正所谓 “知己知彼,百战不殆”,想要赢一场漂亮的胜仗,一定要对自身和对手都具备非常充分地了解。以下就是所有安全专业人士都应该了解的一些基础问题。
如今,很少有职业需要紧随 IT 安全的变化速度而做出改变。据统计,IT 从业者每年平均会遭遇 5000 到 7000 个新的软件漏洞,去年这一数字更是飙升到了惊人的 16,555 个。这就相当于每天,日复一日,年复一年地在你的安全防御系统中都会爆发 13 - 45 个新的漏洞。这就是组织 IT 环境每年面临数以千万计的恶意软件威胁的原因,也是攻击者不断进行攻击尝试的原因所在。
在这种持续不断的威胁中,仅仅是单一的漏洞就可能会破坏组织的业务,让其遭受声誉和收入的双重损失,甚至直接面临破产倒闭的结局。
这并不是说你的 IT 团队无法成功反击。当然可以,而且也会实现。
以下是每个计算机安全专业人员想要成功应对网络攻击都应该知道的 12 件事:
1. 了解对手的动机
你无法在不了解对手是谁以及他们为什么针对你实施攻击的情况下成功地反击敌人。所有攻击者都有自己的动机和目标,这两件事决定了他们所做的一切以及他们的具体实践方式。
如今,威胁你的黑客大多都有着明确的动机(纯粹出于好奇的除外)。这些攻击大致可分为以下类别:
经济动机
民族主义国家支持/网络战
企业间谍活动
黑客行为主义者
资源盗取
在多人游戏中作弊
如今的攻击者每次攻击的方式和动机都是不一样的。了解他们的动机对于应对攻击而言是至关重要的一步。了解攻击者为何以及如何实现破解,是确定你的网络究竟属于哪个目标类型的最佳方法,同时,这也可能提供如何击败对手的线索。
2. 恶意软件的类型
恶意软件有三种主要类型:计算机病毒、特洛伊木马以及蠕虫。任何恶意软件程序都是这些类型中的一个或多个的混合体。
(1) 计算机病毒
计算机病毒是 “指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。其必须满足两个条件:
它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中;
它必须能自我复制。例如,它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。
(2) 木马
特洛伊木马指那些表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。它是具有欺骗性的文件(宣称是良性的,但事实上是恶意的),是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓 “隐蔽性” 是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,也难以确定其具体位置;所谓 “非授权性” 是指一旦控制端与服务端连接后,控制端将窃取到服务端的很多操作权限,如修改文件,修改注册表,控制鼠标,键盘,窃取信息等等。
特洛伊木马与病毒的重大区别是特洛伊木马不具传染性,它并不能像病毒那样复制自身,也并不 “刻意” 地去感染其他文件,它主要通过将自身伪装起来,吸引用户下载执行。
(3) 蠕虫
蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等。
了解这些恶意软件的基本类别非常重要,这样当你检测出恶意软件程序时,你就可以一同对最有可能的入侵场景进行解析。这不仅可以帮助你了解在何处查找恶意软件程序的来源,而且可以了解它可能会进一步传播的位置。
3. 根本漏洞类型
每年,IT 安全专业人员都面临着数千个新的软件漏洞和数百万个不同的恶意软件程序,但只有 12 种根本漏洞会让这些软件漏洞和恶意软件程序攻击你的设备。了解这些根本原因,你就可以阻止黑客攻击和恶意软件。以下是十二种根本漏洞:
零日攻击——又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与漏洞曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性;
#p#分页标题#e#未修补的软件——研究表明,未修补的漏洞是大多数数据泄露的根源。未修补的软件或未更新的软件可能是主要的IT安全风险。如果您不更新软件,则会让您容易受到攻击者攻击。一旦(安全)更新可用于软件包,攻击者就会针对尚未更新的软件包。在现实中,许多公司并不总是立即更新他们的浏览器,即使这附带了很大的风险;
