哈爾濱中軟分享：對於網路安全的6個誤解

企業需要一個更有效的IT安全策略嗎?如果是的話，那麼就要消除企業首席執行官和高級管理人員對於網路安全的一些誤解。

企業的首席執行官負責領導公司的所有戰略規劃和運營，同時也負有很大的領導責任。因此，他們希望IT安全方面的工作人員聰明能幹，並在正確的地方做正確的事情來應對威脅。事實上，很多企業的首席執行官在IT安全方面浪費了大量預算，因為其安全策略和措施應用在那些實際上不起作用的事情上。

這是為什麼?

首席執行官對有關IT安全方面有一些誤解，很多都是一種教條，而不是真實的知識和經驗。當首席執行官相信錯誤的事情時，就很難有效地做正確的事情。以下是很多企業首席執行官對計算機和網路安全的普遍看法。

1. 無法阻止黑客的攻擊

大多數計算機和網路的防禦措施薄弱，並且不得當，以至於黑客和惡意軟體可以隨意侵入。很多惡意軟體甚至在企業的IT環境中存在多年，很多企業的計算機防禦措施非常糟糕並且漏洞百出，以至於首席執行官們被告知不可能阻止黑客和惡意軟體的侵襲。他們所能做的最好的事情就是「假定違規」，在攻擊者進入環境時及早發現，並減緩攻擊者的入侵速度。

那麼，人們能想像一下軍事將領在遭遇敵方攻擊時告訴下屬：無論他們做什麼，都沒有辦法贏得勝利......這不可能，但這也正是計算機安全領域希望首席執行官們具有清醒認識的原因。

雖然由國家層面資助的黑客組織的攻擊很難被阻止，但企業只要正確地完成安全防禦的一些部署，就可以很好地阻止大多數黑客和惡意軟體的入侵。而採用更好的IT安全策略和一些關鍵防禦措施可以顯著降低黑客或惡意軟體進入企業IT環境的大部分風險。

2. 黑客非常出色

人們認為黑客和惡意軟體永遠無法防禦，其部分原因是很多人認為黑客都是非常出色的，是不可阻擋的超級天才。這種浪漫主義的思想很容易在好萊塢電影中得到推廣，這些電影的故事情節中，黑客可以輕鬆猜測密碼，併入侵和接管世界各地的計算機，並進入任何系統。黑客可以通過網路攻擊，以及掌握密碼發射核彈，並輕鬆擦除人們的數字身份。

這個錯誤的想法讓很多人信以為真，因為這些被黑客攻擊或感染惡意軟體的人並不是程序員或IT安全人員。對他們來說，這有些像一個神奇的事件。

現實情況是，大多數黑客的智商水平都和普通人一樣。黑客只知道如何使用以前的工作人員傳遞的特定工具完成特定的交易，這並不是說沒有出色的黑客，但他們很少，就像其他職業一樣。不幸的是，對黑客非常聰明的誤解正好強化了他們不能被擊敗的神話。

3. IT安全人員知道如何解決問題

這可能是最需要消除的誤解之一。大多數企業IT安全團隊的工作人員都很聰明和勤奮，但在大多數情況下，他們所從事的工作不會大幅降低計算機的安全風險。因為很多人將太多的資源放在錯誤的地方去對付錯誤的東西。

可悲的事實是，IT安全團隊很少有真正的數據來支持解決他們認為是真正的問題。如果首席執行官詢問IT安全團隊，他們的組織面臨的最大威脅是什麼，那麼很可能會震驚地發現沒有人真正知道答案。即使有人給出了正確的答案，他們也沒有數據來支持它。相反，IT安全團隊中有很多人不明白什麼是最大的問題。如果IT安全團隊不知道最大的問題是什麼，他們怎麼能最有效地對抗最大的威脅?

