前段时间，在整理CISA官网内容时，翻译整理过一篇过关于揭穿网络神话的文章，今天我们根据一个安全网站，再讨论一下安全神话。当然，这里讨论的“神话”一般是一种“误区”。尽管人们对网络安全的认识不断提高，但关于它的许多神话仍然普遍存在。这些误解可能是阻碍有效提升网络安全的障碍。因为它似是而非，却极易诱惑误导人。所以，确保业务安全的第一步是将虚假信息、神话和谣言与真相区分开来。

CISA给出的如下神话：

有哪些常见的神话，背后的真相是什么?

(1) 误解：防病毒软件和防火墙是 100% 有效的。

真相：防病毒软件和防火墙是保护信息的重要元素。但是，这些元素都不能保证保护免受攻击。将这些技术与良好的安全习惯相结合是降低风险的最佳方式之一。

(2) 误解：一旦计算机上安装了软件，就不必再担心了。

真相：供应商可能会发布更新版本的软件以解决问题或修复漏洞。应该尽快安装更新;有些软件甚至提供了自动获取更新的选项。确保防病毒软件具有最新的病毒定义尤为重要。

(3) 误解：机器上没有任何重要的东西，所以您不需要保护它。

真相：对重要事项的看法可能与攻击者的看法不同。如果您的计算机上有个人或财务数据，攻击者可能会收集这些数据并将其用于自己的经济利益。即使您没有在您的计算机上存储此类信息，可以控制您计算机的攻击者也可能会使用它来攻击其他人。

(4) 误解：攻击者只针对有钱的主。

真相：任何人都可能成为身份盗用的受害者。攻击者寻求以最少的努力获得最大的回报，因此他们通常针对存储许多人信息的数据库。如果信息恰好在数据库中，则可能会被收集并用于恶意目的。请务必注意信用信息，以便将任何潜在损害降至最低。

(5) 误区：当计算机速度变慢时，意味着已经老旧，应该更换。

真相：在较旧的计算机上运行更新或更大的软件程序可能会导致性能下降，但可能只需要更换或升级特定组件(内存、操作系统、CD 或 DVD 驱动器等)。另一种可能性是有其他进程或程序在后台运行。如果计算机突然变慢，则它可能受到恶意软件或间谍软件的危害，或者可能遇到了拒绝服务攻击。

在这里，我们正在打破一些常见的网络安全神话。请继续阅读以找出人们认为以下哪些似是而非命题。IBM则给出的破解神话如下：

误区 1 — 过多的安全性会降低生产力

有一个普遍的观点，即提高安全性会使员工(而不仅仅是黑客)也难以访问他们需要的内容。严格的安全政策，例如定期监控和访问控制，被认为会影响工作效率。但是，降低安全性可能会对组织业务产生不利的深远影响。

DDoS 攻击或勒索软件等成功攻击可能会使组织业务陷入停顿。员工在受到攻击后可能无法访问重要文件、网络和信息。恢复需要数天，有时甚至数周以至于存在无法恢复可能性。

真相：增强的网络安全可以提高生产力。

现代网络安全方法使用具有内置安全功能的安全工具，可无缝集成到系统中。利用先进的技术情报和分析来实时检测和缓解威胁。这使开发人员可以专注于提高生产力，减少安全问题引发的分心。

误区 2 — 网络攻击仅由外部威胁参与者造成

内部威胁正在上升，并迅速成为企业关注的问题。内部威胁可能包括员工、供应商、承包商、业务合作伙伴或试图冒充员工的外部入侵者。一个最近的一项调查显示，内部威胁是负责数据泄露的60%。

