网络安全产业的七个“肮脏”秘密


IT资讯	系统天下	网盟学院


硬件DIY	软件下载	网络安全

您现在的位置： ChinaBeta.cn 中文IT资讯 >> 资讯中心 >> HACK报道 >> 安全资讯 >> 文章正文

	网络安全产业的七个“肮脏”秘		腾讯员工:和马化腾一起见证QQ灾
	古巴信息通信部副部长谈手机开		北约互联网安全中心正式成立 8
	深圳:电子眼偷窥者是临时工		互联网:用你的方式传播着汶川地
	《地震搜救手册》译言翻译		微软发布Adobe Flash Player更
	微软演示超大触摸墙计算机		微软官方发布2007年Windows XP
	GNOME 2.23.2		手机QQ2008 beta1发布
	FireFox地震报告插件 eQUAKE A		Windows Live for Windows Mob
	被拨坏的免费电话和灾民的眼泪		EA向地震灾区捐款人民币100万元
	超级兔子XP升级天使 2008.5月补		QQ for Mac 1.0 Preview 2 Bui
	《合金装备4》进厂压盘		《MGS4》文化衫
	《Race Driver: Grid》试玩下载		Office 2008 for Mac SP1
	Opera Mini 4.1推出增加搜索、		海尔集团向灾区捐助1000万启动
	神舟电脑向地震灾区捐款100万元		电影随后!游戏版《木乃伊3》率
	国内外主流文件存储服务对比分		“我出来买酱油的”成网络流行

网络安全产业的七个“肮脏”秘密

Www.ChinaBeta.Cn 更新时间：2008-5-15

【ChinaBeta.Cn中文IT资讯网】

在拉斯维加斯Interop会场上，一位安全专家告诫与会者：公司的IT负责人必须注意影响到公司网络安全的七个安全产业内的小秘密。虽然IBM/ISS本身也是一个安全服务提供商，其首席安全策略师Joshua Corman还是在会上说：“对于安全产品和服务提供商试图想要告诉你的东西，最好是保持立度的怀疑。

他沿用1960年代Ralph Nader针对汽车安全出版的书《任何速度都不安全》来作为他演讲的标题：“任何速度都不安全，安全产业七个肮脏的秘密”。Nader讽刺汽车制造商针对汽车安全所做的改造都是一些花拳绣腿，没有实质性的提高。

安全厂商们时不时将其研发的投资用于管理界面而非更多的安全功能，他们更倾向于仅在客户强烈要求时才增加这样的安全功能。Corman说道：“安全厂商的目的是赚钱，而不是让用户更安全。”他说这是安全厂商的第零号肮脏的秘密。其他的七个分别为：

1、安全认证具有极强的误导性

安全认证标准经常确认说相应的产品能够100%地阻挡所有的可复制恶意代码。然而被捕获到的恶意代码中有75%是不可复制的，例如木马。当标准设定之后，Corman说：“不可复制的恶意代码仅占恶意代码的5%”。认证意味着一个产品只能捕获100%恶意代码中的25%.

2、没有安全世界

厂商常说网络世界必须设置防御，但大部分数据丢失其实并非经由防火墙，一半的数据丢失其实是经由丢失的笔记本电脑或其他移动设备。企业必须加强其商务流程的管理，如同他们加强其网络边界的管理一样。他说：“如果你继续相信网络世界，就像是你相信圣诞老人一样。”

3、风险评估威胁到安全厂商

安全厂商希望企业买他们所卖的，这样他们能推动阻挡特定威胁的产品。例如，NAC能解决一些实际的问题，但是如果此类问题对企业来说并不会对其主要业务产生大影响，那就根本不需要予以考虑。Corman说：“风险评估应能确定改进业务流程或固化配置是必须的，你需要了解所处的环境和大的优先级。”

4、弱的软件之新还有更多的风险

安全厂商力推如何保护和修复软件的漏洞，但是Cormen说这些问题仅占被成功利用的漏洞的一部分。弱口令、弱配置，特别是缺省配置，以及易被社会工程突破的缺乏安全意识的人才是最大的问题。Cormen说：“即使软件是完美的，仍有病毒木马会肆虐，他们其实并不完全依赖于软件问题。”

5、安全规范威胁到安全

安全规范本身并不是一件坏东西，但是遵从政府制定的标准，例如：HIPAA或行业的标准如PCI并不是以使你的网络更安全。问题在于政策法规制造了规范要求与网管认为对业务来说最需要做的事之间的落差，影响到预算和资源的投入。遵从这样的标准，同时意味着可能引发针对此类相同防御的可能攻击能被实施。他说：“如果PCI告诉他们防御重点在什么地方，那攻击者就能轻易绕开。”

6、厂商的盲点可能导致Storm类蠕虫病毒的再度爆发

公司层的防御能利用行为检测等技术锁定到僵尸网络，但是个人用户网络并未受到保护。行为检测到技术或异常行为分析等在个人安全产品上的运用可以起到一定的保护作用，然而一方面由于此类技术仍存在技术不足和盲点，另外仍有大量未使用此类技术的用户，Storm这样的蠕虫病毒仍然有爆发的可能。

7、安全DIY已不再

安全厂商力图使用户相信，安全由于其复杂性使得用户已不能独自面对，但是由于不同业务的安全需求的不同特点，仅仅选择产品是不够的。Corman说：“仅有对的工具仍然是不够的，还需要针对环境实行正确的安装配置。”所以需要IT的专业人员来完成这样的工作是最好的。

墨者安全专家认为：Corman作为一名资深的安全专家，他揭示的安全业的问题基本上是忠恳的，但字里行间仍然有为IBM/ISS安全咨询服务推销的软文嫌疑，特别是第二、三、五、七个秘密。所以说Corman也不免落于第零个秘密。

对于安全认证，尤其是所谓的国际安全认证，Corman确实说到了点子上。这其实是一个安全行业的潜规则。例如近年来几乎被国内杀毒厂商神话了的VB100，认证其初衷是为比较各厂商的安全产品而设立的“不偏不倚”的独立评测组织，其每次测试的病毒样本来源于另个独立组织Wildlist.org。然而随着商业利益的驱使，就如同近年来常见诸报道的各大国际标准组织一样，Wildlist.org、VirusBulletin以及ICSA等组织的认证，目前都带有浓厚的商业味道。是否是组织内部人士，甚至是否是组织内的核心圈人士能直接影响到该次测试的样本集，从而直接影响到测试的结果。所以围绕这些组织的公关是愈演愈烈。更有甚者，目前Wildlist.org中的通信员是一个封闭的组织，其成员的选取程序目前未见任何公开的披露。他们个人及代表的公司的利益直接影响到相关评测的公正性。从某种意义上来说，只有立法公正，才能保证程序的公正，从而保证结果的公正。

而大家可以通过下面的图示来了解一下目前有的安全厂商提供的安全产品提供所谓的VB100权威认证是如何得到的，它是否有失公正和公平呢？