各位看官,周日早上好。昨晚玩得可開心,我覺得周末里面,感覺最好的應(yīng)該是周六的晚上,參加一場(chǎng)聚會(huì),看一次新說唱,來一次約會(huì),整個(gè)狀態(tài)都是最好的,因?yàn)橹芪逋砩嫌悬c(diǎn)上班的疲憊,周日晚上因?yàn)橹芤灰习喽容^收斂。
很少有哪種職業(yè)需要像IT安全人士這樣面臨迅速變化的復(fù)雜狀況。從業(yè)者每年平均遭遇5千到7千種新的軟件漏洞,這意味著日常防御工作當(dāng)中,您每天可能遇到15種新的安全隱患。此外,每年IT環(huán)境中還將出現(xiàn)數(shù)以千萬計(jì)的不同惡意軟件。
在這種持續(xù)不斷的威脅壓力之下,任何一項(xiàng)漏洞都有可能造成毀滅性的破壞——包括令企業(yè)身陷負(fù)面頭條、危害收入,甚至導(dǎo)致從業(yè)者被迫離職。
但安全團(tuán)隊(duì)完全有理由、也有能力對(duì)此施以反擊。
下面,我們將共同探討每一位計(jì)算機(jī)安全專業(yè)人士所應(yīng)了解的12項(xiàng)事實(shí)。希望這一切能夠幫助大家更有把握地打響這場(chǎng)絕地反擊戰(zhàn)。
敵對(duì)方的動(dòng)機(jī)
正所謂知己知彼方能百戰(zhàn)百勝。每個(gè)攻擊者都有著自己的動(dòng)機(jī)與目標(biāo),而二者相結(jié)合就決定了他們要做什么以及如何實(shí)施。
當(dāng)前,威脅我們的黑客大多擁有著嚴(yán)肅的動(dòng)機(jī),且主要分為以下幾類:
經(jīng)濟(jì)因素
民族國家支持/網(wǎng)絡(luò)戰(zhàn)
企業(yè)間諜活動(dòng)
黑客行動(dòng)主義者
資源竊取
在多人游戲作弊
盡管攻擊技術(shù)已經(jīng)發(fā)展成熟,但每一次具體攻擊活動(dòng)仍然存在差別。因此,了解其中的動(dòng)機(jī)就成了解決問題的關(guān)鍵。大家應(yīng)當(dāng)在采取任何行動(dòng)之前,首先考慮“為什么”。這有可能為您帶來挫敗對(duì)手的重要線索。
惡意軟件類型
惡意軟件分為三大主要類型:計(jì)算機(jī)病毒、木馬以及蠕蟲病毒。任何惡意軟件程序都可歸屬于這些分類中的一種或者多種結(jié)合體。
計(jì)算機(jī)病毒屬于一種惡意軟件程序,其將自身托管在其它程序、文件以及數(shù)字化存儲(chǔ)介質(zhì)內(nèi)以待復(fù)制。其中,木馬是一類自稱合法的惡意軟件,可能通過誘導(dǎo)方式令人們無意間將其激活。木馬不會(huì)自我復(fù)制,其傳播主要依賴于人們的好奇心。蠕蟲則是一種能夠自我復(fù)制的程序,其利用代碼進(jìn)行自我傳播,而無需其它承載性程序或文件。
了解這些惡意軟件基本類別非常重要。這樣,當(dāng)您在尋找惡意軟件程序時(shí),就可以將出現(xiàn)機(jī)率最高的惡意軟件方案整合在一起,從而準(zhǔn)確判斷惡意軟件的起源并推測(cè)其可能傳播的目標(biāo)位置。
攻擊根源
每一年,IT安全專家們都面對(duì)著無數(shù)種新型軟件漏洞以及上百萬種不同惡意軟件。然而,這些惡意因素的環(huán)境滲透實(shí)際上可以歸結(jié)于12種根源。只有堵住這些攻擊根源,才能真正阻扼黑客攻擊與惡意軟件。以下為這12種具體攻擊根源:
零日漏洞
未修復(fù)的軟件
惡意軟件
社交工程
密碼攻擊
竊聽/中間人攻擊
數(shù)據(jù)泄露
配置錯(cuò)誤
絕服務(wù)
內(nèi)部人員/合作伙伴/顧問/供應(yīng)商/第三方
用戶錯(cuò)誤
物理訪問
如果您對(duì)其中一項(xiàng)或者多項(xiàng)根源不太熟悉,請(qǐng)馬上進(jìn)行研究學(xué)習(xí)。
密碼學(xué)與數(shù)據(jù)保護(hù)
數(shù)字密碼學(xué)是一種確保信息安全以防止未授權(quán)訪問及篡改的藝術(shù)。每位IT安全專業(yè)人員都應(yīng)掌握加密基礎(chǔ)知識(shí),包括非對(duì)稱加密、對(duì)稱加密、散列以及密鑰分發(fā)與保護(hù)。數(shù)據(jù)保護(hù)需要使用大量加密技術(shù),而數(shù)據(jù)完整性保護(hù)還要求以合法方式收集及使用數(shù)據(jù),保護(hù)隱私內(nèi)容免受未授權(quán)訪問的侵?jǐn)_,同時(shí)確保安全備份有能力防止惡意篡改并實(shí)現(xiàn)可用性。如今,法律對(duì)于數(shù)據(jù)保護(hù)的要求正變得越來越嚴(yán)格,從業(yè)者自然也有必要抓緊時(shí)間提升自我水平。
