为什么黑客总能够“魔高一丈”?

安全 黑客攻防
自去年史上最大的用户信息泄露事件(塔吉特)以来,又接连发生了多起信息泄露的安全事件。仅从8月到现在,就有UPS快递、CHS(社区医疗系统)、火狐开源、苹果iCloud、家得宝等信息泄露事件相继爆发。

自去年史上最大的用户信息泄露事件(塔吉特)以来,又接连发生了多起信息泄露的安全事件。仅从8月到现在,就有UPS快递、CHS(社区医疗系统)、火狐开源、苹果iCloud、家得宝等信息泄露事件相继爆发。

以至于国家信息系统安全认证协会(ISC)的执行董事W. Hord Tipton认为:“坏人在赢得胜利……在黑客与安全人员之间有着技术方面的差距,除非这个差距得到弥补,否则成功的入侵事件会越来越多。”

“进攻要比防守容易得多”

 

[[120009]]

 

黑客学院(Hacker Academy)的联合创始人兼首席运营官Aaron Cohen认为,现在系统可以攻击的路径太多,了解系统要比如何防守系统容易的多,黑客总是能找到系统最脆弱的短板。

FireEye的首席安全战略官Richard Bejtlich同意这个观点,他表示:“在网络空间里进攻方占着先手,防守方处于被动。”但Bejtlich认为,即使攻击者获得未授权的访问,也不代表着他就“赢”了。因为访问的最终目的是盗取数据和破坏系统,在这之前还不能称之为赢,而防守方所要做就是阻止这种情况的发生。太多的安全人员把精力浪费到战略上并不重要的事务中,这才是最大的问题。

Cohen表示,之所以坏人显得比好人聪明,是因为那些失败的安全防范,并不是专业人员在做,而是一些传统的IT人员,一些被网络钓鱼或社会工程手段欺骗的其他部门的职员,甚至还有第三方承包商,为攻击者打开了方便之门。

“人们的愚蠢没有补丁可打”

不过安全专家都一致同意,防护能力应该能够提高,但要做到这一点,良好的安全培训是必不可少的。

 

[[120010]]

 

“从大学教育的水平统计,已经有一段时间没有培育出足够的信息安全专业人员。”赛门铁克网络安全组的高级经理Michael Garvin表示。然而这还只是开始,未来需要的安全人员不只是信息安全专业的大学生,还需要具有实际操作、现实经验的职业人员。如同飞行员在真正上机前要在模拟环境试飞上千小时,才能通过不断的重复形成安全环境中的肌肉记忆。

Bejtlich对此表示赞同:“我不会听一个没有时间做企业安全工作的教授讲信息安全课。”Cohen则表示:“中学和大学教育在信息安全方面比较落后,从书本上无法得到真正的培训”。Cohen建议,网络安全培训必需更加注重实际操作,有点类似于职业学校。”

然而,如果学院或大学想要提升信息安全课程的教学质量,则需要专业人员的合作。Avecto职业服务副总裁Andrew Avanessian认为:“大学院校与职业服务机构和信息安全圈的关系需要加强,信息安全业界要联合大学院校并在技术与技能方面给予指导和建议,这是不断变化的信息安全环境的需要。”

 

[[120011]]

 

Avanessian认为,除了获得计算机学位以外,在安全事业的道路上还有很多途径。比如攻读数学,或工程和管理。Bejtlich则认为,除了学术培训和技术能力,还需要战略性的思考,把运营、政策和战略结合起来。而后者正是大多数技术人员所缺乏的。

“战略思想比技能缺口更加重要,太多的安全人员把精力浪费到战略上并不重要的事务中,这才是最大的问题。”

Kellermann也对此表示赞同。他表示俄罗斯黑客的聪明之处就在于“他们战略性的思考所采取的每一步行动,如同下国际象棋,无论是进攻方还是防守方,都会考虑8步到12步之多。”

所有的安全专家都同意,仅仅给予安全工作人员更好的培训是不够的,企业中的所有员工都需要加强安全技术和安全意识的培训。

 

[[120012]]

 

Avanessian表示:“防范攻击的主要障碍之一就是难于操作和管理的安全战略,这些战略依赖于被动的检测。因此,各机构需要简化战略方法,提高主动性。经常碰到一些IT部门,他们的关注点不在安全,而在实施最新的技术或更广泛的解决方案上。这就迫使他们不断的改变他们的安全部署,而安全从来就不应该是后知后觉的。”

Cohen表示,终端用户也是重要的安全因素,要给予终端用户更多实际的技术培训,包括模拟攻击,而不仅仅是理论上的学习。

“这是一个即容易又节省成本的方法,帮助员工提高安全防范水平,杜绝系统中最脆弱的短板”Cohen如是说。

原文地址:http://www.aqniu.com/neo-points/4436.html

责任编辑:蓝雨泪 来源: 安全牛
相关推荐

2009-05-20 14:57:32

2012-03-12 13:15:23

2010-07-29 16:52:38

2020-03-08 11:37:23

勒索软件网络攻击网络安全

2018-09-21 11:55:09

2017-06-27 21:26:23

zl

2011-05-16 10:50:19

2021-08-18 09:52:51

人工智能AI远程办公

2021-09-12 14:47:12

微软Win11漏洞

2016-11-28 15:37:22

2013-04-26 17:30:40

2016-12-07 18:07:11

腾讯云安全云计算

2019-12-04 18:25:39

网络安全技术英特尔

2014-01-16 13:15:11

2012-01-12 10:01:31

2013-08-12 15:35:11

2009-04-03 10:00:58

2013-07-17 13:24:21

2016-03-16 17:12:48

2012-11-08 10:24:04

路由器DHCP交换机
点赞
收藏

51CTO技术栈公众号