即使再复杂的职业也无法跟上IT安全的变化速度。据统计,相关从业人员每年平均会遇到5000至7000个新型软件漏洞。去年的数据甚至达到了16555,让人为之惊叹。这意味着,在个人安全防御中每天都会产生13-45个漏洞。日复一日,年复一年。其危害和成千上万个独特的恶意软件程序相比更甚。这种威胁,持续不断,泛滥如潮,带来的后果就是影响公司信誉,被曝光在恶意媒体之下,造成公司财产损失。
然而,这并不是不可防范的,以下是每个计算机专业人员为打赢这场保卫战应该知道的12件事。
一、了解对手动机
知己知彼,尚能百战百胜。首先要先了解对手是谁以及他们攻击的原因。所有攻击者都有他们自己的攻击缘由和目标,这两点是驱使他们做这件事以及怎么做的根源。
当今大多数攻击者的动机可以分为一下几类:
- 金融
- 国家支持的/网络战争
- 黑客行动主义者
- 资源窃取
- 在多人游戏中作弊
尽管如此,如今的攻击者也不尽相同。了解其动机至关重要。只有如此,才可以选择当前网络最佳的目标类型开展防御,击败对手。
二、恶意软件种类
如今有三种恶意软件:电脑病毒、特洛伊木马、蠕虫。任何的恶意程序都是一种或者多种软件的混合使用。
计算机病毒是一种恶意软件程序,它依附于其他程序、文件和数字存储中得以复制。特洛伊木马是一种恶意软件程序,其声称是一种合法的东西,可诱骗人们去运行它。特洛伊木马不会自我复制,它依赖于人类的好奇心来帮助它传播。蠕虫是一种自我复制的程序,它使用代码来传播自己。它不需要依赖其他主机程序或文件。
了解这些恶意软件的基本分类十分重要。当找到一种恶意程序的时候,能够解析其进入电脑的最有可能的一种情况,这有助于人们理解恶意软件的来源以及它们要传向何处。
三、漏洞利用根源
IT安全专业人员每年面临成百上千的新型软件漏洞和独特的恶意软件程序,然而只有十二种不同的漏洞利用根源允许他们进入个人的安全防御。阻止这些漏洞利用根源就可以组织黑客入侵和恶意软件。以下是漏洞利用的十种根源:
- 编程bug
- 社会工程学
- 认证攻击
- 人为错误
- 配置错误
- 窃听/中间人(MitM)
- 数据/网络流量异常
- 内线攻击
- 第三方依赖问题
- 物理攻击
这些都是人们常见的根源,但是并不意味它们解决起来就是容易的。
四、密码学和数据保护
数字加密技术是一门保护信息以防止未经授权的访问和修改的技术。每个IT安全专业人员都应该学习加密的基础知识,包括非对称加密、对称加密、散列以及密钥分发和保护。
数据保护需要大量的加密。完整的数据保护还要求合法收集和使用数据,保护其隐私,阻止未经授权的访问,并确保安全备份以防止恶意修改并确保可用性。(Geek Stuff有一本关于密码学基础知识的优秀教程。)
学完以上基础知识时候,要确保跟上量子计算机的进展,学习破解现代公钥加密的能力。在接下来的10年或更短的时间内,所有公共密钥加密(例如RSA,Diffie-Hellman等)将用于称为后量子密码的密码技术。全世界都在为此举做准备,包括美国国家标准与技术研究院。
五、网络和网络数据包分析
优秀的IT安全专业人员了解数据包级别网络,他们易于使用网络基础知识,例如协议,端口号、网络地址、OSI模型的层、路由器和交换机之间的区别,并且能够读取和理解网络数据包的各个字段用于什么。
了解网络数据包分析是为了真正了解网络和执行它们的计算机。 Geeksforgeeks有一个关于网络基础知识的快速教程,Vice有一个关于网络数据包分析的快速入门课程。
六、基本共同防御
几乎每个计算机都有共同的基本防御,优秀的IT专业人员会考量并应用它们。以下是计算机安全的标准:
- 补丁管理
- 最终用户培训
- 防火墙
- 杀毒软件
