信息安全误区揭秘:过去20年安全建议为何适得其反

本文深入剖析了常见信息安全建议的谬误,包括PDF安全性、Java安全神话、公共WiFi风险、密码策略问题等,揭示了过度简化的安全提示如何反而削弱整体防护能力,并提出了更有效的安全实践方案。

Jump ESP, jump!: 过去20年信息安全表现不佳的一个原因——“安全建议"的神话

时不时地,我会对投入在保护计算机、网络、手机等设备安全上的努力和资金感到失望,然而到了2016年,防御方面并没有太大改变。我个人认为造成这种情况的原因有很多,其中之一就是这些所谓的"安全建议”。

这些安全建议的目标是,如果普通用户遵循这些易于记忆的规则,他们的计算机就会安全。不幸的是,当人们将这些规则融入日常生活时,这些规则要么已经过时,要么被过度简化以至于从一开始就不正确。其中一些安全建议对于当今的信息安全从业者来说可能听起来很荒谬,但这正是人们仍然记得的内容,因为我们多年来一直这样告诉他们。

PDF文件可以安全打开

这是个老生常谈的问题。我认为这始于宏病毒时代。然而,人们仍然认为从不信任的来源打开PDF比打开Word文件更安全。关于为什么这不正确,请查看:https://www.cvedetails.com/vulnerability-list/vendor_id-53/product_id-497/Adobe-Acrobat-Reader.html

另外,人们仍然相信PDF具有完整性保护,因为内容无法更改(与Word文档相比)。

Java是安全的

这是最好的例子之一。Oracle开始将Java宣传为一种安全语言,缓冲区溢出、格式字符串和基于指针的漏洞都不复存在。不幸的是,他们忘记告诉世界的是,他们不是在"其他人开发的不安全程序"上安装,而是在30亿台设备上安装了自己的不安全程序。

远离恶意网站就能安全

这是我经常从普通人那里听到的一个非常普遍的信念。“我只访问一些可信的新闻网站和社交媒体,从不访问那些 shady 网站。“我有些坏消息。在恶意广告和受感染网站的时代,你不再需要访问那些 shady 网站就会被感染。

不要使用开放WiFi

我对为什么这没有意义有很长的解释,请看这里。实际上,整个建议都没有意义,因为无论我们(信息安全)推荐什么,人们都会连接到公共WiFi。

密码策略的噩梦

实际上,这个话题我已经在两篇博客文章中讨论过,请看这里和这里。长话短说:尽可能使用密码管理器和双因素认证。让密码管理器为你选择密码。最后但同样重要的是,企业密码策略很糟糕。

带有锁形图标的网站是安全的

我们多年来告诉人们,与HTTPS网站的通信是安全的,你可以通过找到URL旁边随机变化的锁形图标来确认是HTTPS。人们听到的是带有锁形图标的网站是安全的。无论这意味着什么。WiFi也是如此——带有锁形图标的网络是安全的。

使用Linux,它没有恶意软件

多年来,人们告诉Windows用户,只要他们使用Linux,就不会有这么多恶意软件。多亏了Android,现在世界上每个人都可以在他/她的Linux机器上享受恶意软件了。

OSX没有恶意软件

确实,OSX上的恶意软件比Windows上少得多,但这更多是"经济"问题而不是"安全"问题。使用OSX的人越多,它就会成为更好的目标。有些人甚至认为他们使用Mac就能免受网络钓鱼的侵害!

更新的杀毒软件+防火墙让我100%安全

没有100%安全这回事,不幸的是,现在大多数恶意软件都是为了利润而编写的,这意味着它们可以绕过这些基本保护数天(或数周、数月、数年)。产品中内置的主动保护越多越好!

如何备份数据

尽管这是人们最不遵循的重要安全建议之一,但我的问题不是备份数据的建议,而是我们作为一个社区未能提供易于使用的方法。现在,加密勒索软件对每个Windows(和一些OSX)用户都是真正的威胁,即使是那些在NAS上有备份的人也可能发现备份丢失。唯一的希望是至少OSX有Time Machine,目前还没有被针对,这是唯一真正有效的备份解决方案。

最糟糕的是,我们甚至创建了可以通过蠕虫感染的NAS设备…

不使用时断开计算机与互联网的连接

这无需评论。推荐类似内容的人显然有问题。

使用(免费)VPN保护你的匿名性

首先,没有免费服务这回事。如果它是免费的,你就是服务。另一方面,非免费VPN可能引入新的漏洞,并且它们不会保护你的匿名性。它只是用一个ISP替换另一个(你的VPN提供商)。即使TOR本身也不能保证匿名性,而VPN更差。

企业的"安全建议"神话

“幸运的是"这些有害的安全建议不仅感染了家庭用户,也感染了企业环境。

使用robots.txt在公共网站上隐藏秘密信息

现在是2016年,不知何故Web开发人员仍然相信这种无稽之谈。这就是为什么这通常是渗透测试人员或攻击者在网站上首先检查的内容。

我的密码策略比以往更安全

如前所述,密码很糟糕。非常糟糕。它们将伴随我们数十年…

使用WAF、IDS、IPS、下一代APT检测胡言乱语,你就会安全

公司应该在人员上投入更多,在神奇的闪烁设备上投入更少。

应该做的事情

  • 不要安装臃肿软件,而是安装具有漏洞保护软件的计算机
  • 教人们如何使用密码保险箱
  • 教人们如何使用双因素认证
  • 教人们如何使用常识

结论

计算机安全是复杂、困难的,风险每年都在变化。这是我们的错吗?可能。但这类的安全建议不会帮助我们拯救世界。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次