網(wǎng)絡(luò)與網(wǎng)絡(luò)數(shù)據(jù)包分析
其實(shí)判斷團(tuán)隊(duì)中真正優(yōu)秀的IT安全專業(yè)人員并不困難:觀察他們是否有能力對(duì)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)包級(jí)分析即可。出色的安全專家應(yīng)該熟悉網(wǎng)絡(luò)基礎(chǔ)知識(shí)——例如協(xié)議、端口編號(hào)、網(wǎng)絡(luò)地址、OSI模型層、路由器與交換機(jī)間的區(qū)別,同時(shí)能夠閱讀并理解網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)各個(gè)字段的實(shí)際含義。
總而言之,理解網(wǎng)絡(luò)數(shù)據(jù)包并對(duì)其進(jìn)行分析,是為了真正理解網(wǎng)絡(luò)本身以及使用網(wǎng)絡(luò)資源的計(jì)算機(jī)。
基礎(chǔ)性常規(guī)防御
幾乎每臺(tái)計(jì)算機(jī)都擁有常規(guī)的基礎(chǔ)防御機(jī)制,優(yōu)秀的IT專業(yè)人員當(dāng)然會(huì)盡可能發(fā)揮其保護(hù)作用。以下是計(jì)算機(jī)安全中的基本“標(biāo)準(zhǔn)”,具體包括:
補(bǔ)丁管理
最終用戶培訓(xùn)
防火墻
反病毒工具
安全配置
加密/密碼
驗(yàn)證
入侵檢測(cè)
日志記錄
理解并運(yùn)用基礎(chǔ)性常規(guī)IT安全防御機(jī)制是每位IT安全專業(yè)人員的必備技能。但除了了解其功能之外,也應(yīng)弄清其擅長(zhǎng)執(zhí)行哪些任務(wù)以及缺乏哪些重要保護(hù)能力。
驗(yàn)證基礎(chǔ)
出色的安全專業(yè)人員會(huì)意識(shí)到,驗(yàn)證機(jī)制不僅僅是輸入有效密碼或者通過雙因素ID測(cè)試,其中還涉及更多細(xì)節(jié)。驗(yàn)證以在任何命名空間當(dāng)中提供有效身份標(biāo)簽為起點(diǎn)——例如電子郵件地址、用戶主體名稱或者登錄名稱。
驗(yàn)證的本質(zhì),是有效身份持有者及其驗(yàn)證數(shù)據(jù)庫/服務(wù)提供一項(xiàng)或多項(xiàng)“秘密”信息的過程。當(dāng)有效身份持有者輸入正確的驗(yàn)證因素時(shí),即證明經(jīng)過驗(yàn)證的用戶為身份的有效持有者。在成功完成身份驗(yàn)證之后,主體對(duì)受保護(hù)資源的訪問嘗試將由授權(quán)安全管理器進(jìn)程負(fù)責(zé)檢查。大家應(yīng)將所有登錄與訪問嘗試記錄至日志文件當(dāng)中。
移動(dòng)威脅
如今全球移動(dòng)設(shè)備數(shù)量已經(jīng)超過人口總量,且大多數(shù)人通過移動(dòng)設(shè)備獲取大部分日常信息。由于移動(dòng)能力只可能進(jìn)一步增長(zhǎng),因此IT安全專業(yè)人員需要認(rèn)真對(duì)待移動(dòng)設(shè)備、移動(dòng)威脅以及移動(dòng)安全問題。目前最主要的移動(dòng)威脅包括:
移動(dòng)惡意軟件
間諜軟件
數(shù)據(jù)或憑證盜竊
圖片竊取
勒索軟件
釣魚攻擊
不安全無線連接
對(duì)于大多數(shù)移動(dòng)威脅而言,其對(duì)移動(dòng)設(shè)備的威脅方式與傳統(tǒng)計(jì)算機(jī)威脅并無區(qū)別。當(dāng)然,二者之間同樣存在一些差異。了解這種差異,正是出色I(xiàn)T專業(yè)人員的本分所在。因此,任何不熟悉移動(dòng)設(shè)備細(xì)節(jié)的安全人士都應(yīng)盡快開始學(xué)習(xí)。
云安全
流行問答:哪四大因素使得云安全性比傳統(tǒng)網(wǎng)絡(luò)更為復(fù)雜?
