首頁 > 信息安全 > 正文

網絡安全“流行語”的誤導性

2021-11-08 11:41:13  來源:數世咨詢

摘要:網絡安全流行語多如牛毛。對于信息安全這種快速迭代的創新行業而言,流行語是不可避免的現實,往往用于簡化復雜的術語,或者促進銷售和營銷活動。
關鍵詞: 網絡安全 流行語
  網絡安全流行語多如牛毛。對于信息安全這種快速迭代的創新行業而言,流行語是不可避免的現實,往往用于簡化復雜的術語,或者促進銷售和營銷活動。然而,這些術語并非總是有所幫助,可能是不準確且過時的,具有誤導性,甚至可能造成傷害。例如,利用恐懼、不確定性和懷疑(FUD)來最大化盈利的流行語可能具有破壞性,而曾經有用的合理術語可能會過時,繼續使用和依賴這種流行語會阻礙對根本問題的深入理解。
 
  以下是11個容易產生誤導作用的網絡安全流行語:
 
  1. 勒索軟件
 
  Orange Cyberdefense安全研究主管Charl van der Walt表示,盡管勒索軟件是常見網絡攻擊討論中最常用的術語之一,但從技術上講,這是一個不合適的定義,不再適用。“在當前的新聞議程中很難避免提到勒索軟件,這個詞雖然足以概括主題,卻并沒有完全體現出這個實際上復雜且不斷演變的問題。”
 
  勒索軟件的真正含義已經變味了,這個詞現在被用于描述比其真正定義更加寬泛的網絡攻擊,也就是掌控計算機數據以勒索贖金的那類惡意軟件。“這就混淆了執行加密的惡意軟件、勒索軟件攻擊團伙使用的一般惡意軟件,以及勒索軟件攻擊團伙本身。勒索軟件的核心在于勒索行為,而網絡罪犯將企業視為容易勒索得手的目標:你只要看看數據顯示有多少公司支付了贖金就知道情況有多么糟糕了。”
 
  隨著這種威脅的不斷發展,van der Walt提出了新的術語:網絡勒索(Cy-X)。他認為,這個詞更能涵蓋這波犯罪潮的歷史、當前形式和可能的未來,還可以區分犯罪行為本身和用于執行此犯罪行為所用的工具。
 
  2. 零信任
 
  零信任描述的是“默認不信任任何事物”的一種方法,用于保護用戶和設備。該術語在最近幾年里迅速躥升成最為流行的市場營銷熱詞之一,并在大幅轉向遠程辦公和后續加強遠程網絡訪問安全的需求推動下愈加火熱。然而,佳能歐洲分公司信息安全總監Quentyn Taylor認為,零信任這個詞過于模糊不清。“你根本沒辦法知道自己是否切實做到了零信任,事實上,我不認為有誰已經做到或者能夠做到零信任。讓我對這個概念敬謝不敏的是,很多人把它當成個新概念來討論,但實際上我們早在多年前就在談論去邊界化了。零信任不過是個新造出來的市場營銷詞匯,用來描述我們早已嘗試多年的一種方法。”
 
  Qualys英國首席技術安全官Paul Baird對此觀點表示認同,并補充道,零信任是個好概念,但作為流行語,這個詞被過度使用了,而且往往表述不清。“零信任這個詞在使用時常常脫離了上下文,給負責實現這一概念的人造成了混亂。零信任是個涵蓋人員、過程和技術的思想體系。這可不是個你可以直接從貨架上買來就用的產品。”
 
  3. 白名單和黑名單
 
  黑名單和白名單的歷史可以追溯到網絡安全最早期的時代。通過將“白”與良好、安全或允許聯系起來,而將“黑”與不良、危險或禁止聯系起來,白名單和黑名單這兩個術語仍常常應用于允許或拒絕使用/訪問與密碼、應用和控制措施相關的各種元素上。
 
  網絡安全顧問Harman Singh認為,因為“黑白”二字帶有種族色彩,需要盡快替換掉這兩個術語,建議使用允許列表和拒絕列表來服務于相同的目的,從而摒棄與族裔和人種相關的有害內涵。“這是個微小卻又重要的改變。英國國家網絡安全中心(NCSC)去年特意做出這種改變來規避種族口吻。不過,現在業內仍只有少數公司考慮過替換掉這兩個詞。我們為什么不全都遵從NCSC的樣板杜絕此類術語呢?”
 
