经常被误解的安全行业常识.docxVIP

经常被误解的安全行业常识 网络安全行业总给外界神秘的感觉，同时也会不断创造各种很高深的新词。很多行业常识，不只外界不太了解，业内也多有混淆，时不时需要来点被误解的安全行业常识。 1、全球最大的网络安全公司是谁？ 全球最大的网络安全公司是卡巴斯基，还是赛门铁克？ 其实都不是。按照营收和员工来算，IBM 安全居然是全球最大的网络安全企业，2018年IBM安全的营收高达41亿美元（营收略低于赛门铁克，后者已于近期拆分出售）。 目前IBM Security拥有8,000名行业专家，为130多个国家的17,000多家客户提供服务。IBM拥有业界领先的人工智能和基于云的安全解决方案。 2、安全防护重点在0day漏洞 零日漏洞（从未披露的漏洞）令日防不胜防，很多安全防护人员最担心遭受零日漏洞攻击。其实，大多数攻击事件都依赖于已知的漏洞（兰德公司的报告）。波耐蒙研究所的最新调查显示，本年度企业数据泄露事件中，60%涉及未及时打补丁的安全漏洞。 而且，“你没那么大吸引力，能让别人拿0day砸你！”黑客论坛上的Windows 漏洞叫价到9万美元，更有价值的安卓、iOS漏洞达到200万美元以上。大多数企业的数据价值可能都不值得使用零日漏洞。 ?0day作为稀缺战略武器，攻击者轻易不会示人和使用，某网军购买0day武器拷贝到有杀软的计算机，然后被安全公司全部捕获的乌龙，恐怕百年不遇。 对于一般企业的安全人员来说，做好已知漏洞的防护，加强安全运营，比担心零日漏洞更有意义。关键基础设施或者拥有重要数据的要害部门，这类零日漏洞武器攻击的重要目标，也需要借助安全运营能力提升，增加对异常行为的发现能力。 3、黑客最喜欢使用网络武器 现在网络攻击技术和工具都很先进，但非技术的欺骗和仿冒依然是最有效、最普遍、最迅速的攻击方法，这就是网络安全里的社会工程学。 世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到，人为因素才是安全的软肋。一项统计显示，91%的安全风险都与社工相关。 给伊朗核设施造成严重破坏的震网病毒，利用三个全新的微软操作系统零日漏洞，但其得以进入伊朗核设施的内网环境，首先还是借助社工手段，通过U盘来传播的。难怪安全行业一直说人是最薄弱的环节。 比如下面这个冒充清华老师的邮件，做得以假乱真，能够识别出来的总是少数。 4、谨慎上网就能避免个人信息泄露 很多人认为，只要自己谨慎上网，就不会出现信息被人窃取问题。事实上，黑客想获取的数据都可以得到。安全圈的人习惯说，对于顶尖黑客，世界上有两种人，一种人是知道自己已经被黑，另一种人是自己被黑却不知道。 2018年美国泄露28亿条数据，美国全部人口才3亿。自2005年以来，美国已经有100兆亿的数据泄露，对于顶尖黑客来说，大多数人的信息可能都已经有了。 2018年，国内刚刚曝光某快递公司10亿数据被泄露事件，某酒店5 亿客户信息泄露事件又成为热点。对于普通用户来说，这些公司的安全问题实在无能为力。在实名制下，对于顶尖黑客来说，每个人都近乎毫无隐私的裸奔。 所谓安全防护无非是增加黑客入侵的难度，避免数据被更多人掌握，尤其是重点保护最新、最重要数据的安全。 5、多购买安全设备就可以安心 公司够买了足够的安全设备和服务，是否就可以高枕无忧了。这当然是安全人员最希望的事情。但实际情况是，这注定是一场很难赢的游戏。购买安全设备，就像小孩玩的打地鼠，一种设备应付一种威胁，总有地鼠从新的地方冒出来，令人防不胜防。更有问题的是，现在这些安全设备都是各管一摊，地鼠出现的特征信息，都及时没有同步，设备之间的协同整合尚需时日，很多时候仍需要安全专家的分析判断，专家人手不足的挑战却一直存在。 6、安全大腕都系出名门？ 网络安全大腕是不是都是清华、科大的科班出身？要不怎么也得是北邮吧。 目前行业里最有名气的几位，科班出身真的不多，数学专业都算比较近的专业了。既有出身妇科、泌尿外科，甚至还有汉语言文学、酒店管理专业的。 这些凭借兴趣和个人聪慧进入安全行业的高手，在探讨安全问题的时候，不时分享一下宫寒、泌尿方面的健康知识，就不足为怪。甚至，还有安全高手看不上市场部出的传播稿件，直接上手修改稿子的事件。 相反，正规的科班教育，受制于老师的循规蹈矩以及缺乏安全攻防实践，很容易陷入纸上谈兵。不知攻，焉知防？最终的防护效果如何可想而知。 7、人工智可以让安全防护自动化 人工智能的确很火，国内排队上市的独角兽企业都好几个。在安全行业，一些打人工智能概念的安全公司宣传，可以利用人工智能实现威胁分析和攻击识别的自动化。 前不久，国外媒体曝光了某明星公司用印度码农冒充AI骗取超2亿融资的事件，AI被戏称为AnIndian。这有些夸张，但搞人工智能的专业人士透露，目前的人工智能其实还远远不够智能，几乎完全依赖训练数据。以识别为例，训练数据里没出现的