在本届RSA 2013信息安全大会上,将讨论一个很有趣的话题“Internet GUN CONTROL – Are Pentesting Tools Good or Evil”,互联网“枪支”管控——渗透测试工具是上帝还是撒旦?
现在许多企业为了确保自己公司网络的安全性,会聘请专业安全公司对公司网络进行检测。而检测的方法之一就是对公司网络进行模拟攻击测试,此时就需要使用渗透测试工具了,借助这类工具可以对用户网络或者其IT平台进行评估。
不过,有些时候渗透测试工具却会被恶意攻击者所利用,恶意攻击者会使用渗透测试工具来发现被攻击目标网络、系统缺陷,并藉此发动攻击。
渗透测试工具犹如现实世界里的枪支一样,当其为正确的人所掌控时,可以帮助维护网络世界的安全。可当其被恶意攻击者掌控时,渗透测试工具将被爆发出惊人的破坏力。如何才能更好的对渗透测试工具进行管控,是一个需要好好考虑的问题。
另外,本届大会上还会讨论有关安全意识培训的话题。现在对于安全意识培训人们有完全相反的两种观点:赞成,反对。赞成者认为,适当的最终用户安全意识培训是保护用户网络、系统安全的重要一环;反对者认为安全意识培训是在浪费时间,最好的安全解决方案就是以技术控制的方法来保护用户。
有一件事实是人们都要承认的:正是“人”的各类行为引发了网络系统里的安全问题,所有安全产品、安全解决方案其最终目的其实都是为了解决网络系统里“人”的问题。那么仅仅从技术层面是否能够解决由人所引发的一切安全问题呢?意识层面的工作是否真的无用?还是现有的意识层面工作还无法达到理想的效果?也许安全意识培训企业可以考虑与心理医生合作,借鉴心理医生的工作模式。
在愈演愈烈的社交网络攻击面前,“人”的因素变得更加凸显,相应的各类安全产品、安全解决方案也需要加重与之相关的功能、解决方法。
