每個(gè)網(wǎng)絡(luò)安全專家都應(yīng)該知道這12件事

作者：Jasmine 2019-08-28 14:28:38

正所謂 “知己知彼，百戰(zhàn)不殆”，想要贏一場漂亮的勝仗，一定要對(duì)自身和對(duì)手都具備非常充分地了解。以下就是所有安全專業(yè)人士都應(yīng)該了解的一些基礎(chǔ)問題。

如今，很少有職業(yè)需要緊隨 IT 安全的變化速度而做出改變。據(jù)統(tǒng)計(jì)，IT 從業(yè)者每年平均會(huì)遭遇 5000 到 7000 個(gè)新的軟件漏洞，去年這一數(shù)字更是飆升到了驚人的 16,555 個(gè)。這就相當(dāng)于每天，日復(fù)一日，年復(fù)一年地在你的安全防御系統(tǒng)中都會(huì)爆發(fā) 13 - 45 個(gè)新的漏洞。這就是組織 IT 環(huán)境每年面臨數(shù)以千萬計(jì)的惡意軟件威脅的原因，也是攻擊者不斷進(jìn)行攻擊嘗試的原因所在。

在這種持續(xù)不斷的威脅中，僅僅是單一的漏洞就可能會(huì)破壞組織的業(yè)務(wù)，讓其遭受聲譽(yù)和收入的雙重?fù)p失，甚至直接面臨破產(chǎn)倒閉的結(jié)局。

這并不是說你的 IT 團(tuán)隊(duì)無法成功反擊。當(dāng)然可以，而且也會(huì)實(shí)現(xiàn)。

以下是每個(gè)計(jì)算機(jī)安全專業(yè)人員想要成功應(yīng)對(duì)網(wǎng)絡(luò)攻擊都應(yīng)該知道的 12 件事：

1. 了解對(duì)手的動(dòng)機(jī)

你無法在不了解對(duì)手是誰以及他們?yōu)槭裁瘁槍?duì)你實(shí)施攻擊的情況下成功地反擊敵人。所有攻擊者都有自己的動(dòng)機(jī)和目標(biāo)，這兩件事決定了他們所做的一切以及他們的具體實(shí)踐方式。

如今，威脅你的黑客大多都有著明確的動(dòng)機(jī)(純粹出于好奇的除外)。這些攻擊大致可分為以下類別：

經(jīng)濟(jì)動(dòng)機(jī)
民族主義國家支持/網(wǎng)絡(luò)戰(zhàn)
企業(yè)間諜活動(dòng)
黑客行為主義者
資源盜取
在多人游戲中作弊

如今的攻擊者每次攻擊的方式和動(dòng)機(jī)都是不一樣的。了解他們的動(dòng)機(jī)對(duì)于應(yīng)對(duì)攻擊而言是至關(guān)重要的一步。了解攻擊者為何以及如何實(shí)現(xiàn)破解，是確定你的網(wǎng)絡(luò)究竟屬于哪個(gè)目標(biāo)類型的最佳方法，同時(shí)，這也可能提供如何擊敗對(duì)手的線索。

2. 惡意軟件的類型

惡意軟件有三種主要類型：計(jì)算機(jī)病毒、特洛伊木馬以及蠕蟲。任何惡意軟件程序都是這些類型中的一個(gè)或多個(gè)的混合體。

(1) 計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是 “指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。其必須滿足兩個(gè)條件：

它必須能自行執(zhí)行。它通常將自己的代碼置于另一個(gè)程序的執(zhí)行路徑中;
它必須能自我復(fù)制。例如，它可能用受病毒感染的文件副本替換其他可執(zhí)行文件。病毒既可以感染桌面計(jì)算機(jī)也可以感染網(wǎng)絡(luò)服務(wù)器。

(2) 木馬

特洛伊木馬指那些表面上是有用的軟件、實(shí)際目的卻是危害計(jì)算機(jī)安全并導(dǎo)致嚴(yán)重破壞的計(jì)算機(jī)程序。它是具有欺騙性的文件(宣稱是良性的，但事實(shí)上是惡意的)，是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。

所謂 “隱蔽性” 是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，會(huì)采用多種手段隱藏木馬，這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬，也難以確定其具體位置;所謂 “非授權(quán)性” 是指一旦控制端與服務(wù)端連接后，控制端將竊取到服務(wù)端的很多操作權(quán)限，如修改文件，修改注冊(cè)表，控制鼠標(biāo)，鍵盤，竊取信息等等。

特洛伊木馬與病毒的重大區(qū)別是特洛伊木馬不具傳染性，它并不能像病毒那樣復(fù)制自身，也并不 “刻意” 地去感染其他文件，它主要通過將自身偽裝起來，吸引用戶下載執(zhí)行。