每一位IT專家都應(yīng)能夠輕松通過這項(xiàng)測(cè)試。
答案是:
缺乏控制能力
始終暴露在互聯(lián)網(wǎng)上
多租戶(共享服務(wù)/服務(wù)器)
虛擬化/容器化/微服務(wù)
有趣的是,云所真正代表的實(shí)際是“其他人的計(jì)算機(jī)”以及由此帶來的一切風(fēng)險(xiǎn)。傳統(tǒng)企業(yè)管理人員無法控制在云端存儲(chǔ)第三數(shù)據(jù)及用戶服務(wù)的服務(wù)器、服務(wù)乃至基礎(chǔ)架構(gòu)。因此,我們必須寄希望于云服務(wù)供應(yīng)商,相信他們的安全團(tuán)隊(duì)會(huì)切實(shí)履行職責(zé)。云基礎(chǔ)設(shè)施幾乎代表著多租戶架構(gòu),通過虛擬化與新近興起的微服務(wù)及容器化開發(fā)而來,因此我們很難將不同客戶的數(shù)據(jù)進(jìn)行區(qū)分。有些人認(rèn)為,每一種新的開發(fā)形式都會(huì)令基礎(chǔ)設(shè)施變得更加復(fù)雜,而復(fù)雜性與安全性通常存在相互沖突的關(guān)系。
事件記錄
年復(fù)一年,安全研究一直在不斷強(qiáng)調(diào)最易被忽視的安全事件其實(shí)一直存在于日志文件當(dāng)中。而我們的任務(wù),就是對(duì)日志內(nèi)容進(jìn)行查看。因此,一套出色的事件記錄系統(tǒng)就變得非常重要。優(yōu)秀的IT專業(yè)人員應(yīng)當(dāng)了解如何設(shè)置這類系統(tǒng)以及何時(shí)進(jìn)行查詢。
下面是事件記錄的基本執(zhí)行步驟,每位IT安全專業(yè)人員都應(yīng)熟練掌握:
?政策
配置
事件日志收集
規(guī)范化
存儲(chǔ)
關(guān)聯(lián)
基準(zhǔn)化
警報(bào)
報(bào)告
事件響應(yīng)
最后,每套IT環(huán)境早晚都會(huì)遭遇防御失敗問題。不知為什么,黑客或者由此創(chuàng)建的惡意軟件總能找到可乘之機(jī),而隨之而來的就是嚴(yán)重的負(fù)面后果。因此,一位優(yōu)秀的IT專業(yè)人員應(yīng)當(dāng)時(shí)刻做好準(zhǔn)備,制定事件響應(yīng)計(jì)劃,并將該計(jì)劃立即付諸實(shí)施。良好的事件響應(yīng)能力至關(guān)重要,這可能最終決定著我們的企業(yè)形象甚至商業(yè)生命能否延續(xù)。事件響應(yīng)的基礎(chǔ)因素包括:
及時(shí)有效地做出響應(yīng)
限制危害范圍
進(jìn)行取證分析
別威脅
溝通
限制后續(xù)危害
總結(jié)經(jīng)驗(yàn)教訓(xùn)
威脅教育與溝通
大多數(shù)威脅都屬于已知范疇,且經(jīng)常重復(fù)發(fā)生。因此,從最終用戶到高管團(tuán)隊(duì)甚至是董事會(huì)成員,每位相關(guān)者都應(yīng)了解當(dāng)前所在企業(yè)所面臨的最大威脅以及應(yīng)當(dāng)采取的阻止性措施。當(dāng)前我們面臨的某些威脅,例如社交工程,只能通過員工教育的方式才能消除。因此,溝通能力也常常成為IT專業(yè)人員業(yè)務(wù)水平的重要指標(biāo)之一。
溝通是一項(xiàng)重要的IT安全技能,但大家在這方面不應(yīng)單純依賴于自己的個(gè)人魅力。溝通有著多種具體方法,包括當(dāng)面交談、書面文件、電子郵件、在線學(xué)習(xí)模塊、新聞 通訊、測(cè)試以及網(wǎng)絡(luò)釣魚模擬等等。
每一位優(yōu)秀的IT專業(yè)人員都應(yīng)有能力以口頭及書面方式進(jìn)行清晰有效的溝通。在適當(dāng)時(shí),您應(yīng)了解如何創(chuàng)建或購買必要的教育及溝通工具。無論實(shí)際部署怎樣的技術(shù)控制方案,每一年都會(huì)出現(xiàn)更新、更強(qiáng)大的新產(chǎn)品。因此,請(qǐng)確保利益相關(guān)者為此做好準(zhǔn)備。
-
計(jì)算機(jī)
+關(guān)注
關(guān)注
19文章
7500瀏覽量
88031 -
云安全
+關(guān)注
關(guān)注
0文章
102瀏覽量
19439 -
惡意軟件
+關(guān)注
關(guān)注
0文章
34瀏覽量
8966
原文標(biāo)題:每位IT安全專家都應(yīng)了解的12項(xiàng)事實(shí)
文章出處:【微信號(hào):EAQapp,微信公眾號(hào):E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論