1. 依靠操作系统供应商能完全防止自身的网络安全漏洞
依靠操作系统供应商来防止其自身的网络安全漏洞是不可能实现的,就好像Microsoft Defender号称它可以保护所有的微软终端一样。
最近的历史表明,依靠操作系统供应商来防止其自身的网络安全漏洞是不可能实现的。
2. Mac 是安全的,根本不可能遭遇黑客攻击
与微软不同的是,苹果并不是为了保护自己的产品而销售安全软件,但它仍然借着自己是一个封闭系统积极宣传自己的安全性,将其作为 Mac 相对于其他硬件的独特卖点之一。事实上,苹果的产品和其他产品一样,也需要第三方安全管理。比如最近肆虐的Log4j漏洞,包括苹果公司、亚马逊公司、云网络安全服务公司、国际商用机器公司(IBM)、微软旗下“我的世界”、帕洛阿尔托网络公司和推特公司都向其用户发出了安全警告。再比如2021年底的CVE-2021-30853(CVSS 评分:5.5),攻击者可以利用该漏洞简单而可靠地绕过无数基本的 macOS 安全机制并执行任意代码。
3.提前预防是不可能的,只需要检测就可以了
它已成为传统网络安全供应商的一个防御失败的借口了,他们试图用这个借口为防御套件和 EPP 的失败辩解,声称预防是不可能的,感染后检测和隔离是唯一现实的防护目标。
4. 零信任安全可以完全确保网络安全
虽然采用零信任是减少攻击面的正确方法,但现实是大多数组织无法跨多个资产和安全系统有效地实施完整的零信任架构 (ZTA)。
与企业安全方面的许多方法一样,ZTA 只是提供了一种解决方案,但它不是万能药。
5. 移动设备的安全不是必须的
令人难以置信的是,目前还有些供应商和安全从业者仍然没有意识到企业中移动设备安全保护的必要性。多年来,我们一直在通过移动设备查看商务邮件和访问工作数据。
尽管如此复杂,但该漏洞并非由民族国家行为者开发,而是由私营企业 NSO 集团开发。在这种环境下,以利润为导向的攻击者可以将这种水平的专业知识应用到危害我们的移动设备上。移动攻击是真实存在的,企业管理者应该应用移动威胁防御措施来跟踪用户和设备的行为和操作。
6. 只要将数据备份就可以保护你免受勒索软件的攻击
信息安全世界瞬息万变,没有一成不变的防护措施。回想 2017 年的 NotPetya 和 WannaCry,当时大多数企业因为没有备份数据而遭受了无法估量的损失,后来,人们对勒索软件的防护措施里就多了一条,即备份数据。
然而现在这个经验并没有什么参考意义,因为到 2019 年,我们看到第一个人为操作的勒索软件组织——Maze和 DoppelPaymer开始使用双重勒索方法:通过公开窃取的数据来威胁用户,从而支付赎金。现在,如果公司重视数据的隐私,备份并没有让他们摆脱被勒索的困境。
7. 勒索软件威胁可以由政府解决
我们已经看到了多次有价值和勇敢的尝试,以对抗因美国政府对网络犯罪的新关注而导致的勒索软件激增。
尽管政府采取行动的努力值得称道,但网络犯罪分子并未受到执法部门的威慑。
8.实现网路防御自动化后,你就不需要人工干预了
防护人员的网络安全技能的短缺是真实存在的,但尽管自动化可以为防护力和效率做出宝贵的贡献,但自动化永远不会取代网络安全中的人的因素。
风险不是静态的,随着组织的成熟和业务的扩展,风险面也在不断增长和变化。更多的服务、更多的生产服务器、更多的流和更多的客户数据使得降低风险的挑战不断提高。由于没有什么灵丹妙药可以让你了解企业的风险,也没有量化保护企业安全的手段,因此始终需要能够创新、评估和缩小这些差距的网络安全人才。
9. 有了MDR安全服务则万事大吉
虽然自动化永远不会取代对人类分析师的需求,但也有相反的情况:人类永远无法像计算机一样快速地检测、响应和修复可识别的攻击。我们需要以最适合任务的方式使用我们的人力和计算机资源。
总结
网络安全是一项复杂的业务,这是一个无法回避的事实,但做好基础工作是第一步。减少对操作系统供应商的依赖,部署设备上的终端保护,提供对整个产业的可见性,并培养网络安全人才,才会避免上述网路安全误区。