【51CTO.com 獨(dú)家翻譯】IBM ISS安全策劃師Joshua Corman日前透露了網(wǎng)絡(luò)安全行業(yè)8個(gè)骯臟的“潛規(guī)則”，真是不看不知道，一看嚇一跳。

潛規(guī)則1：安全廠商不需要預(yù)防風(fēng)險(xiǎn)，只有用戶需要

也正是這個(gè)原因才導(dǎo)致了后面的7個(gè)秘密，Corman說安全廠商一切都是朝錢看，用戶的安全永遠(yuǎn)是擺在第二位的。位于休斯頓的Wartsila公司IM區(qū)域經(jīng)理Tom Vredenburg和Corman的意見是一致的，他說真不知道現(xiàn)在的安全廠商究竟是軟件銷售商還是風(fēng)險(xiǎn)管理者，是軟件服務(wù)商還是網(wǎng)絡(luò)設(shè)計(jì)師，用戶購買的是伙伴關(guān)系還是僅僅只有一個(gè)許可。其實(shí)他們大多不知道自己究竟在扮演什么角色，他們只知道一味地出售東西。

Cloakware產(chǎn)品管理主管Terry Brown說現(xiàn)在很多安全廠商都在捍衛(wèi)自己的觀念。由于目前經(jīng)濟(jì)的不景氣，安全廠商和用戶正在制定合理的期望，平衡市場和IT支出。

潛規(guī)則2：殺軟認(rèn)證忽悠

雖然殺軟工具可以檢測復(fù)制類惡意軟件如蠕蟲，但它們不能識(shí)別非復(fù)制類惡意軟件如木馬程序，雖然木馬已經(jīng)在惡意代碼之前出現(xiàn)過，Corman說殺軟在認(rèn)證測試時(shí)認(rèn)證方也沒有盡心盡力，因此給公司造成了一種虛假的安全感，錯(cuò)誤地認(rèn)為他們采購的殺軟可以保護(hù)所有的惡意軟件。
Corman說目前的木馬和其它非復(fù)制類的惡意代碼構(gòu)成了80%的威脅，殺軟指標(biāo)參數(shù)并沒有反映威脅的真實(shí)情況。

潛規(guī)則3：沒有安全邊界

Corman說那些真正相信網(wǎng)絡(luò)安全邊界的人可能也相信這個(gè)世界真的有圣誕老人，并不是說沒有邊界，只是說公司正處于一個(gè)被大霧籠罩的邊界中，安全廠商正在悄悄做修復(fù)工作。正是由于有了第一個(gè)骯臟的秘密，才會(huì)有這第三個(gè)骯臟的秘密，導(dǎo)致公司購買的產(chǎn)品并非總是有效地解決了他們的特殊風(fēng)險(xiǎn)。

他說“我們需要確定邊界究竟是什么，端點(diǎn)是邊界，用戶是邊界，更可能的是業(yè)務(wù)流程是邊界，或信息本身也是邊界。如果你設(shè)計(jì)的安全控制沒有假設(shè)一個(gè)邊界，那將無安全可言，這是人們經(jīng)常犯的錯(cuò)誤，如果在邊界處加強(qiáng)的控制，情況就會(huì)好很多”。

潛規(guī)則4：安全廠商吹噓風(fēng)險(xiǎn)管理

Corman說風(fēng)險(xiǎn)管理真的可以幫助組織理清其業(yè)務(wù)和他的高風(fēng)險(xiǎn)等級，但一個(gè)公司的優(yōu)先事項(xiàng)并不總是圖安全廠商銷售的產(chǎn)品，廠商總是將你的注意力吸引到個(gè)別問題上，以引誘你采購他們的產(chǎn)品，如果你不清楚你的風(fēng)險(xiǎn)優(yōu)先級，廠商都非常樂意為你設(shè)置。安全需要要符合和支持你的業(yè)務(wù)重點(diǎn)，而安全廠商往往希望你的業(yè)務(wù)符合他們設(shè)定的采購組合。

潛規(guī)則5：還有更多風(fēng)險(xiǎn)

Corman說安全市場的大部分產(chǎn)品都與軟件漏洞有關(guān)，但折算下來，軟件漏洞只占其中1/3，另外兩成分別是配置不當(dāng)和人為因素。不幸的是，后兩者的風(fēng)險(xiǎn)遠(yuǎn)高于前者。雖然我們需要找到和修復(fù)漏洞，但我們也必須弄明白一個(gè)組織的薄弱環(huán)節(jié)在哪里，更需要注意減小后兩者造成的威脅。

潛規(guī)則6：法律遵從

在哪個(gè)國家呆著就得遵守那個(gè)國家的法律，安全廠商也抓住了這個(gè)事實(shí)，提供各種各樣的產(chǎn)品滿足法律的需要，當(dāng)然這也導(dǎo)致了企業(yè)采購的安全工具不能正確處理它們面臨的特殊風(fēng)險(xiǎn)。

潛規(guī)則7：廠商對攻擊裝著看不見

僵尸網(wǎng)絡(luò)正在被復(fù)制和改進(jìn)，最近兩年特別活躍，僵尸網(wǎng)絡(luò)控制者從發(fā)送垃圾郵件到哄抬股票進(jìn)行詐騙賺了不少的錢。厲害的黑客一般喜歡將殺軟當(dāng)作早餐，這正是由于殺軟認(rèn)證一般都是忽悠造成的惡果。

惡意代碼并不需要漏洞，一般利用的是社會(huì)工程，如利用節(jié)假日或體育賽事，以及重大新聞事件。但廠商卻對這些攻擊裝著看不見。

潛規(guī)則8：安全DIY已不在

安全廠商力圖使用戶相信，安全由于其復(fù)雜性使得用戶已不能獨(dú)自面對，但是由于不同業(yè)務(wù)的安全需求的不同特點(diǎn)，僅僅選擇產(chǎn)品是不夠的。Corman說：“僅有對的工具仍然是不夠的，還需要針對環(huán)境實(shí)行正確的安裝配置?！彼孕枰狪T的專業(yè)人員來完成這樣的工作是最好的。

【51CTO.COM 獨(dú)家翻譯，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. 兩妙招助你成為超級IT安全專家
2. 如何當(dāng)好白帽子安全工程師
3. Web安全滲透測試之信息搜集篇（上）
4. Web安全滲透測試之信息搜集篇（下）
5. 微軟發(fā)布2009年8月份的安全公告(含補(bǔ)丁下載)
6. 局域網(wǎng)用戶MSN、QQ頻繁掉線需格外警惕