每個網絡安全專家都應該知道這12件事

安全牛2019-09-06 04:33:05

正所謂 “知己知彼,百戰不殆”,想要贏一場漂亮的勝仗,一定要對自身和對手都具備非常充分地瞭解。以下就是所有安全專業人士都應該瞭解的一些基礎問題。



如今,很少有職業需要緊隨 IT 安全的變化速度而做出改變。據統計,IT 從業者每年平均會遭遇 5000 到 7000 個新的軟件漏洞,去年這一數字更是飆升到了驚人的 16,555 個。這就相當於每天,日復一日,年復一年地在你的安全防禦系統中都會爆發 13 - 45 個新的漏洞。這就是組織 IT 環境每年面臨數以千萬計的惡意軟件威脅的原因,也是攻擊者不斷進行攻擊嘗試的原因所在。


在這種持續不斷的威脅中,僅僅是單一的漏洞就可能會破壞組織的業務,讓其遭受聲譽和收入的雙重損失,甚至直接面臨破產倒閉的結局。


這並不是說你的 IT 團隊無法成功反擊。當然可以,而且也會實現。


以下是每個計算機安全專業人員想要成功應對網絡攻擊都應該知道的 12 件事:


1. 瞭解對手的動機


你無法在不瞭解對手是誰以及他們為什麼針對你實施攻擊的情況下成功地反擊敵人。所有攻擊者都有自己的動機和目標,這兩件事決定了他們所做的一切以及他們的具體實踐方式。


如今,威脅你的黑客大多都有著明確的動機(純粹出於好奇的除外)。這些攻擊大致可分為以下類別:


  • 經濟動機

  • 民族主義國家支持/網絡戰

  • 企業間諜活動

  • 黑客行為主義者

  • 資源盜取

  • 在多人遊戲中作弊


如今的攻擊者每次攻擊的方式和動機都是不一樣的。瞭解他們的動機對於應對攻擊而言是至關重要的一步。瞭解攻擊者為何以及如何實現破解,是確定你的網絡究竟屬於哪個目標類型的最佳方法,同時,這也可能提供如何擊敗對手的線索。


2. 惡意軟件的類型


惡意軟件有三種主要類型:計算機病毒、特洛伊木馬以及蠕蟲。任何惡意軟件程序都是這些類型中的一個或多個的混合體。


  • 計算機病毒


計算機病毒是 “指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我複製的一組計算機指令或者程序代碼”。其必須滿足兩個條件:


1)它必須能自行執行。它通常將自己的代碼置於另一個程序的執行路徑中;


2)它必須能自我複製。例如,它可能用受病毒感染的文件副本替換其他可執行文件。病毒既可以感染桌面計算機也可以感染網絡服務器。


  • 特洛伊木馬


特洛伊木馬指那些表面上是有用的軟件、實際目的卻是危害計算機安全並導致嚴重破壞的計算機程序。它是具有欺騙性的文件(宣稱是良性的,但事實上是惡意的),是一種基於遠程控制的黑客工具,具有隱蔽性和非授權性的特點。


所謂 “隱蔽性” 是指木馬的設計者為了防止木馬被發現,會採用多種手段隱藏木馬,這樣服務端即使發現感染了木馬,也難以確定其具體位置;所謂 “非授權性” 是指一旦控制端與服務端連接後,控制端將竊取到服務端的很多操作權限,如修改文件,修改註冊表,控制鼠標,鍵盤,竊取信息等等。


特洛伊木馬與病毒的重大區別是特洛伊木馬不具傳染性,它並不能像病毒那樣複製自身,也並不 “刻意” 地去感染其他文件,它主要通過將自身偽裝起來,吸引用戶下載執行。


  • 蠕蟲


蠕蟲是一種通過網絡傳播的惡性病毒,它具有病毒的一些共性,如傳播性、隱蔽性、破壞性等,同時具有自己的一些特徵,如不利用文件寄生(有的只存在於內存中),對網絡造成拒絕服務,以及和黑客技術相結合等等。