  在一篇博客帖子中,NCSC建議與指南主任Emma W寫道:“你可能沒注意到為什么這件事很重要。如果你沒有受到種族成見的負面影響,那算你走運。但對你的某些同事(或者潛在的未來同事)而言,這真的是一項值得做出的改變。”
 
  采取這一步驟的少數公司當中就包括微軟,微軟將非包容性語言視為保持和發展網絡安全多樣性的障礙。微軟首席安全顧問Sarah Armstrong-Smith表示:“英國金融、安永和微軟最近發布的一份報告發現,改變網絡安全和更廣泛的職場中的非包容性語言可以有力支持多樣性。”因此,微軟不再在技術論壇上使用或提及白名單/黑名單,選擇采用允許列表和阻止列表代替。
 
  4. 基于人工智能(AI)的安全
 
  近十年來,圍繞人工智能(AI)和機器學習技術改變網絡安全的話題一直十分火爆。盡管沒有哪位安全主管會不承認自動化在現代信息安全領域中日益加碼的重要性,但大量安全供應商無限贊美最新AI或機器學習解決方案的論調還是讓人頗為膩煩。
 
  青少年理財平臺gohenry首席信息安全官Guillaume Ehny稱:“如今,無論哪種解決方案,大多數安全供應商都會馬上提到他們的產品是智能的,集成了AI和機器學習來驅動決策過程。他們似乎認為我們想聽到這些內容,但實際上他們就好像是在毫不了解自家產品實際運作方式的情況下在玩賓果游戲。“很遺憾,這種話也就僅限那一句了。只要問到關于模型的更多信息,答案永遠是‘這就是個引擎中的黑盒,自行運作,我們啥都不用操心’。我知道AI/機器學習輔助的產品作為優勢值得一提,但這種表達方式真心沒啥用處。”
 
  5. 網絡9/11
 
  2001年9月11日,激進的伊斯蘭組織基地組織對美國發動協同恐怖襲擊后,“網絡9/11”一詞首次出現。這個詞指的是可造成恐懼、暴力、傷害和死亡等廣泛重大影響的潛在恐怖相關網絡攻擊威脅。
 
  除少數案例外,人類社會尚未實現對此類事件的預測,在Taylor看來,“網絡9/11”和涉及重大新聞事件的其他類似網絡安全詞匯都不應使用。“這類詞不尊重現實生活中受到這些事件影響的人。此外,此類詞匯常被認為是純粹的夸張。值得慶幸的是,我們還沒有看到有哪起網絡安全事件產生的影響堪比9/11事件或某些評論員喜歡提到的任何其他事件。我們應盡早摒棄將網絡事件與導致重大生命損失的現實世界事件聯系起來的做法,這樣我們的行業才會受到更多重視。”
 
  6. 數字化轉型
 
  盡管數字化轉型是當今云驅動時代的流行語,但Exabeam安全工程副總裁Matt Rider認為,提及數字化轉型不過是在描述企業在過去50年里所做的事情。“事實上,轉型早已有之。一切都在不斷發展,不斷變化。這個詞并不是突然之間就席卷整個行業的思想頓悟。”
 
  我們回顧上世紀初工業革命時代,亨利·福特對裝配流水線生產進行現代化改造的時候。他對于新興技術和變革型領導的理解激發了新的工作方式。“這是一次技術性的變革,具有巨大的影響力,改變了他們當時所了解的職場。我所看到的成功企業無不具有正確的文化,而非正確的工具。如果你現在還沒‘數字化轉型’,那你就出局了。這種觀點是不對的,我認為我們應該跳出數字化轉型的潮流了。”
 
  7. 安全信息與事件管理(SIEM)
 
  安全信息與事件管理(SIEM)定義了將安全信息管理(SIM)與安全事件管理(SEM)結合起來的軟件產品和服務。作為首字母縮寫詞和一類產品,SIEM似乎被無數網絡安全供應商大力宣揚。
 
  然而,佛瑞斯特研究所安全與風險分析師Allie Mellen表示,SIEM在合規方面歷史悠久,卻未必能夠昭示如今的地位。“SIEM現在專注于威脅檢測和響應,結合安全用戶行為分析(SUBA)和安全編排、自動化與響應(SOAR)來處理事件響應生命周期的每個步驟。在佛瑞斯特研究所,我們將SIEM稱之為安全分析平臺,以便更好地表征這類產品的功用:對數據執行安全分析,并作為平臺連接第三方產品連接進行事件響應。”
 
