坊间一直流传着这样一个关于网络安全的段子:
网络安全部门是全公司最“没用”的部门,
没有事故发生,别人会觉得安全部门存在的意义不大,安全部门“没用”;
事故发生了,别人会觉得安全部门没有起到该有的作用,安全部门“没用”。
可能你会觉得我在开玩笑,但如果有时间的话,还是建议你可以去到一些创意办公空间、电商产业园甚至是没有被整栋承包的甲级写字楼,问一下在里面办公的公司他们的IT人员:“贵公司在网络安全方面做了哪些努力?”
大概率你得到的回答是:“我们给每台电脑都装了XX杀毒全家桶、每周对公司电脑全盘查杀病毒、告诉员工不打开可疑链接和文件、给公司内网设置SSH防火墙……”
当然,稍微有防范意识的可能会告诉你:“我们花了5W购买了的网络防火墙物理机,方便查看员工是否在上班期间浏览了危险网站。”(实际上更多是用来检测摸鱼,因为在这个系统里面,“QQ音乐”也是危险网站……)
实际上,这段对话并不是我瞎编出来的,这就是我朋友现在所在公司的事实,并且这也不是啥特例,因为我所在公司在网络安全方面的情况也类似刚才提到的。
此外,这不是什么小公司才有的情况,我与我朋友的公司勉强也有些体量,公司累计员工数都接近2000人,在全国有10家以上的分公司。
可能你会感到诧异,为什么这些公司的网络安全防御措施看起来都如此随意?实际上,目前网络安全发展遇到瓶颈的一个原因是,很多老板对网络安全存在比较多的误解,诸如:
1、高级的网络安全比如云安全是用来防黑客的,黑客只会盯上那些超级公司,所以不用太担心;
2、我用的是XX云和XXX的物理防火墙,大公司的产品在网络安全方面有保障;
3、杀毒软件已经非常强大了,并且很多还是免费的,没必要再去浪费钱。
(以上语录总结自老板或多或少的明示和暗示,我放心大胆总结,反正老板也不爱看这种文章 :D)
是的,就算到了2022年,“免费的东西没必要浪费钱”依然是很多公司对网络安全态度的真实写照,之所以会有这样的误区,归根结底还是因为部分老板对网络安全的认知还停留在过去,稍微有点防范意识的可能仅仅就是购买一台防火墙物理机就完事了。
你可能会说,老板不懂没关系呀,搞运维的去采购云安全产品就行了呀,然而,全公司维度的采购是要走审批流程的,老板不签字,财务会同意吗?
借此机会,我就来纠正一下许多企业老板对网络安全存在的3个最大误区:
一、网络安全=防黑客?
实际上,早期黑客都是那些身怀高超网络技术但是怀才不遇的人,比如熊猫烧香的作者李俊,就是因为受制于学历,找不到计算机方向的工作才去制作让全国百万台电脑瘫痪的病毒——熊猫烧香(当然李俊的技术确实跟不上时代了,导致他出狱后也依然没找到工作)。
现在由于对网络安全的重视,很多黑客基本都被招安加入到各大网络安全公司了,也有些残存的黑客改行去卖游戏外挂之类的软件,虽然从技术层面很难攻克,但在天眼系统等的帮助下,依然可以让这些心术不正的人快速落网。
所以,目前“防黑客”不会是大部分公司网络安全的重点工作,很多公司网络安全主要的挑战主要在以下几大方面:
(一)竞对或者恶意用户
比如一些允许用户自行上传内容的平台,可能会有用户投放一些不良内容,比如在我曾经实习过的荔枝微课,由于早期荔枝微课的内容是人工审核(因为当时的机器学习算法在图像、文字、视频等介质的敏感内容识别功能非常有限),人工因为审核量大,难免出错,导致一些漏网之鱼对平台产生了非常严重的恶劣影响。
(二)机器人以及羊毛党
我之前所在的一家服装公司搞过一个“看直播准点秒杀”的活动,为了避免大平台的高额抽成,用的是完全自研的平台,并且当时整个项目经费全都往云服务器的稳定性方向倾斜了,光顾着拓宽带宽,没有想过说要去研究反作弊。
直到看到几波抽奖的获奖得主所填写的收货地址都比较接近,我们那个时候反应过来有可能被别人薅了羊毛……
(三)心怀鬼胎的内部人员
千防万防,家贼难防,之前在脉脉就有被爆出通过公司电脑挖矿的案例,然而很多杀毒软件是会默认挖矿是用户自主选择的行为,并且内部人员也有办法走后门绕过防火墙物理机。
以上3类对象对网络安全的威胁,其实远远比黑客要麻烦得多,所以网络安全绝对不仅仅是防黑客那么简单。
二、网络安全=病毒查杀?
通过刚才对3类网络安全风险对象的分析,我们可以发现目前的网络安全问题绝不仅仅是说“杀毒”那么简单,更高级的防护手段比如云安全,赋予了网络安全很多新的内核。
这里以2个比较有代表性的功能举例:
(一)敏感内容分析
比如那些允许用户自主上传内容的平台,一些云安全产品就可以通过深度学习,找到文字、图片乃至视频中的不合规内容,减轻了人工审核出错的可能性和人力成本。
(二)异常行为检测
刚才提到了,很多杀毒软件和防火墙是很难对挖矿行为做出一个很好的反应的,因为那些挖矿公司的矿机也需要使用杀毒软件,也需要用防火墙来保障他们的安全,甚至有杀毒软件本身就在后台挖矿,而云安全会启动这方面的识别功能。
三、杀毒软件+防火墙=全面防护?
这是我找到的国内非常有代表性的防火墙物理机生产公司——深信服,他们对自家产品的介绍,可以看到主要功能是病毒防护、入侵防御、系统漏洞分析、上网日志查询之类的。
然后这是国内一款知名电脑管家的界面,可以看到,它的主要功能也是病毒防护、入侵防御、系统漏洞分析等等,唯一缺少的可能就是上网日志查询。
大家可以发现,其实部分防火墙物理机如果拿掉那些上网日志查询等用来防止摸鱼的功能,它更像是一个主管全公司的杀毒软件Plus版本,同时使用并不是防护加倍,而是防护赘余(当然,有些杀毒软件自带的垃圾清理功能还是蛮好用的),并且两者在之前第二点提到的“敏感内容分析”和“异常行为检测”上可能都起不到太多的作用。
所以,回到标题中的提问,全文总结下来就一个观点,有了杀毒软件和防火墙物理机,绝不代表着网络安全问题就可以高枕无忧了,企业可能要根据自己面临的实际网络安全问题,部署一些更加高级的安全防护手段。
四、关于这篇文章
其实这篇文章不是给技术人员看的,因为文章涉及到的安全知识非常基础。
这篇文章更多是给企业老板看的,因为网络安全作为公司层面的决策,有些时候会需要企业老板去拍板,但很多非技术出身的老板会觉得这个“就跟保险一样,买来没用,纯粹是买个心里安慰”,结果真正出了问题又在骂“你们这些技术,花这么多钱养你们,这个都搞不好?”
所以,遇到类似的情况,如果大家不能够换一个老板的话,不妨把文章中的一些观点整理给老板看,因为很多技术方案没法得到通过不是因为它不好,而是因为它难以被理解。