瞭解這些惡意軟件的基本類別非常重要,這樣當你檢測出惡意軟件程序時,你就可以一同對最有可能的入侵場景進行解析。這不僅可以幫助你瞭解在何處查找惡意軟件程序的來源,而且可以瞭解它可能會進一步傳播的位置。


3. 根本漏洞類型


每年,IT 安全專業人員都面臨著數千個新的軟件漏洞和數百萬個不同的惡意軟件程序,但只有 12 種根本漏洞會讓這些軟件漏洞和惡意軟件程序攻擊你的設備。瞭解這些根本原因,你就可以阻止黑客攻擊和惡意軟件。以下是十二種根本漏洞:


1)零日攻擊——又叫零時差攻擊,是指被發現後立即被惡意利用的安全漏洞。通俗地講,即安全補丁與漏洞曝光的同一日內,相關的惡意程序就出現。這種攻擊往往具有很大的突發性與破壞性;


2) 未修補的軟件——研究表明,未修補的漏洞是大多數數據洩露的根源。未修補的軟件或未更新的軟件可能是主要的IT安全風險。如果您不更新軟件,則會讓您容易受到攻擊者攻擊。一旦(安全)更新可用於軟件包,攻擊者就會針對尚未更新的軟件包。在現實中,許多公司並不總是立即更新他們的瀏覽器,即使這附帶了很大的風險;


3) 惡意軟件——指在計算機系統上執行惡意任務的病毒、蠕蟲和特洛伊木馬的程序,通過破壞軟件進程來實施控制。惡意軟件由多種威脅組成,會不斷彈出,需要採取多種方法和技術來進行反病毒保護;


4) 社交工程學——社會工程學是一種利用人的弱點如人的本能反應、好奇心、信任、貪便宜等弱點進行諸如欺騙、傷害等危害手段,獲取自身利益的手法。現實中運用社會工程學的犯罪很多。短信詐騙如詐騙銀行信用卡號碼,電話詐騙如以知名人士的名義去推銷詐騙等,都運用到社會工程學的方法;


5) 密碼攻擊——嘗試獲取或解密用戶的密碼以供非法使用。黑客可以在密碼攻擊中使用破解程序,字典攻擊和密碼嗅探器;


6) 竊聽/MITM(中間人攻擊——一種 “間接” 的入侵攻擊,這種攻擊模式是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間,這臺計算機就稱為 “中間人”。在網絡安全方面,MITM 攻擊的使用是很廣泛的,曾經猖獗一時的 SMB 會話劫持、DNS 欺騙等技術都是典型的 MITM 攻擊手段;


7) 數據洩露——數據洩露是一種安全事件,其中敏感,受保護或機密數據被未經授權的個人複製,傳輸,查看,竊取或使用。數據洩露可能涉及財務信息,如信用卡或銀行詳細信息,個人健康信息 (PHI),個人身份信息 (PII),公司的商業祕密或知識產權;


8) 配置錯誤——如果組件由於不安全的配置選項而容易受到攻擊,則可能會發生安全性錯誤配置漏洞。這些漏洞通常是由於不安全的默認配置,缺乏文檔的默認配置或可選配置的文檔記錄不良而導致的。這可能包括未能在 Web 服務器上設置有用的安全標頭,以及忘記禁用可授予攻擊者管理訪問權限的默認平臺功能;


9) 拒絕服務——攻擊者想辦法讓目標機器停止提供服務,是黑客常用的攻擊手段之一。其實對網絡帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬於拒絕服務攻擊;


10) 內部人士/合夥人/顧問/供應商/第三方——這是一種內部威脅,是指前員工或現員工,有權限訪問組織的網絡系統,數據等信息的承包商或業務合作伙伴有意或無意的利用這種機會來竊取機密,破壞組織網絡系統的完整性或可用性;


11) 用戶錯誤——同樣屬於一種內部威脅;