  8. 人員是最弱一環
 
  CREST Australia總裁兼新南威爾士大學網絡安全研究所所長Nigel Phair表示,全球幾乎每次安全會議都舉出將人視為安全鏈中最薄弱環節的概念,但這種提法應該馬上停止了。“人是信息安全和保護企業網絡及其上數據的最強大力量。點名怪罪到人的頭上沒用,也永遠不會有用。正確的理解是,由于在線犯罪沒有放之四海而皆準的技術萬靈丹,我們需要將員工也納入防御能力的一部分,向他們解釋為什么設置某些控制措施,強調他們在企業網絡防護當中的作用。”
 
  9. 網絡安全意識
 
  對很多首席信息安全官而言,提高整個公司的網絡安全意識是非常重要的目標。但Votiro首席執行官Ravi Srinivasan表示,網絡安全意識這個術語其實被誤用了。“網絡安全意識這個詞營造了一種用戶應該為安全事件負責的說法,并鼓勵企業制定植根于教育和培訓的安全戰略,以之檢測(并最終預防)網絡威脅。”
 
  然而,當今網絡攻擊非常復雜,而且一直在發展變化,甚至最具安全意識的企業都難以保持一直領先網絡威脅一步。安全和IT主管需要調整自身企業安全戰略,關注他們全球運營的業務。“我建議用提高‘網絡安全警惕性’來代替‘網絡安全意識’,并鼓勵公司加強員工與其雇主、企業和IT主管、私營和公共部門實體之間的合作,一起努力挫敗網絡威脅。”
 
  10. 網絡殺傷鏈
 
  隨著數字領域與物理領域的聯系越來越緊密,與網絡相關的軍事風詞匯勢力愈加強大,尤其是網絡殺傷鏈。這個詞描述的是網絡攻擊的各個階段,且與高級持續性威脅(APT)相關聯。安永威脅情報高級經理Leanne Salibury稱:“我不確定這是否完全合適,也不確定是否會導致我們采用更重磅的語言來增添沉悶話題的吸引力。而且,我覺得,對老兵而言(尤其是真正實地目睹過沖突和有戰爭經驗的那些),在企業環境中要求他們與平民分享自身項目經驗的時候,這種用詞可能有點問題。”
 
  11. 黑客
 
  Acronis網絡安全分析師Topher Tebow認為,在今天的環境下,應該嚴肅對待“黑客”這個詞的用法,雖然未必需要徹底棄用,但不正確的用法必須予以根除。“黑客只是可以找到繞過給定項目、流程或軟件的正常應用而達到預期結果的人。”
 
  Tebow補充稱,這個詞的問題在于,在成千上萬的黑客為了更大的利益而進行黑客攻擊的時候,這個詞就常被用來描述網絡罪犯了。“所以,我們需要考慮我們想表達的意思,使用攻擊者、網絡罪犯和惡意行為者等術語,而不是將不良行為者統稱為黑客。”
 
  為網絡流行語說幾句
 
  盡管多位專家表示很多網絡安全流行語應該入土為安或者用別的詞代替,但Byte高級網絡安全總監年度前歐洲首席信息安全官Ed Tucker認為,網絡安全流行語本身并沒有什么問題,很多問題實際上都源自這些流行語的使用方式。“我們面臨的最大問題之一不是流行語本身,這些流行語不過是商業化行業的一部分,而是懶惰的使用方式,以及對流行語語境理解和實際應用的缺乏。這延續了流行語不過如此的主題。”他的結論是,業界需要進一步了解經常使用的流行語,并深入研究這些概念及其適用的場景、時機和方式。

第三十四屆CIO班招生
北達軟EXIN網絡空間與IT安全基礎認證培訓
北達軟EXIN DevOps Professional認證培訓
責編:zhangwenwen

免責聲明:本網站(http://www.summit-mx.com/)內容主要來自原創、合作媒體供稿和第三方投稿,凡在本網站出現的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
本網站刊載的所有內容(包括但不僅限文字、圖片、LOGO、音頻、視頻、軟件、程序等)版權歸原作者所有。任何單位或個人認為本網站中的內容可能涉嫌侵犯其知識產權或存在不實內容時,請及時通知本站,予以刪除。

青青国产在线观看视频