315打假：十大网络安全谎言

飞速发展的网络安全行业充斥着谎言和毒饵，有些是出于营销目的，有些则纯属以讹传讹，虽然在知识分享高度发达的今天很多谎言都不攻自破，但依然有很多“弥天大谎”被很多用户、企业管理者甚至是安全专业人士封为圭臬，并最终转化为战略跑偏和经济损失。以下，GoUpSec收集总结了2022年最坑爹的十大网络安全谎言：

1. 购买网络安全工具越多越安全

2. 数据在云端更安全

3. 比特币很快将被量子计算破解

4. 合规等于安全

5. 网络安全是安全团队的工作

6. 一切安全功能都可以自动化

7. 每年一次的在线安全意识培训就已足够

8. 用电子表格就可以管理企业网络中的所有数字证书

9. 人是最薄弱的环节

10. XDR与SIEM和SOAR不冲突

1.购买网络安全产品越多越安全

企业网络安全最大陷阱之一就是鼓吹部署的安全工具/产品越多越安全。

企业被引诱购买“被吹捧为灵丹妙药”的产品，Arctic Wolf的首席技术官Ian McShane说，“这绝对不是成功的关键。”

购买更多工具并不一定会提高安全性，因为安全问题通常不是工具问题，而是运营问题。“通过优先考虑和拥抱安全运营，企业可以充分利用现有投资，而不是无休止地循环使用新的安全供应商和新产品。”

2.数据在云端更安全

大多数企业显然都过于信任云的安全性，如今，大约一半的企业数据已经存储在云中。Veritas Technologies SaaS保护、端点和备份主管总经理Simon Jelley表示：“云服务提供商会像客户一样重视客户的数据安全吗？答案是否定的。”

“许多云提供商并不承诺保障其云服务客户的数据安全。事实上，许多云服务商甚至在其服务条款中采用了责任共担模型，这清楚地表明数据安全是客户自己的责任。”Jelley说。

3.比特币很快会被量子计算破解

近日，马克韦伯等学者在《AVS量子科学》上刊登的一篇研究论文显示，要想在有效时间段内（对于比特币交易来说通常为10-60分钟）破解比特币网络的256位椭圆曲线加密算法，需要量子计算机至少拥有3.17亿个量子位，而当今最先进的IBM的超导量子计算机，也仅仅只有127个量子位。即使量子计算机的量子位数或性能以摩尔定律增长，十年内也难以撼动比特币。

4.合规等于安全

做好检查准备是一回事，但做好战斗准备是另一回事。ABS Group工业网络安全全球负责人Ian Bramson表示：“许多公司过于关注满足合规性要求，而对真正的安全性关注不够。”

他说，检查所有合规要求是远远不够的，因为合规只意味着满足最低标准。“要达到网络成熟度的高级状态，需要一个更加全面和个性化的计划。”Bramson补充道。

正如恩格尔所言：“通往地狱的道路是由善意和糟糕的应急计划铺成的。” 

5.安全是网络安全部门或安全团队的工作

“今天，企业的每个员工都对网络安全负有责任，以确保他们实践合乎道德的商业运营。”英国拉夫堡大学的Omotolani Olowosule博士说：“应该在整个组织内加强意识和良好的安全行为。”

非IT部门的员工应该接受充分的安全意识培训，以确保他们了解风险并知道如何解决一些最常见的问题。

6.一切安全任务都可以自动化

网络安全流程的自动化对企业很有吸引力，因为它可以节省时间和成本。不过，自动化并非多多益善。“盲目依赖自动化实际上会在安全评估的质量和准确性方面造成差距。”Halborn联合创始人兼首席信息安全官Steven Walbroehl说。“这会导致被忽视的漏洞，并造成无法预料的安全风险。”

Walbroehl认为，某些复杂的任务最好留给人类，因为它们需要直觉和本能，而这是机器欠缺的。“我还没有看到一种自动化工具可以模拟熟练的渗透测试人员的思维过程，他们试图破解或利用业务逻辑或复杂身份验证中的步骤。”他说。

7.每年一次的在线安全意识培训就已足够

许多公司要求其员工定期参加在线安全培训。人们观看一段短片并回答几个问题。尽管人们在考试中表现出色，但这种学习方式不一定有效。

“它没有提供引人入胜的内容。”安全顾问Sarka Pekarova说，“这不会引起员工的重视，让他们记住准则或发生安全事件所需的流程和程序。”

8.用电子表格就可管理企业网络中的所有数字证书

公司依赖于数以千计的数字证书，并且都要确保其有效性，手动跟踪管理它们几乎是不可能的。任何过期证书都可能会导致级联故障，例如关键系统的中断。

“不再可能使用电子表格和手动数字证书部署和撤销方法来管理、保护和验证这些证书。”Sectigo的首席信息官Ed Giaquinto说道：“更糟糕的是，一个过期的证书可以为不良行为者提供渗透企业网络并造成严重破坏的绝佳机会。”

9.人是最薄弱的环节

安全顾问Sarka Pekarova说，大多数攻击都是从人这个环节开始的，但企业应该停止指责他们，而应该采用整体方法。她建议从反方面看待这个问题：“如果我们为人员提供正确的支持，如果政策和程序到位，例如零信任，他们将茁壮成长并成为安全防御最强大的环节”。

10.XDR与SIEM和SOAR不冲突

作为SOC现代化的两大路径之一，飞速发展的XDR已经不再是“穷人的SIEM”。正如Forrester所指出的那样，XDR正在与SIEM和SOAR发生正面冲突，对于不同安全态势的企业来说，企业需要考虑其长期业务目标侧重点（检测与响应还是合规与运营）和自身安全资源（预算、人才等）来选择这两种不同的技术路径。XDR和SOAR在今天充其量是松散耦合的，这种情况暂时不会改变。最好的XDR系统将继续执行基本任务自动化，而无需SOAR。