12) 物理訪問——指的是人們物理訪問計算機系統的能力。通過對辦公室的物理訪問,知識淵博的攻擊者將很快能夠找到訪問該組織的計算機系統和網絡所需的信息;


你可能對每個類別都不陌生,但這並不意味著一切是容易實現的。


4. 密碼學和數據保護


數字密碼學是一門藝術,它可以使信息安全免受未經授權的訪問和修改。每個 IT 安全專業人員都應該學習加密技術的基礎知識,其中包括非對稱加密、對稱加密、散列,以及密鑰分發和保護等。


數據保護需要大量的加密技術。而數據的完整性保護還要求以合法方式收集和使用數據,保護隱私內容免受未經授權的訪問,同時確保安全備份有能力防止惡意篡改並實現可用性。


如今,法律對於數據保護的要求正變得越來越嚴格,例如歐盟《通用數據保護條例》(GDPR) 的推出。作為 IT 安全從業者,你必須跟上量子計算機的進程,並充分了解其破解現代公鑰加密的能力。在接下來的 10 年或更短時間內,你可能需要被迫將自己習慣的公鑰密碼(例如RSA、Diffie-Hellman等)全部轉換為叫做 “抗量子” (post-quantum) 密碼的密碼術。全世界都在為此做準備,包括美國國家標準與技術研究院 (NIST)。所以,不要告訴我,你還沒有意識到這一即將發生的巨大變化。


5. 網絡和網絡數據包分析


其實,識別團隊中真正優秀的 IT 安全專業人員並不難,觀察他們是否能夠對網絡數據包進行分析即可。真正優秀的 IT 安全專業人員應該能夠熟練地使用網絡基礎知識,例如協議、端口編號、網絡地址、OSI 模型層、路由器和交換機之間的區別,並且能夠讀取和理解網絡包內所有不同字段的實際用途。


總而言之,理解網絡數據包分析是為了真正瞭解網絡和使用它們的計算機。


6. 基礎性常規防禦


幾乎每臺計算機都有常規的基礎防禦機制,優秀的IT專業人員會盡可能地考慮和應用這些方法來實現最佳的保護效果。以下是計算機安全的 “標準”,具體包括:


  • 補丁管理

  • 終端用戶培訓

  • 防火牆

  • 殺毒軟件

  • 安全配置

  • 加密/解密

  • 身份驗證機制

  • 入侵檢測

  • 日誌記錄


理解和使用這些常規性的IT基礎安全防禦機制是每位IT安全專業人員必備的技能。但除了簡單地瞭解其功能之外,還要弄清楚其擅長執行哪些任務以及缺乏哪些保護能力等。


7. 認證基礎知識


安全專業人員都知道,身份驗證不僅僅是輸入有效密碼或滿足雙因素 ID 測試的過程。它還涉及更多細節。身份驗證從為任何命名空間提供唯一有效身份標籤的過程開始,例如電子郵件地址、用戶主體名稱或登錄名。


認證的本質,是提供僅由有效身份持有者及其認證數據庫/服務所知的一個或多個 “祕密” 信息的過程。當有效身份證持有者輸入正確的身份驗證因素時,即證明通過身份驗證的用戶是該身份的有效持有者。然後,在成功進行身份驗證之後,嘗試訪問受保護資源將由稱為授權的安全管理器進行檢查。所有登錄和訪問嘗試應記錄到日誌文件中。


與安全領域的其他所有事物一樣,身份認證也正在不斷髮展完善。其中一個較新的概念,同時也是我認為最有可能保留的概念之一是持續性用戶身份認證,在這種認證機制中,記錄用戶執行的所有操作都會根據已建立的模式不斷重新評估。


8. 移動威脅


如今,全球的移動設備數量已經超過了全球人口總數,而且大多數人習慣通過移動設備獲取大部分日常信息。鑑於人類的移動通信能力只可能不斷提高,因此IT安全專業人員需要認真對待移動設備、移動威脅以及移動安全性等問題。目前最主要的移動威脅包括:


  • 移動惡意軟件

  • 間諜軟件

  • 數據或憑證竊取

  • 圖片竊取

  • 勒索軟件

  • 網絡釣魚攻擊

  • 不安全的無線網絡


對於大多數移動威脅來說,威脅移動設備或計算機沒有太大區別。但是,兩者間還是存在一些不同之處的,你需要知道它是什麼。任何不熟悉移動設備細節的IT專業人員都應該儘快開始瞭解。


9. 雲計算安全


流行問答:有哪四個因素使得雲計算安全性比傳統網絡更復雜?