(3) 蠕蟲

蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等，同時(shí)具有自己的一些特征，如不利用文件寄生(有的只存在于內(nèi)存中)，對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等。

了解這些惡意軟件的基本類別非常重要，這樣當(dāng)你檢測出惡意軟件程序時(shí)，你就可以一同對(duì)最有可能的入侵場景進(jìn)行解析。這不僅可以幫助你了解在何處查找惡意軟件程序的來源，而且可以了解它可能會(huì)進(jìn)一步傳播的位置。

3. 根本漏洞類型

每年，IT 安全專業(yè)人員都面臨著數(shù)千個(gè)新的軟件漏洞和數(shù)百萬個(gè)不同的惡意軟件程序，但只有 12 種根本漏洞會(huì)讓這些軟件漏洞和惡意軟件程序攻擊你的設(shè)備。了解這些根本原因，你就可以阻止黑客攻擊和惡意軟件。以下是十二種根本漏洞：

零日攻擊——又叫零時(shí)差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。通俗地講，即安全補(bǔ)丁與漏洞曝光的同一日內(nèi)，相關(guān)的惡意程序就出現(xiàn)。這種攻擊往往具有很大的突發(fā)性與破壞性;
未修補(bǔ)的軟件——研究表明，未修補(bǔ)的漏洞是大多數(shù)數(shù)據(jù)泄露的根源。未修補(bǔ)的軟件或未更新的軟件可能是主要的IT安全風(fēng)險(xiǎn)。如果您不更新軟件，則會(huì)讓您容易受到攻擊者攻擊。一旦(安全)更新可用于軟件包，攻擊者就會(huì)針對(duì)尚未更新的軟件包。在現(xiàn)實(shí)中，許多公司并不總是立即更新他們的瀏覽器，即使這附帶了很大的風(fēng)險(xiǎn);
惡意軟件——指在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、蠕蟲和特洛伊木馬的程序，通過破壞軟件進(jìn)程來實(shí)施控制。惡意軟件由多種威脅組成，會(huì)不斷彈出，需要采取多種方法和技術(shù)來進(jìn)行反病毒保護(hù);
社交工程學(xué)——社會(huì)工程學(xué)是一種利用人的弱點(diǎn)如人的本能反應(yīng)、好奇心、信任、貪便宜等弱點(diǎn)進(jìn)行諸如欺騙、傷害等危害手段，獲取自身利益的手法。現(xiàn)實(shí)中運(yùn)用社會(huì)工程學(xué)的犯罪很多。短信詐騙如詐騙銀行信用卡號(hào)碼，電話詐騙如以知名人士的名義去推銷詐騙等，都運(yùn)用到社會(huì)工程學(xué)的方法;
密碼攻擊——嘗試獲取或解密用戶的密碼以供非法使用。黑客可以在密碼攻擊中使用破解程序，字典攻擊和密碼嗅探器;
竊聽/MITM(中間人攻擊)——一種 “間接” 的入侵攻擊，這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的一臺(tái)計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺(tái)通信計(jì)算機(jī)之間，這臺(tái)計(jì)算機(jī)就稱為 “中間人”。在網(wǎng)絡(luò)安全方面，MITM 攻擊的使用是很廣泛的，曾經(jīng)猖獗一時(shí)的 SMB 會(huì)話劫持、DNS 欺騙等技術(shù)都是典型的 MITM 攻擊手段;
數(shù)據(jù)泄露——數(shù)據(jù)泄露是一種安全事件，其中敏感，受保護(hù)或機(jī)密數(shù)據(jù)被未經(jīng)授權(quán)的個(gè)人復(fù)制，傳輸，查看，竊取或使用。數(shù)據(jù)泄露可能涉及財(cái)務(wù)信息，如信用卡或銀行詳細(xì)信息，個(gè)人健康信息 (PHI)，個(gè)人身份信息 (PII)，公司的商業(yè)秘密或知識(shí)產(chǎn)權(quán);
配置錯(cuò)誤——如果組件由于不安全的配置選項(xiàng)而容易受到攻擊，則可能會(huì)發(fā)生安全性錯(cuò)誤配置漏洞。這些漏洞通常是由于不安全的默認(rèn)配置，缺乏文檔的默認(rèn)配置或可選配置的文檔記錄不良而導(dǎo)致的。這可能包括未能在 Web 服務(wù)器上設(shè)置有用的安全標(biāo)頭，以及忘記禁用可授予攻擊者管理訪問權(quán)限的默認(rèn)平臺(tái)功能;
拒絕服務(wù)——攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)，是黑客常用的攻擊手段之一。其實(shí)對(duì)網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分，只要能夠?qū)δ繕?biāo)造成麻煩，使某些服務(wù)被暫停甚至主機(jī)死機(jī)，都屬于拒絕服務(wù)攻擊;
內(nèi)部人士/合伙人/顧問/供應(yīng)商/第三方——這是一種內(nèi)部威脅，是指前員工或現(xiàn)員工，有權(quán)限訪問組織的網(wǎng)絡(luò)系統(tǒng)，數(shù)據(jù)等信息的承包商或業(yè)務(wù)合作伙伴有意或無意的利用這種機(jī)會(huì)來竊取機(jī)密，破壞組織網(wǎng)絡(luò)系統(tǒng)的完整性或可用性;
用戶錯(cuò)誤——同樣屬于一種內(nèi)部威脅;
物理訪問——指的是人們物理訪問計(jì)算機(jī)系統(tǒng)的能力。通過對(duì)辦公室的物理訪問，知識(shí)淵博的攻擊者將很快能夠找到訪問該組織的計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)所需的信息;

