往往是基于过去经验总结的安全基线要求。遵循它们固然达不到大多数企业必须的安全性要求,但也是有其价值的。
每个企业都是攻击目标
大多数组织并不是定向攻击者的目标,他们需要应对的是随机攻击者。这些攻击者更多是在寻找存在明显弱点、容易得手的目标,而不会专注于一个固定目标。理解这种攻击目标选择的差异,对建立合理的防御机制至关重要。
安全和用户效率不能兼得
一方面希望通过复杂的认证和授权机制来加强安全性,另一方面需要保证用户更便捷的使用网络、提升效率。这两者并不是不可平衡的,当前中有很多创新的技术和方法,可以保障两者兼得,如:动态多因子认证、无密码认证、业务访问策略推荐智能化等。
封闭系统比开放系统更安全
当前还是有一部分人会觉得内部隔离网比云环境更安全,因为只有特定用户才能访问资源。而现实中可能不存在完全封闭的网络,同时内部违规、凭证泄漏和内部攻击等情况也是需要考量的问题。而云环境下往往有更完善的安全机制,包括访问控制、加密、隔离等。两者的安全性不必然孰强孰弱。
没有足够多的安全专业人员
面对人员短缺问题的首先要思考的是当前工作效率是否足够高,组织的流程和技术架构是否可以保障安全专业人员可以更好的完成工作,减少不必要的重复工作及额外负担。这些许是更有效的途径,否则培养再多人也可能避免不了流失的风险。
管理层不关心安全
安全投资本质上是一种风险决策,除了特定情况下某些安全机制是强制性的(如合规性要求),而特定风险如果企业选择容忍,并不一定是一个错误。同时也要考量从风险的角度,方案表述是否足够清楚,技术/方法选择是否合理。
开源更安全
当前软件供应链安全中最需要关注的之一就是开源软件的安全问题。开源软件固然可能有更多的人去做代码审查,但其生态相对复杂,其中问题也就比较微妙。同时一些开源项目的灵魂人物离开,对其整体质量影响会非常大。
参考:https://www.philvenables.com/post/cybersecurity-and-the-curse-of-binary-thinking
声明:本文来自ZenMind,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