- 安全配置
- 加密/密码
- 认证
- 入侵检测
- 记录
每个IT安全专业人员都必须了解和使用基本的常见IT安全防御措施。但仅了解是不够的,也要知道他们擅长防御什么以及他们不能防御什么。
七、身份认证基础知识
最好的安全专业人员知道身份认证不仅是输入有效密码或满足双因素ID测试的过程。它比这更重要。身份认证从为任何命名空间提供唯一有效身份标签的过程开始,例如电子邮件地址、用户主体名称或登录名。
身份认证是提供仅由有效身份持有者及其认证数据库/服务所知的一个或多个“秘密”(密码)的过程。当有效身份证持有者键入正确的身份认证因素时,这证明经过身份认证的用户是身份的有效所有者。然后,在任何成功的身份认证之后,受试者尝试访问受保护资源将由称为授权的安全管理器进程检查。应将所有登录和访问尝试记录到日志文件中。
与安全方面的其他所有内容一样,身份认证是其中一个较新的概念,也就是最有可能保留的概念之一是持续用户身份验证,其中登录用户执行的所有操作都会根据已建立的模式不断进行重新评估。
八、可移动的威胁
世界上移动设备的数量远比人类数量要来得多,而人们获取大多数信息只通过一部移动设备。因为人类的移动能力只可能会增加,所以IT安全专业人员需要严肃对待移动设备、可移动威胁和移动安全等问题。以下是主要的移动威胁:
- 移动恶意软件
- 隐私入侵/盗窃
- 勒索软件
- 网络钓鱼攻击
- 间谍软件
- 数据或凭证被盗
- 图片盗窃
- 不安全的无线网络
可移动威胁和计算机威胁之间没有太多的不同,但是也稍有差别。这是一个优秀的IT专业人员应该要知道的。
九、云安全
相比于传统安全来说,让云安全更复杂的四个因素是什么?每个IT专业人员都应该能够回答得出来。
- 缺乏控制
- 只能在互联网上使用
- 多租户(共享服务/服务器)
- 虚拟化/集装箱/微服务
传统的企业管理员不再控制用于存储敏感数据和服务用户的服务器、服务和基础架构。 人们必须相信云供应商的安全团队真的可以提供安全服务。 云基础架构几乎总是多租户架构。在这个架构中,通过虚拟化以及最近集装箱化和微服务开发,将不同客户的数据分开可能会变得复杂。 有些人认为这是一种更容易营造安全环境的方法,可是每次开发通常会使基础架构变得更加复杂。复杂性和安全性通常不是齐头并进的。
十、事件记录
研究表明,最常丢失的安全事件一直存在于日志文件中,等待被发现。一个好的事件日志系统非常重要。一位优秀的IT专业人员知道如何设置以及何时进行咨询。以下是事件记录的基本步骤,每个IT安全专业人员都应该知道:
- 政策
- 组态
- 事件日志集合
- 正常化
- 索引
- 存储
- 关联
- 基线
- 警报
- 报告
十一、事件响应
事实上,每个IT环境防御都会被突破。黑客或他们的恶意软件不知以何种方式通过防御。一个优秀的IT专业人员应为此做好准备,制定事件响应计划,该计划可立即付诸实施。 良好的事件响应至关重要。 事件响应的基础包括:
- 及时有效地回应
- 限制损失
- 进行取证分析
- 识别威胁
- 通讯
- 限制潜在损失
- 承认经验教训
十二、安全培训和沟通
大多数威胁都是众所周知并反复出现的。 从最终用户到高级管理层和董事会的每个利益相关者都需要了解当前针对贵公司的最大威胁以及为阻止威胁所采取的措施。有些威胁,比如社会工程,只能通过公司员工教育来防范。 因此,优秀的沟通能力通常是将优秀的IT专业人员与平庸的人员分开的标准。
因此,培训计划应涵盖以下项目:
- 对组织最可能、最重要的威胁和风险
- 可接受的用途
- 安全政策
- 如何进行认证以及要避免什么
- 数据保护
- 社会工程意识
- 如何以及何时报告可疑的安全事件