【TechTarget中国原创】这篇文章来源于SearchSecurity.com,我们的作者花费了大量的时间和精力,帮助信息安全专业人士开发一种新的安全技术以及理解行业的最佳做法。但是我想反过来关注一些企业普遍存在的问题,这些习惯确实能搞糟事情、带来安全问题。毕竟,如果我们不能从错误中吸取教训,我们就注定要重蹈覆辙。
在此,我想与你们分享五种最差的做法:
1.使用有线等效加密(WEP)技术。经常阅读这个SearchSecurity.com文章的读者知道我经常抨击WEP。实际上,这个协议的弱点是正是几个月前我写的名为《最佳方式》文章里的一个议题:“TJX心得:公司无线加密的最佳方式”(Lessons learned from TJX: Best practices for enterprise wireless encryption)。如果你在公司中仍然使用WEP加密,现在就该面对残忍的现实了:使用免费工具就可以在几秒钟攻破WEP所使用的简单化加密技术。这一点在“TJX数据破坏得以证明,WEP先天不足,无法真正提供安全”(TJX data breach proved, WEP's inherent flaws provide little real security)中提到了。如果你寻找另一种安全工具,可以试试WPA2,详见文章secure alternative to WEP, try WPA2。
2.践行“安全剧场”。一些人认为这个术语借用了安全界博学家Bruce Schneier的著名文章In Praise of Security Theater中的话语。“安全剧场”本质上是一种执行复杂昂贵安全措施的方式,这种方式仅仅为了引起人们的注意,认为你在安全上投入了大量的时间和精力,但实际情况是你的控件容易受到攻击并且效率低下。比如,最近FFIEC(联邦金融机构检查委员会)要求银行在敏感交易时使用双因素认证。为了回避这条规则,银行在其标准的登录进程中加入了一系列“安全问题”。任何安全专业人士都知道,使用两个“你知道的一些情况”因素,实际上不是真正的双因素认证。这种情况下,安全剧场提供了一种安全幻想,逃避推行新IAM技术。
3.加密邮件的附件,仅包括信息中的加密密钥。这种情况我一个月进行一次。一些人通过电子邮件发给我一份敏感文件,在传输过程中使用Microsoft Office的加密技术,以保护文件的机密性。接着这个人会在消息主体中表扬他自己,说一些诸如“迈克,我知道你总是告诉我邮件中的安全问题,所以我给这个机密文件加密了。密码是足球。”我畏缩了,温和地解释这不能真正解决问题。简单的解决方法是密码采用带外传输方式。比如,发送邮件,然后拿起电话给接收者打电话,提供给他密码。一个人同时截取你的邮件和电话的可能性很小。
4.不进行修补。虽然我们都知道应用安全更新是保护系统和应用程序管理的重要组成部分,但是,我们为什么不进行安全更新呢?举一个Oracle数据库的例子。最近一项调查表明三分之二的工商管理博士们从来都不使用Oracle公司定期发布的安全补丁CPU(Critical Patch Update)。尽管事实上是Oracle公司请求工商管理博士们使用补丁,有些时候会把这种可怕的后果警告为“严重的安全漏洞……,可以导致系统瘫痪、远程执行代码并升级特权”。切记,黑客可以和我们阅读同样的安全补丁公告。不修补网络、数据库和第三方应用程序,就会带来麻烦。
5.不对笔记本电脑进行加密。在安全职业生涯中,许多人已经至少遇到过一次这样的情况:有些人把包含员工或者客户敏感信息的笔记本给弄丢了,你不得不发出尴尬的布告,并为成千上万人购买身份盗窃保护。所幸的是,有一种简单的办法可以完全防止这种情况的发生:使用磁盘加密产品,把数据复制到磁盘上,这样如果某个设备失窃,那么数据仍然是不可用的。2008年2月一篇名为《PrivacyRights.org Chronology of Data Breaches》的文章值得关注,其中列出了由丢失不加密笔记本所导致的五大严重破坏性问题。这些都发生在一些知名度较高的企业,它们本可以了解更多这方面的知识。列表中包括一些像卡夫食品公司、Blue-Cross Blue-Shield公司和美国国立卫生研究院之类的公司和组织。
有趣的是,这些差劲的做法中超过半数是来自相同的技术领域:加密。这一事实,让我们得到一个教训:作为一个组织,我们要么不十分了解加密,要么武装知识奋力向前,使这份列表中有关各种禁忌的术语延续下去。
这些例子中存在一个明显的问题:作为专业人士,为什么我们重复犯相同的错误呢?最近提出的“最差做法”不只一种。即使是WEP加密中的缺陷都存在了五年多了。我们所有人需要吸取的教训是:一定要时刻紧记信息安全的基本知识。虽然尝试并推行新的、综合的安全系统是不错的做法,但是不要因为这样做而忘记实施历史悠久的最佳做法。