查看原文
其他

需要紧急“叫停”的11 个网络安全流行语

网络安全流行词和流行短语多不胜数。为了简化复杂的专业术语或推动营销,流行语是信息安全等创新和快节奏行业不可避免的现实问题。

不过,这些术语并非总是有效的,相反地,它们可能会不准确、过时、误导甚至造成潜在伤害。例如,利用恐惧、不确定性和怀疑(FUD)来最大化盈利的流行语可能具有潜在破坏性;而继续使用和依赖一个过时的(合理且曾有效过)流行语,可能会阻碍人们对根本问题的更深入理解。

以下是2021年应该紧急“叫停”的11个网络安全流行词和短语:

  • 勒索软件;

  • 零信任;

  • 白名单和黑名单;

  • 人工智能驱动的安全;

  • 网络9/11;

  • 数字化转型;

  • 安全信息与事件管理(SIEM);

  • 人是最薄弱的环节;

  • 网络安全意识;

  • 网络杀伤链;

  • 黑客

 1. 勒索软件

Orange Cyberdefense安全研究主管Charl van der Walt表示,尽管勒索软件是围绕常见网络攻击的讨论中最常用的术语之一,但从技术上讲,它是一个不合适的定义,已经不再适用。他表示,

“在当前的新闻议程中中,很难避免提及‘勒索软件’这一术语,但实际上,它并不能涵盖这一问题所具备的复杂且不断发展变化的特性。”

勒索软件的真正含义正在逐渐消失,现在它被用来定义比其真正定义(持有计算机数据以索要赎金的恶意软件)范围更广的网络攻击集。它与进行加密的恶意软件、勒索软件参与者使用的一般恶意软件,以及勒索软件参与者本身形成了混淆。

随着这种威胁的演变,van der Walt提出了一个新术语:网络勒索(或Cy-X)。他认为,这个词更好地概括了这一犯罪浪潮的历史、当前形式和潜在的发展趋势,还可以区分勒索犯罪本身和用于执行该犯罪行为所用的工具。

 2. 零信任

零信任描述了一种“默认不信任”的方法来保护用户和设备。它已经成为过去几年最大的营销热词之一,而随着大规模远程工作迁移,以及未来对更有效的远程网络访问安全方法的需求不断激增,这种情况还会日益加剧。

然而,对于佳能欧洲信息安全总监Quentyn Taylor来说,零信任这个词太过模糊。他表示,

“人们无法判断自己是否已经实现零信任,事实上,我不相信有人已经真正实现了零信任。这个概念让我非常恼火的原因是,很多人把它当作一个新概念在谈论,而实际上,我们早在很多年前就一直在谈论‘无边界化’——零信任不过是一个新营销术语,用来描述我们早已尝试多年的一种方法。”

Qualys公司首席技术安全官Paul Baird对此表示赞同,并补充道,零信任是一个好的概念,但作为一个流行词,它被过度营销了。它经常被断章取义地使用,这对负责实施它的人而言非常容易造成混乱。事实上,零信任是一种涵盖人员、流程和技术的意识形态。它并不是您可以直接从货架上购买的产品。

 3. 白名单和黑名单

“白名单”和“黑名单”的术语可以追溯到网络安全早期阶段。将“白色”与良好、安全或允许相关联,将“黑色”与坏、危险或禁止相关联。时至如今,这些短语仍被广泛应用于允许或拒绝与各种元素(包括密码、应用程序和控制)相关的使用或访问活动中。

网络安全顾问Harman Singh认为,这些术语需要紧急更换,因为它们带有种族色彩,建议使用“允许列表”和“拒绝列表”来表达相同的目的,如此便不会触及与种族和人种相关的潜在含义。他表示,

“这是一个微小但意义重大的改变。英国国家网络安全中心(NCSC)去年便有意识地做出了这种改变,以避免引发种族歧视问题。如今,业内仍然只有少数公司考虑过替换掉这两个词。为什么我们不都效仿NCSC来消除此类术语呢?”

