為什么黑客總能夠“魔高一丈”?
自去年史上最大的用戶信息泄露事件(塔吉特)以來,又接連發(fā)生了多起信息泄露的安全事件。僅從8月到現(xiàn)在,就有UPS快遞、CHS(社區(qū)醫(yī)療系統(tǒng))、火狐開源、蘋果iCloud、家得寶等信息泄露事件相繼爆發(fā)。
以至于國家信息系統(tǒng)安全認(rèn)證協(xié)會(ISC)的執(zhí)行董事W. Hord Tipton認(rèn)為:“壞人在贏得勝利……在黑客與安全人員之間有著技術(shù)方面的差距,除非這個差距得到彌補(bǔ),否則成功的入侵事件會越來越多。”
“進(jìn)攻要比防守容易得多”
黑客學(xué)院(Hacker Academy)的聯(lián)合創(chuàng)始人兼首席運(yùn)營官Aaron Cohen認(rèn)為,現(xiàn)在系統(tǒng)可以攻擊的路徑太多,了解系統(tǒng)要比如何防守系統(tǒng)容易的多,黑客總是能找到系統(tǒng)最脆弱的短板。
FireEye的首席安全戰(zhàn)略官Richard Bejtlich同意這個觀點(diǎn),他表示:“在網(wǎng)絡(luò)空間里進(jìn)攻方占著先手,防守方處于被動。”但Bejtlich認(rèn)為,即使攻擊者獲得未授權(quán)的訪問,也不代表著他就“贏”了。因?yàn)樵L問的最終目的是盜取數(shù)據(jù)和破壞系統(tǒng),在這之前還不能稱之為贏,而防守方所要做就是阻止這種情況的發(fā)生。太多的安全人員把精力浪費(fèi)到戰(zhàn)略上并不重要的事務(wù)中,這才是最大的問題。
Cohen表示,之所以壞人顯得比好人聰明,是因?yàn)槟切┦〉陌踩婪叮⒉皇菍I(yè)人員在做,而是一些傳統(tǒng)的IT人員,一些被網(wǎng)絡(luò)釣魚或社會工程手段欺騙的其他部門的職員,甚至還有第三方承包商,為攻擊者打開了方便之門。
“人們的愚蠢沒有補(bǔ)丁可打”
不過安全專家都一致同意,防護(hù)能力應(yīng)該能夠提高,但要做到這一點(diǎn),良好的安全培訓(xùn)是必不可少的。
“從大學(xué)教育的水平統(tǒng)計(jì),已經(jīng)有一段時(shí)間沒有培育出足夠的信息安全專業(yè)人員。”賽門鐵克網(wǎng)絡(luò)安全組的高級經(jīng)理Michael Garvin表示。然而這還只是開始,未來需要的安全人員不只是信息安全專業(yè)的大學(xué)生,還需要具有實(shí)際操作、現(xiàn)實(shí)經(jīng)驗(yàn)的職業(yè)人員。如同飛行員在真正上機(jī)前要在模擬環(huán)境試飛上千小時(shí),才能通過不斷的重復(fù)形成安全環(huán)境中的肌肉記憶。
Bejtlich對此表示贊同:“我不會聽一個沒有時(shí)間做企業(yè)安全工作的教授講信息安全課。”Cohen則表示:“中學(xué)和大學(xué)教育在信息安全方面比較落后,從書本上無法得到真正的培訓(xùn)”。Cohen建議,網(wǎng)絡(luò)安全培訓(xùn)必需更加注重實(shí)際操作,有點(diǎn)類似于職業(yè)學(xué)校。”
然而,如果學(xué)院或大學(xué)想要提升信息安全課程的教學(xué)質(zhì)量,則需要專業(yè)人員的合作。Avecto職業(yè)服務(wù)副總裁Andrew Avanessian認(rèn)為:“大學(xué)院校與職業(yè)服務(wù)機(jī)構(gòu)和信息安全圈的關(guān)系需要加強(qiáng),信息安全業(yè)界要聯(lián)合大學(xué)院校并在技術(shù)與技能方面給予指導(dǎo)和建議,這是不斷變化的信息安全環(huán)境的需要。”
Avanessian認(rèn)為,除了獲得計(jì)算機(jī)學(xué)位以外,在安全事業(yè)的道路上還有很多途徑。比如攻讀數(shù)學(xué),或工程和管理。Bejtlich則認(rèn)為,除了學(xué)術(shù)培訓(xùn)和技術(shù)能力,還需要戰(zhàn)略性的思考,把運(yùn)營、政策和戰(zhàn)略結(jié)合起來。而后者正是大多數(shù)技術(shù)人員所缺乏的。
“戰(zhàn)略思想比技能缺口更加重要,太多的安全人員把精力浪費(fèi)到戰(zhàn)略上并不重要的事務(wù)中,這才是最大的問題。”
Kellermann也對此表示贊同。他表示俄羅斯黑客的聰明之處就在于“他們戰(zhàn)略性的思考所采取的每一步行動,如同下國際象棋,無論是進(jìn)攻方還是防守方,都會考慮8步到12步之多。”
所有的安全專家都同意,僅僅給予安全工作人員更好的培訓(xùn)是不夠的,企業(yè)中的所有員工都需要加強(qiáng)安全技術(shù)和安全意識的培訓(xùn)。
Avanessian表示:“防范攻擊的主要障礙之一就是難于操作和管理的安全戰(zhàn)略,這些戰(zhàn)略依賴于被動的檢測。因此,各機(jī)構(gòu)需要簡化戰(zhàn)略方法,提高主動性。經(jīng)常碰到一些IT部門,他們的關(guān)注點(diǎn)不在安全,而在實(shí)施最新的技術(shù)或更廣泛的解決方案上。這就迫使他們不斷的改變他們的安全部署,而安全從來就不應(yīng)該是后知后覺的。”
Cohen表示,終端用戶也是重要的安全因素,要給予終端用戶更多實(shí)際的技術(shù)培訓(xùn),包括模擬攻擊,而不僅僅是理論上的學(xué)習(xí)。
“這是一個即容易又節(jié)省成本的方法,幫助員工提高安全防范水平,杜絕系統(tǒng)中最脆弱的短板”Cohen如是說。