此外，永远无法完全了解这些攻击的来源，而传统的安全解决方案在处理这些威胁时基本上是无效的。这使得它们比外部威胁更难检测和遏制。

真相：网络攻击很可能从认识的人开始

结合使用行为分析与特权和访问管理来最大程度地减少内部威胁。此外，开展安全意识培训课程，以教育员工了解内部威胁的危险以及如何检测它们。

误区 3 — 网络犯罪分子只会攻击大型企业

中小型企业可能常常误以为他们的数据对黑客没有价值。然而，中小企业是黑客的首要目标之一。

一个最近的一项研究发现，黑客攻击的小企业近一半的时间。但这些企业中只有 14% 准备在这种情况下为自己辩护。

真相：任何大小规模的企业，都会受到黑客攻击和恶意攻击的影响

当涉及到他们的受害者时，黑客不会歧视。因此，不要让自己的业务规模决定数据的价值或资产的安全性。

误区 4 — 防病毒或反恶意软件软件足以保护业务安全

防病毒软件是网络安全计划的重要组成部分，但只保护一个进入系统的入口点。黑客有很多方法可以绕过防病毒软件，并通过有针对性的网络钓鱼攻击和勒索软件等攻击来渗透网络。因此，即使安装了反恶意软件，黑客仍有足够的空间发动攻击。

真相：防病毒软件存在其局限性，无法解决新兴网络威胁的侵害

作为一家企业，需要做更多的工作来保护数据免受黑客攻击。部署包罗万象的安全解决方案，如Web 应用程序防火墙，持续监控威胁并提供端到端、24*7 的网络风险保护。

误区 5 — 网络安全成本太高

尽管恶意网络攻击继续成为头条新闻并使企业损失数百万美元，但很多企业仍然怀疑网络安全投资是否值得。数据安全性经常被忽视，对于许多企业来说只是事后的想法。2021 年数据泄露的平均成本为 424 万美元，是过去 17 年来的最高值。而且这个数字不包括因违规造成的严重声誉损失和客户损失所带来的隐性或附带损失。

真相：良好的安全解决方案的性价比远超攻击损失

投资优秀的网络安全解决方案，可以保护免受最新威胁。此外，可以采取许多预防措施，而绝对不会增加业务成本，例如强密码、多因素身份验证、访问管理和员工培训。

误区 6 — 从未受到过攻击，所以不需要网络安全

如果自己从未经历过网络攻击或数据泄露，很可能不知道它们会造成多大的损害。还可以假设当前的安全态势足够强大，可以将不良行为者拒之门外，因为从未受到过攻击。然而，网络威胁和黑客工具每天都在不断发展，变得越来越复杂和难以检测。任何敏感数据都是潜在的泄露目标。一则，由于自身技术能力原因，未发现已经存在的攻击，盲目乐观，而其实数据在外面已经漂流了很久;二则，安全是防范万一，敏感数据存在潜在泄露可能性，所以随着技术发展，面临攻击是迟早的事情。

真相：很容易成为下一个目标

制定完善的安全策略，帮助组织识别现有弱点并在造成任何重大损害之前降低攻击企图和提升防护能力。

误区 7 — 已经实现了全面的网络安全

网络安全是一个持续改进的过程，需要随着威胁格局的变化而升级，遵循PDCA规则。因此，永远不要停止保护 IT 资产的工作。组织将始终容易受到现有和新兴威胁的影响。在安全的道路上，如同人类与病毒之间的战争，无时无刻不在进行战斗。

真相：没有完全或完美的网络安全来抵御网络攻击

定期审查组织安全策略，进行安全审计，持续监控关键资产，并投资于即将到来的安全措施更新。

结论

在安全范畴内，其实都是需要不断面对日新月异的新问题、新威胁的。具体到网络安全，随着技术的发展，哪些似是而非的安全观点和建议，必须得到剖析，否则会误导众多安全从业者以及系统建设者，最终因安全引发的损失将不可估量。在我们国家还涉及到网络安全相关法律法规和政策，也是需要一个正确的宣贯，才能让广大群众正确看待网络安全，在利用网络的过程中充分体验到安全感。

同时，围绕这些网络安全的神话(误区)和负面想法对每天面临各种网络威胁的组织构成了真正的威胁。错误信息可以为黑客提供更多渗透到网络中的机会。随时了解最新的安全最佳实践，以确保企业和客户的安全，最终在安全可控范围内，体现自己价值，实现企业价值。