在一篇博客文章中,NCSC建议与指南主任Emma W写道:

“你可能不明白这件事为什么如此重要。如果您自己没有受到种族成见的负面影响,那么只能说你很幸运。但对您的某些同事(以及潜在的未来同事_而言,可能就没那么幸运了,所以,这确实是一项值得做出的改变。”

采取这一步骤的少数公司之一就是微软,其将非包容性语言视为维护和发展网络安全多样性的障碍。微软首席安全顾问Sarah Armstrong-Smith表示,英国金融、安永和微软最近发布的一份报告发现,改变网络安全和更广泛的职场中的非包容性语言可以大大支持多样性。因此,微软不再在技术论坛上使用或提及白名单/黑名单,而是使用允许和阻止列表来代替。

 4. 人工智能(AI)驱动的安全

在过去10年间,围绕人工智能(AI)和机器学习技术改变网络安全的话题一直十分火爆。尽管很难找到有安全领导者不承认自动化在现代信息安全领域中日益重要的地位,但大量安全供应商对最新AI或机器学习驱动的解决方案的营销还是过于“理想主义”。

Gohenry公司CISO Guillaume Ehny认为,

“如今,无论采用何种解决方案,大多数安全供应商都会马上强调他们的产品是智能的,并且集成了AI和机器学习来驱动决策过程。他们似乎坚信这就是我们想要听到的,但实际上他们就好像是在毫不了解自家产品实际运作方式的情况下在玩宾果游戏。不幸的是,关于AI的行话也就这么一句。当被问及关于模型的更多信息时,答案永远是‘它就是个引擎中的一个黑匣子,自行运作,我们啥都不用操心’。我知道AI/机器学习辅助的产品作为优势值得一提,但这种表达方式真的没什么好处。”

 5. 网络9/11

2001年9月11日,激进的伊斯兰组织基地组织对美国发动协同恐怖袭击后,“网络9/11”一词首次出现。该词指的是与恐怖相关的潜在网络攻击威胁,这些攻击有可能造成重大且广泛的影响,包括恐惧、暴力、伤害和死亡等。

除少数案例外,对此类事件的预测尚未实现,而且,对于Taylor来说,“网络9/11”和涉及重大新闻事件的其他类似网络安全词汇都不应使用。这类词不尊重现实生活中受到这些事件影响的人们。此外,这类词汇经常带有极强的夸张成分。值得庆幸的是,我们还没有看到有哪起网络安全事件具有与9/11事件或某些评论员喜欢提到的任何其他事件相同程度的影响。我们应尽早摒弃将网络事件与导致重大生命损失的现实世界事件联系起来的做法,这样我们的行业才会受到更多重视。

 6. 数字化转型

尽管数字化转型是现代云驱动时代的流行语,但Exabeam安全工程副总裁Matt Rider认为,任何提及“数字化转型”的言论,都只是在描述企业组织在过去50年里所做的事情。事实上,转型并不是什么新鲜事。一切都在不断发展,不断变化。这个词并不是突然之间就席卷整个行业的思想顿悟。

回顾上世纪初和工业革命时期,亨利·福特(Henry Ford)对装配流水线生产进行了现代化改造。正是他对新兴技术和变革型领导的理解,激发了一种新的工作方式。这是一次技术性的变革,具有巨大的影响力,改变了他们当时所了解的工作方式。所谓成功企业,拥有的无不是正确的文化,而不是正确的工具。是时候跳出数字化转型的潮流了。

 7. 安全信息与事件管理(SIEM)

安全信息与事件管理(SIEM)定义了结合安全信息管理(SIM)与安全事件管理(SEM)的软件产品和服务。作为首字母缩写词和产品供应的SIEM似乎被无数的网络安全供应商夸大营销了。

