各位看官,周日早上好。昨晚玩得可開心,我覺得周末里面,感覺最好的應該是周六的晚上,參加一場聚會,看一次新說唱,來一次約會,整個狀態都是最好的,因為周五晚上有點上班的疲憊,周日晚上因為周一要上班而比較收斂。
很少有哪種職業需要像IT安全人士這樣面臨迅速變化的復雜狀況。從業者每年平均遭遇5千到7千種新的軟件漏洞,這意味著日常防御工作當中,您每天可能遇到15種新的安全隱患。此外,每年IT環境中還將出現數以千萬計的不同惡意軟件。
在這種持續不斷的威脅壓力之下,任何一項漏洞都有可能造成毀滅性的破壞——包括令企業身陷負面頭條、危害收入,甚至導致從業者被迫離職。
但安全團隊完全有理由、也有能力對此施以反擊。
下面,我們將共同探討每一位計算機安全專業人士所應了解的12項事實。希望這一切能夠幫助大家更有把握地打響這場絕地反擊戰。
敵對方的動機
正所謂知己知彼方能百戰百勝。每個攻擊者都有著自己的動機與目標,而二者相結合就決定了他們要做什么以及如何實施。
當前,威脅我們的黑客大多擁有著嚴肅的動機,且主要分為以下幾類:
經濟因素
民族國家支持/網絡戰
企業間諜活動
黑客行動主義者
資源竊取
在多人游戲作弊
盡管攻擊技術已經發展成熟,但每一次具體攻擊活動仍然存在差別。因此,了解其中的動機就成了解決問題的關鍵。大家應當在采取任何行動之前,首先考慮“為什么”。這有可能為您帶來挫敗對手的重要線索。
惡意軟件類型
惡意軟件分為三大主要類型:計算機病毒、木馬以及蠕蟲病毒。任何惡意軟件程序都可歸屬于這些分類中的一種或者多種結合體。
計算機病毒屬于一種惡意軟件程序,其將自身托管在其它程序、文件以及數字化存儲介質內以待復制。其中,木馬是一類自稱合法的惡意軟件,可能通過誘導方式令人們無意間將其激活。木馬不會自我復制,其傳播主要依賴于人們的好奇心。蠕蟲則是一種能夠自我復制的程序,其利用代碼進行自我傳播,而無需其它承載性程序或文件。
了解這些惡意軟件基本類別非常重要。這樣,當您在尋找惡意軟件程序時,就可以將出現機率最高的惡意軟件方案整合在一起,從而準確判斷惡意軟件的起源并推測其可能傳播的目標位置。
攻擊根源
每一年,IT安全專家們都面對著無數種新型軟件漏洞以及上百萬種不同惡意軟件。然而,這些惡意因素的環境滲透實際上可以歸結于12種根源。只有堵住這些攻擊根源,才能真正阻扼黑客攻擊與惡意軟件。以下為這12種具體攻擊根源:
零日漏洞
未修復的軟件
惡意軟件
社交工程
密碼攻擊
竊聽/中間人攻擊
數據泄露
配置錯誤
絕服務
內部人員/合作伙伴/顧問/供應商/第三方
用戶錯誤
物理訪問
如果您對其中一項或者多項根源不太熟悉,請馬上進行研究學習。
密碼學與數據保護
數字密碼學是一種確保信息安全以防止未授權訪問及篡改的藝術。每位IT安全專業人員都應掌握加密基礎知識,包括非對稱加密、對稱加密、散列以及密鑰分發與保護。數據保護需要使用大量加密技術,而數據完整性保護還要求以合法方式收集及使用數據,保護隱私內容免受未授權訪問的侵擾,同時確保安全備份有能力防止惡意篡改并實現可用性。如今,法律對于數據保護的要求正變得越來越嚴格,從業者自然也有必要抓緊時間提升自我水平。
網絡與網絡數據包分析
其實判斷團隊中真正優秀的IT安全專業人員并不困難:觀察他們是否有能力對網絡進行數據包級分析即可。出色的安全專家應該熟悉網絡基礎知識——例如協議、端口編號、網絡地址、OSI模型層、路由器與交換機間的區別,同時能夠閱讀并理解網絡數據包內各個字段的實際含義。
總而言之,理解網絡數據包并對其進行分析,是為了真正理解網絡本身以及使用網絡資源的計算機。
基礎性常規防御
幾乎每臺計算機都擁有常規的基礎防御機制,優秀的IT專業人員當然會盡可能發揮其保護作用。以下是計算機安全中的基本“標準”,具體包括:
補丁管理
最終用戶培訓
防火墻
反病毒工具
安全配置
加密/密碼
驗證
入侵檢測
日志記錄
理解并運用基礎性常規IT安全防御機制是每位IT安全專業人員的必備技能。但除了了解其功能之外,也應弄清其擅長執行哪些任務以及缺乏哪些重要保護能力。
驗證基礎