4. 安全合規性等於更好的安全性

企業的首席執行官們在業務上和職責上都要確保他們的公司符合每一項法律和法規的合規要求。如今，大多數企業都會受到多種不同的IT安全需求的影響。所有的首席執行官都知道，如果他們履行合規義務，他們就是專業人士所認為的「安全」，或者至少正在做法規認為是安全的事情。

可悲的是，遵守法規所要求的往往與安全性並不相同，並且有時可能與真正的安全相衝突。例如，人們知道，以往的長期密碼政策要求(包括使用很長而複雜的密碼在一年中必須經常更改)與使用從未改變的非複雜密碼相比，會造成更大的安全風險。人們多年前就已經知道這些常識，這實際上是在過去幾年發布的大部分「官方」密碼建議都有提及。

大多數IT安全人員和首席執行官不知道這一點。即使他們知道這一點，他們也無法遵循更新、更好的密碼準則。為什麼?因為目前的法規要求在遵循新的密碼準則方面都沒有更新。因此，安全合規性並不總是等於安全。有時候，可能出現的情況與人們的想法正好相反。

5. 補丁得到控制

大多數首席執行官認為他們的軟體和應用程序的補丁已經得到了控制。而「控制」的意思是指軟體的補丁是最新的，或者是接近最新的版本。對於那些不是非常安全的設備，例如路由器，防火牆和伺服器，它們的補丁應該是完美的。大多數IT安全部門可能會告訴他們的首席執行官，他們的補丁「接近完美」，可能高達90%。

大多數公司有數百到數千個他們需要修補的程序。這些程序的大多數從不需要修補，不是因為沒有錯誤，而是因為攻擊者沒有攻擊這些程序。而沒有發現錯誤，因此也不需要修補。

在大多數組織中，可能有10到20個未修補程序，這意味著面臨大多數的黑客風險。在這些程序中，大多數程序的打補丁的準確率可能非常高，可能只有一兩個程序沒有打補丁。但不幸的是，就是這一個或幾個未修補程序將使大多數組織面臨嚴重的風險，但是如果只是只查看數字報告的話，它可能看起來很不錯。

舉個例子，假設一家公司只有一百個程序要打補丁。在這一百個程序中，只有一個程序的修補率很差，假設它只修補了50%，其整體修補率可以達到99.5%。這看起來相當不錯，但是這意味著，這個只修補了50%補丁的程序可能是黑客用來攻擊組織的程序之一。

在這裡並沒有提到大多數公司甚至沒有或不打算修補的大量硬體、固件和驅動程序。它們通常沒有包含在補丁的修補報告中。如果包括這些，其修補率看起來會更糟糕。而近年來，黑客攻擊硬體和固件的事件更加頻繁。這並不是什麼巧合。

6. 員工安全培訓已足夠

大多數企業面臨的兩大威脅之一是社交工程。黑客可以通過電子郵件或網路瀏覽器入侵。考慮到將會面臨損害最嚴重的頂級攻擊，社會工程可能涉及99%的案例。

然而，大多數公司每年只花不到30分鐘的時間進行社交工程安全的培訓。計算機安全領域已經確定了大多數組織中面臨主要的兩個問題，(另一個是未打補丁的軟體)，但幾乎沒有組織這麼實施。相反，企業的員工沒有接受足夠的安全培訓來阻止黑客通過社交工程進行攻擊，無論企業採取什麼措施，無論企業投入多少資金或其他資源，都有可能被黑客成功攻擊。

這些誤解讓人們認為無法阻止黑客和惡意軟體的攻擊。如果首席執行官(或CSO或CISO)向IT安全團隊詢問一個問題：「我們最大的威脅是什麼，在哪裡支持它?」，這很難有一個共同的答案。如果企業對最大的問題沒有達成一致，那麼如何有效地應對它們呢?

哈爾濱中軟卓越具有完善的IT職業教育體系，提供基於崗位的項目實戰訓練，投重金研發了專門針對大學生的准員工。「5R（5Real）」實訓課程體系，5R即：真實的工作環境、真實的項目經理、真實的項目案例、真實的工作壓力、真實的工作機會。課程設計主要培養學員的動手操作能力，通過實際項目讓學生熟知軟體開發的流程，每年有無數學子從哈爾濱中軟卓越走向IT行業，選擇通過正規培訓的職業教育進入IT行業。哈爾濱中軟卓越助您走近夢想，走進輝煌人生。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！