然而,Forrester研究所安全和风险分析师Allie Mellen表示,SIEM在合规方面历史悠久,但却无法比肩如今的地位。他表示,

“SIEM现在专注于威胁检测和响应,结合安全用户行为分析(SUBA)和安全编排、自动化与响应(SOAR)来处理事件响应生命周期的每个步骤。在Forrester,我们将SIEM称之为安全分析平台,以便更好地概括这类产品的功能:对数据执行安全分析,并作为平台连接第三方产品进行事件响应。”

 8. 人是最薄弱的环节

CREST澳大利亚区总裁Nigel Phair表示,全球几乎每次安全会议都会提到一个概念:将人视为安全链中最薄弱的环节,但这种提法需要紧急叫停。他解释称,

“人是信息安全和企业网络及数据防护中最强大的力量。点名和怪罪到人的头上没用,也永远不会有用。由于没有解决网络犯罪的技术万灵丹,我们需要与员工并肩作战,向他们解释为什么需要采取某些控制措施,以及强调他们在企业网络防护方面的重要作用。”

 9. 网络安全意识

提高整个组织的网络安全意识是许多首席信息安全官(CISO)的首要目标。但Votiro首席执行官Ravi Srinivasan认为,网络安全意识的概念被滥用了。他认为,

“网络安全意识这个词营造了一种用户应该对安全事件负责的说法,并鼓励组织制定植根于教育和培训的安全战略,以检测(并最终防止)网络威胁。”

然而,如今的网络攻击非常复杂且不断发展演变,即便是最具安全意识的企业也很难领先于网络威胁。相反地,安全和IT领导者需要调整自身的企业安全战略,以关注他们在全球运营的业务。Srinivasan建议称,企业可以用提高‘网络安全警惕性’来代替‘网络安全意识’,并鼓励公司加强员工与其雇主、企业和IT领导者、私营和公共部门实体之间的合作,共同努力挫败网络威胁。

 10. 网络杀伤链

随着数字领域与物理领域的联系愈发紧密,与网络相关的军事风格词汇势力愈发强大,尤其是“网络杀伤链”。

该词描述了网络攻击的各个阶段,且通常与高级持续性威胁(APT)相关联。安永威胁情报高级经理Leanne Salibury表示,

“我不确定这是否完全合适,也不确定是否会导致我们采用更重磅的语言来使沉闷的话题变得更具吸引力。此外,我认为对于退伍军人(尤其是真正亲眼目睹过现场冲突并且有真实战争经验的人)来说,在企业环境中要求他们与平民分享自身项目经验的时候,这种用词可能有点问题。”

 11. 黑客

Acronis网络安全分析师Topher Tebow表示,需要认真考虑“黑客”一词在当今环境中的使用方式,虽然未必需要彻底弃用,但不正确的用法必须予以根除。他认为,“黑客只是可以找到绕过给定项目、流程或软件的正常应用程序以达到预期结果的人。”

Tebow补充道,这个词的问题在于它经常被用来描述网络犯罪分子,因为有成千上万的黑客为了更大的利益而进行黑客攻击。所以,我们需要考虑我们想表达的含义,并使用攻击者、网络犯罪分子和恶意行为者等术语,而不是将不良行为者统称为黑客。

为网络安全流行语辩护

虽然安全专家们一致认为,许多网络安全流行词和短语应该叫停或替换掉,但Byte高级网络安全总监Ed Tucker却认为,网络安全流行语本身并没有什么问题,许多问题实际上都源自这些流行语的使用方式。他解释称,

“我们面临的最大问题之一不是流行语本身——它们只是商业化行业的一部分——而是懒惰的使用方式,以及缺乏对流行语的语境理解和实际应用。因此,业界需要更好地了解经常使用的流行语,并深入研究这些概念及其适用的场景、时机和方式。”

参考及来源:

https://www.csoonline.com/article/3638112/cybersecurity-buzzwords-you-should-stop-using-right-now.html



原文来源:嘶吼专业版
“投稿联系方式:孙中豪 010-82992251   sunzhonghao@cert.org.cn”

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存