出色的安全專業人員會意識到,驗證機制不僅僅是輸入有效密碼或者通過雙因素ID測試,其中還涉及更多細節。驗證以在任何命名空間當中提供有效身份標簽為起點——例如電子郵件地址、用戶主體名稱或者登錄名稱。
驗證的本質,是有效身份持有者及其驗證數據庫/服務提供一項或多項“秘密”信息的過程。當有效身份持有者輸入正確的驗證因素時,即證明經過驗證的用戶為身份的有效持有者。在成功完成身份驗證之后,主體對受保護資源的訪問嘗試將由授權安全管理器進程負責檢查。大家應將所有登錄與訪問嘗試記錄至日志文件當中。
移動威脅
如今全球移動設備數量已經超過人口總量,且大多數人通過移動設備獲取大部分日常信息。由于移動能力只可能進一步增長,因此IT安全專業人員需要認真對待移動設備、移動威脅以及移動安全問題。目前最主要的移動威脅包括:
移動惡意軟件
間諜軟件
數據或憑證盜竊
圖片竊取
勒索軟件
釣魚攻擊
不安全無線連接
對于大多數移動威脅而言,其對移動設備的威脅方式與傳統計算機威脅并無區別。當然,二者之間同樣存在一些差異。了解這種差異,正是出色IT專業人員的本分所在。因此,任何不熟悉移動設備細節的安全人士都應盡快開始學習。
云安全
流行問答:哪四大因素使得云安全性比傳統網絡更為復雜?
每一位IT專家都應能夠輕松通過這項測試。
答案是:
缺乏控制能力
始終暴露在互聯網上
多租戶(共享服務/服務器)
虛擬化/容器化/微服務
有趣的是,云所真正代表的實際是“其他人的計算機”以及由此帶來的一切風險。傳統企業管理人員無法控制在云端存儲第三數據及用戶服務的服務器、服務乃至基礎架構。因此,我們必須寄希望于云服務供應商,相信他們的安全團隊會切實履行職責。云基礎設施幾乎代表著多租戶架構,通過虛擬化與新近興起的微服務及容器化開發而來,因此我們很難將不同客戶的數據進行區分。有些人認為,每一種新的開發形式都會令基礎設施變得更加復雜,而復雜性與安全性通常存在相互沖突的關系。
事件記錄
年復一年,安全研究一直在不斷強調最易被忽視的安全事件其實一直存在于日志文件當中。而我們的任務,就是對日志內容進行查看。因此,一套出色的事件記錄系統就變得非常重要。優秀的IT專業人員應當了解如何設置這類系統以及何時進行查詢。
下面是事件記錄的基本執行步驟,每位IT安全專業人員都應熟練掌握:
?政策
配置
事件日志收集
規范化
存儲
關聯
基準化
警報
報告
事件響應
最后,每套IT環境早晚都會遭遇防御失敗問題。不知為什么,黑客或者由此創建的惡意軟件總能找到可乘之機,而隨之而來的就是嚴重的負面后果。因此,一位優秀的IT專業人員應當時刻做好準備,制定事件響應計劃,并將該計劃立即付諸實施。良好的事件響應能力至關重要,這可能最終決定著我們的企業形象甚至商業生命能否延續。事件響應的基礎因素包括:
及時有效地做出響應
限制危害范圍
進行取證分析
別威脅
溝通
限制后續危害
總結經驗教訓
威脅教育與溝通
大多數威脅都屬于已知范疇,且經常重復發生。因此,從最終用戶到高管團隊甚至是董事會成員,每位相關者都應了解當前所在企業所面臨的最大威脅以及應當采取的阻止性措施。當前我們面臨的某些威脅,例如社交工程,只能通過員工教育的方式才能消除。因此,溝通能力也常常成為IT專業人員業務水平的重要指標之一。
溝通是一項重要的IT安全技能,但大家在這方面不應單純依賴于自己的個人魅力。溝通有著多種具體方法,包括當面交談、書面文件、電子郵件、在線學習模塊、新聞 通訊、測試以及網絡釣魚模擬等等。
每一位優秀的IT專業人員都應有能力以口頭及書面方式進行清晰有效的溝通。在適當時,您應了解如何創建或購買必要的教育及溝通工具。無論實際部署怎樣的技術控制方案,每一年都會出現更新、更強大的新產品。因此,請確保利益相關者為此做好準備。
-
計算機
+關注
關注
19文章
7418瀏覽量
87712 -
云安全
+關注
關注
0文章
102瀏覽量
19419 -
惡意軟件
+關注
關注
0文章
34瀏覽量
8954
原文標題:每位IT安全專家都應了解的12項事實
文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論