每位IT專業人員都應該能夠輕鬆通過這項測試。


其答案是:


  • 缺乏控制能力

  • 始終暴露在互聯網上

  • 多租戶(共享服務/服務器)模式

  • 虛擬化/容器化/微服務


有趣的是,雲所真正代表的實際是 “其他人的計算機”,以及由此帶來的一切風險。傳統的企業管理員無法控制用於在雲中存儲敏感數據和服務用戶的服務器、服務和基礎設施。因此,你必須寄希望於雲服務供應商,相信他們的安全團隊正在履行其職責。雲基礎架構幾乎都是多租戶模式,通過虛擬化和最新興起的微服務及容器化開發而來,因此我們很難將不同客戶的數據區分開來。一些人認為,這樣做有助於使安全性更容易實現,但每一項開發通常都會使基礎設施更加複雜,而複雜性和安全性通常存在相互衝突的關係。


10. 事件記錄


年復一年,安全研究表明,最易被忽視的安全事件其實一直存在於日誌文件中。你所要做的就是查看事件記錄。良好的事件日誌系統是具有價值的,優秀的 IT 專業人員應該知道如何設置以及何時進行查詢。


以下是事件記錄的基本執行步驟,每個 IT 安全專業人員都應該熟練掌握:


  • 政策

  • 配置

  • 事件日誌收集

  • 規範化

  • 索引

  • 存儲

  • 相關性

  • 基線

  • 警報

  • 報告


11. 事件響應


最終,每個 IT 環境可能都會遭遇安全防禦失敗的狀況。不知何故,黑客或者由此創建的惡意軟件總能找到可乘之機,隨之而來的就是嚴重的負面後果。因此,一位優秀的 IT 專業人員需要對此準備就緒,並制定事件響應計劃,該計劃最好能夠立即付諸實施。良好的事件響應至關重要,這可能最終決定著我們的企業形象甚至商業生命能否延續。事件響應的基礎包括:


  • 及時有效地做出響應

  • 限制傷害範圍

  • 進行取證分析

  • 識別威脅

  • 溝通

  • 限制後續傷害

  • 承認經驗教訓


12. 威脅教育和溝通


大多數威脅都是眾所周知並且經常發生的。從最終用戶到高級管理層和董事會的每個利益相關者都需要了解當前針對貴公司的最大威脅,以及您為了阻止他們所採取的措施。您面臨的一些威脅,例如社會工程攻擊,只能通過員工安全意識培訓來阻止。因此,良好的溝通能力通常是將優秀的 IT 專業人員與普通人員區分開來的評判因素。


溝通是一項重要的 IT 安全專業技能。但是,不能簡單地依靠員工自己的個性和魅力,因為溝通是通過各種方法進行的,其中包括:面對面交談、書面文檔、電子郵件、在線學習模塊、新聞通訊、測試和模擬網絡釣魚。


無論你部署什麼類型的技術控制措施,可能都躲不過攻擊活動的侵擾。因此,請確保利益相關者為此做好準備。至少,你的教育計劃應該涵蓋以下項目:


  • 針對組織的最可能、最重要的威脅和風險

  • 可接受的使用方法

  • 安全政策

  • 如何進行身份驗證以及應該避免哪些操作

  • 數據保護

  • 社交工程認知

  • 如何以及何時報告可疑的安全事件


相關閱讀

網絡安全專家如何躋身董事會決策層

網絡安全專業人士最具挑戰的因素是什麼?


https://weiwenku.net/d/201318047