即使計(jì)算機(jī)安全防御專(zhuān)家也難以區(qū)分真正的威脅和假警報(bào)。這里列出應(yīng)該避免的3種關(guān)鍵卻又普遍的錯(cuò)誤。
計(jì)算機(jī)安全人員在防御這件事上是出了名的不成功。原因很多,不僅僅是因?yàn)樗麄円袚?dān)所有的責(zé)任卻又沒(méi)有足夠的權(quán)限。
用戶(hù)總是義無(wú)反顧地?zé)o視他們收到的好建議,甚至努力繞過(guò)安全控制。但是,在當(dāng)今這混亂的計(jì)算機(jī)安全狀況下,責(zé)備他人的行為總是再容易不過(guò)。
考察一下修復(fù)程序,修補(bǔ)崩潰系統(tǒng)的第一步就是要承擔(dān)你自己的責(zé)任。在我看來(lái),計(jì)算機(jī)安全最大的問(wèn)題之一就是防御者不能正確地評(píng)估風(fēng)險(xiǎn)。他們將太多較低的風(fēng)險(xiǎn)列為了高風(fēng)險(xiǎn),而太多的高風(fēng)險(xiǎn)又被認(rèn)為是不需要關(guān)注的。
有3個(gè)原因可以解釋為什么計(jì)算機(jī)安全防御者總是做出錯(cuò)誤的判定??偟膩?lái)說(shuō),這幾點(diǎn)解釋了為什么大多數(shù)公司把大部分IT預(yù)算花在了根本不能使他們免于受到侵害的項(xiàng)目上。
1. 混淆了媒體炒作和真正的風(fēng)險(xiǎn)
當(dāng)企業(yè)被媒體對(duì)最新漏洞鋪天蓋地的報(bào)道所淹沒(méi),誰(shuí)能責(zé)備我們對(duì)之投以關(guān)注?這就是事實(shí)真相。今天的威脅總是伴隨著媒體熱炒,甚至還有它們自己的標(biāo)識(shí)。要無(wú)視它們真心太難——不過(guò)大多數(shù)時(shí)候我們真的應(yīng)該無(wú)視之。
舉個(gè)絕佳的例子:任何網(wǎng)絡(luò)攻擊都需要黑客預(yù)先進(jìn)行多種多樣、單獨(dú)的、成功的攻擊鋪墊。復(fù)雜性不只是防御者的敵人。通常,媒體報(bào)道中根本不會(huì)提到這些必要的先決條件——或者只是一帶而過(guò),就好像這些復(fù)雜的攻擊準(zhǔn)備非常容易實(shí)現(xiàn)。
比如說(shuō),你可能聽(tīng)說(shuō)過(guò)這樣的一次網(wǎng)絡(luò)攻擊:攻擊者必須首先用中間人攻擊進(jìn)行掩護(hù)才能夠開(kāi)始實(shí)施下一波攻擊。幾年之前,很多黑客工具讓中間人攻擊相當(dāng)容易達(dá)成。只需要連上網(wǎng)絡(luò),點(diǎn)擊一個(gè)按鈕,嗖的一下你就成了網(wǎng)絡(luò)之主——通常是用ARP投毒實(shí)現(xiàn)的。
但是,在今天,公司網(wǎng)絡(luò)系統(tǒng)通常會(huì)采用網(wǎng)絡(luò)設(shè)備抵御ARP投毒攻擊,中間人攻擊已經(jīng)很難在這些系統(tǒng)中成功實(shí)施了。即使攻擊者僥幸成功,他們也常常會(huì)造成太多計(jì)劃外的破壞而導(dǎo)致公司網(wǎng)絡(luò)維護(hù)團(tuán)隊(duì)最終重啟網(wǎng)絡(luò)以解決問(wèn)題,顯然,中間人重路由挺不過(guò)網(wǎng)絡(luò)重啟這種終極大招。
2. 沒(méi)聚焦到問(wèn)題根源
攻擊發(fā)生后,防御者的重點(diǎn)常常放在了攻擊者侵入之后做了什么,而不是他們最開(kāi)始是怎么突破防御的。確實(shí),我們需要評(píng)估損失并確保攻擊者被驅(qū)離。但我們也應(yīng)該至少將同樣的精力,投放在判定黑客是怎樣獲取到訪問(wèn)權(quán)的,并保證此類(lèi)漏洞不會(huì)被再次利用。
哈希傳遞攻擊是個(gè)不錯(cuò)的例子。這種攻擊中,攻擊者必須首先獲取有根用戶(hù)、本地管理員用戶(hù)或者域管理員用戶(hù)安全上下文的系統(tǒng)訪問(wèn)權(quán)。一旦他們獲取到此類(lèi)提升的安全權(quán)限,他們幾乎能在系統(tǒng)中暢通無(wú)阻為所欲為。世界盡在他們掌握。我們也許可以完全阻止哈希傳遞攻擊,但我們絲毫阻止不了攻擊者。他們能做任何他們想做的事。防得了一次防不住第二次,他們會(huì)改變方式卷土重來(lái)。
在壞人拿到你的管理員帳戶(hù)后擔(dān)心哈希傳遞攻擊就像是擔(dān)心偷你車(chē)的小偷會(huì)不會(huì)善待你的剎車(chē)似的。
3. 沒(méi)向管理層匯報(bào)真正的風(fēng)險(xiǎn)
經(jīng)常聽(tīng)到人們抱怨說(shuō)高級(jí)管理層沒(méi)有真正支持IT安全團(tuán)隊(duì)或者給他們履職盡責(zé)所需的工具和資源。大多數(shù)情況下,這不過(guò)是逃避責(zé)任的借口。IT安全團(tuán)隊(duì)沒(méi)有與管理層共享正確的信息倒是更為典型的癥狀。
我還從未見(jiàn)過(guò)哪個(gè)高管在明確知悉各種風(fēng)險(xiǎn)及各風(fēng)險(xiǎn)優(yōu)先級(jí)的情況下不給安全部門(mén)大開(kāi)綠燈的。然而不幸的是,大多數(shù)IT安全部門(mén)總是將一堆“No.1”風(fēng)險(xiǎn)擺在管理層面前,向管理層索要一堆各不相同的“高優(yōu)先級(jí)”項(xiàng)目的資金支持。然后,IT安全團(tuán)隊(duì)坐一邊百思不得其解,“為什么我們真正的No.1威脅沒(méi)能有效解決呢?”
這么說(shuō)吧,如果沒(méi)打補(bǔ)丁的軟件是你的首要問(wèn)題(多數(shù)公司里,最高級(jí)別的威脅與少量沒(méi)打補(bǔ)丁的程序有關(guān)),如果你毫不含糊地向你的高級(jí)管理層解釋清楚了這一點(diǎn),管理層將會(huì)給你專(zhuān)注于打補(bǔ)丁的權(quán)限和工具的。
計(jì)算機(jī)安全防御從來(lái)都不是件容易的事。我們面對(duì)的是一大堆棘手的問(wèn)題和風(fēng)險(xiǎn)。但如果我們不能正確評(píng)估威脅,不能向高級(jí)管理層傳達(dá)必要的有用的信息,安全防御就是句空話(huà)。
原文地址:http://www.aqniu.com/neo-points/7582.html