恶意软件——指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序,通过破坏软件进程来实施控制。恶意软件由多种威胁组成,会不断弹出,需要采取多种方法和技术来进行反病毒保护;
社交工程学——社会工程学是一种利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段,获取自身利益的手法。现实中运用社会工程学的犯罪很多。短信诈骗如诈骗银行信用卡号码,电话诈骗如以知名人士的名义去推销诈骗等,都运用到社会工程学的方法;
密码攻击——尝试获取或解密用户的密码以供非法使用。黑客可以在密码攻击中使用破解程序,字典攻击和密码嗅探器;
窃听/MITM(中间人攻击)——一种 “间接” 的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为 “中间人”。在网络安全方面,MITM 攻击的使用是很广泛的,曾经猖獗一时的 SMB 会话劫持、DNS 欺骗等技术都是典型的 MITM 攻击手段;
数据泄露——数据泄露是一种安全事件,其中敏感,受保护或机密数据被未经授权的个人复制,传输,查看,窃取或使用。数据泄露可能涉及财务信息,如信用卡或银行详细信息,个人健康信息 (PHI),个人身份信息 (PII),公司的商业秘密或知识产权;
配置错误——如果组件由于不安全的配置选项而容易受到攻击,则可能会发生安全性错误配置漏洞。这些漏洞通常是由于不安全的默认配置,缺乏文档的默认配置或可选配置的文档记录不良而导致的。这可能包括未能在 Web 服务器上设置有用的安全标头,以及忘记禁用可授予攻击者管理访问权限的默认平台功能;
拒绝服务——攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击;
内部人士/合伙人/顾问/供应商/第三方——这是一种内部威胁,是指前员工或现员工,有权限访问组织的网络系统,数据等信息的承包商或业务合作伙伴有意或无意的利用这种机会来窃取机密,破坏组织网络系统的完整性或可用性;
用户错误——同样属于一种内部威胁;
物理访问——指的是人们物理访问计算机系统的能力。通过对办公室的物理访问,知识渊博的攻击者将很快能够找到访问该组织的计算机系统和网络所需的信息;
你可能对每个类别都不陌生,但这并不意味着一切是容易实现的。
4. 密码学和数据保护
数字密码学是一门艺术,它可以使信息安全免受未经授权的访问和修改。每个 IT 安全专业人员都应该学习加密技术的基础知识,其中包括非对称加密、对称加密、散列,以及密钥分发和保护等。
数据保护需要大量的加密技术。而数据的完整性保护还要求以合法方式收集和使用数据,保护隐私内容免受未经授权的访问,同时确保安全备份有能力防止恶意篡改并实现可用性。
如今,法律对于数据保护的要求正变得越来越严格,例如欧盟《通用数据保护条例》(GDPR) 的推出。作为 IT 安全从业者,你必须跟上量子计算机的进程,并充分了解其破解现代公钥加密的能力。在接下来的 10 年或更短时间内,你可能需要被迫将自己习惯的公钥密码(例如RSA、Diffie-Hellman等)全部转换为叫做 “抗量子” (post-quantum) 密码的密码术。全世界都在为此做准备,包括美国国家标准与技术研究院 (NIST)。所以,不要告诉我,你还没有意识到这一即将发生的巨大变化。
5. 网络和网络数据包分析
其实,识别团队中真正优秀的 IT 安全专业人员并不难,观察他们是否能够对网络数据包进行分析即可。真正优秀的 IT 安全专业人员应该能够熟练地使用网络基础知识,例如协议、端口编号、网络地址、OSI 模型层、路由器和交换机之间的区别,并且能够读取和理解网络包内所有不同字段的实际用途。
总而言之,理解网络数据包分析是为了真正了解网络和使用它们的计算机。
6. 基础性常规防御
#p#分页标题#e#几乎每台计算机都有常规的基础防御机制,优秀的IT专业人员会尽可能地考虑和应用这些方法来实现最佳的保护效果。以下是计算机安全的 “标准”,具体包括:
补丁管理
终端用户培训
防火墙
杀毒软件
安全配置
加密/解密
身份验证机制
入侵检测
日志记录
理解和使用这些常规性的IT基础安全防御机制是每位IT安全专业人员必备的技能。但除了简单地了解其功能之外,还要弄清楚其擅长执行哪些任务以及缺乏哪些保护能力等。
7. 认证基础知识
安全专业人员都知道,身份验证不仅仅是输入有效密码或满足双因素 ID 测试的过程。它还涉及更多细节。身份验证从为任何命名空间提供唯一有效身份标签的过程开始,例如电子邮件地址、用户主体名称或登录名。
认证的本质,是提供仅由有效身份持有者及其认证数据库/服务所知的一个或多个 “秘密” 信息的过程。当有效身份证持有者输入正确的身份验证因素时,即证明通过身份验证的用户是该身份的有效持有者。然后,在成功进行身份验证之后,尝试访问受保护资源将由称为授权的安全管理器进行检查。所有登录和访问尝试应记录到日志文件中。
与安全领域的其他所有事物一样,身份认证也正在不断发展完善。其中一个较新的概念,同时也是我认为最有可能保留的概念之一是持续性用户身份认证,在这种认证机制中,记录用户执行的所有操作都会根据已建立的模式不断重新评估。
8. 移动威胁
如今,全球的移动设备数量已经超过了全球人口总数,而且大多数人习惯通过移动设备获取大部分日常信息。鉴于人类的移动通信能力只可能不断提高,因此IT安全专业人员需要认真对待移动设备、移动威胁以及移动安全性等问题。目前最主要的移动威胁包括:
移动恶意软件
间谍软件
数据或凭证窃取
图片窃取
勒索软件
网络钓鱼攻击
不安全的无线网络
对于大多数移动威胁来说,威胁移动设备或计算机没有太大区别。但是,两者间还是存在一些不同之处的,你需要知道它是什么。任何不熟悉移动设备细节的IT专业人员都应该尽快开始了解。
9. 云计算安全
流行问答:有哪四个因素使得云计算安全性比传统网络更复杂?
每位IT专业人员都应该能够轻松通过这项测试。
其答案是:
缺乏控制能力
始终暴露在互联网上
多租户(共享服务/服务器)模式
虚拟化/容器化/微服务
有趣的是,云所真正代表的实际是 “其他人的计算机”,以及由此带来的一切风险。传统的企业管理员无法控制用于在云中存储敏感数据和服务用户的服务器、服务和基础设施。因此,你必须寄希望于云服务供应商,相信他们的安全团队正在履行其职责。云基础架构几乎都是多租户模式,通过虚拟化和最新兴起的微服务及容器化开发而来,因此我们很难将不同客户的数据区分开来。一些人认为,这样做有助于使安全性更容易实现,但每一项开发通常都会使基础设施更加复杂,而复杂性和安全性通常存在相互冲突的关系。
10. 事件记录
年复一年,安全研究表明,最易被忽视的安全事件其实一直存在于日志文件中。你所要做的就是查看事件记录。良好的事件日志系统是具有价值的,优秀的 IT 专业人员应该知道如何设置以及何时进行查询。
以下是事件记录的基本执行步骤,每个 IT 安全专业人员都应该熟练掌握:
政策
配置
事件日志收集
规范化
索引
存储
相关性
基线
警报
报告
11. 事件响应
最终,每个 IT 环境可能都会遭遇安全防御失败的状况。不知何故,黑客或者由此创建的恶意软件总能找到可乘之机,随之而来的就是严重的负面后果。因此,一位优秀的 IT 专业人员需要对此准备就绪,并制定事件响应计划,该计划最好能够立即付诸实施。良好的事件响应至关重要,这可能最终决定着我们的企业形象甚至商业生命能否延续。事件响应的基础包括:
及时有效地做出响应
限制伤害范围
进行取证分析
识别威胁
沟通
限制后续伤害
承认经验教训
12. 威胁教育和沟通
#p#分页标题#e#大多数威胁都是众所周知并且经常发生的。从最终用户到高级管理层和董事会的每个利益相关者都需要了解当前针对贵公司的最大威胁,以及您为了阻止他们所采取的措施。您面临的一些威胁,例如社会工程攻击,只能通过员工安全意识培训来阻止。因此,良好的沟通能力通常是将优秀的 IT 专业人员与普通人员区分开来的评判因素。
沟通是一项重要的 IT 安全专业技能。但是,不能简单地依靠员工自己的个性和魅力,因为沟通是通过各种方法进行的,其中包括:面对面交谈、书面文档、电子邮件、在线学习模块、新闻通讯、测试和模拟网络钓鱼。
无论你部署什么类型的技术控制措施,可能都躲不过攻击活动的侵扰。因此,请确保利益相关者为此做好准备。至少,你的教育计划应该涵盖以下项目:
针对组织的最可能、最重要的威胁和风险
可接受的使用方法
安全政策
如何进行身份验证以及应该避免哪些操作
数据保护
社交工程认知
如何以及何时报告可疑的安全事件
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】