你可能對(duì)每個(gè)類別都不陌生，但這并不意味著一切是容易實(shí)現(xiàn)的。

4. 密碼學(xué)和數(shù)據(jù)保護(hù)

數(shù)字密碼學(xué)是一門藝術(shù)，它可以使信息安全免受未經(jīng)授權(quán)的訪問和修改。每個(gè) IT 安全專業(yè)人員都應(yīng)該學(xué)習(xí)加密技術(shù)的基礎(chǔ)知識(shí)，其中包括非對(duì)稱加密、對(duì)稱加密、散列，以及密鑰分發(fā)和保護(hù)等。

數(shù)據(jù)保護(hù)需要大量的加密技術(shù)。而數(shù)據(jù)的完整性保護(hù)還要求以合法方式收集和使用數(shù)據(jù)，保護(hù)隱私內(nèi)容免受未經(jīng)授權(quán)的訪問，同時(shí)確保安全備份有能力防止惡意篡改并實(shí)現(xiàn)可用性。

如今，法律對(duì)于數(shù)據(jù)保護(hù)的要求正變得越來越嚴(yán)格，例如歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR) 的推出。作為 IT 安全從業(yè)者，你必須跟上量子計(jì)算機(jī)的進(jìn)程，并充分了解其破解現(xiàn)代公鑰加密的能力。在接下來的 10 年或更短時(shí)間內(nèi)，你可能需要被迫將自己習(xí)慣的公鑰密碼(例如RSA、Diffie-Hellman等)全部轉(zhuǎn)換為叫做 “抗量子” (post-quantum) 密碼的密碼術(shù)。全世界都在為此做準(zhǔn)備，包括美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST)。所以，不要告訴我，你還沒有意識(shí)到這一即將發(fā)生的巨大變化。

5. 網(wǎng)絡(luò)和網(wǎng)絡(luò)數(shù)據(jù)包分析

其實(shí)，識(shí)別團(tuán)隊(duì)中真正優(yōu)秀的 IT 安全專業(yè)人員并不難，觀察他們是否能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析即可。真正優(yōu)秀的 IT 安全專業(yè)人員應(yīng)該能夠熟練地使用網(wǎng)絡(luò)基礎(chǔ)知識(shí)，例如協(xié)議、端口編號(hào)、網(wǎng)絡(luò)地址、OSI 模型層、路由器和交換機(jī)之間的區(qū)別，并且能夠讀取和理解網(wǎng)絡(luò)包內(nèi)所有不同字段的實(shí)際用途。

總而言之，理解網(wǎng)絡(luò)數(shù)據(jù)包分析是為了真正了解網(wǎng)絡(luò)和使用它們的計(jì)算機(jī)。

6. 基礎(chǔ)性常規(guī)防御

幾乎每臺(tái)計(jì)算機(jī)都有常規(guī)的基礎(chǔ)防御機(jī)制，優(yōu)秀的IT專業(yè)人員會(huì)盡可能地考慮和應(yīng)用這些方法來實(shí)現(xiàn)最佳的保護(hù)效果。以下是計(jì)算機(jī)安全的 “標(biāo)準(zhǔn)”，具體包括：

補(bǔ)丁管理
終端用戶培訓(xùn)
防火墻
殺毒軟件
安全配置
加密/解密
身份驗(yàn)證機(jī)制
入侵檢測
日志記錄

理解和使用這些常規(guī)性的IT基礎(chǔ)安全防御機(jī)制是每位IT安全專業(yè)人員必備的技能。但除了簡單地了解其功能之外，還要弄清楚其擅長執(zhí)行哪些任務(wù)以及缺乏哪些保護(hù)能力等。

7. 認(rèn)證基礎(chǔ)知識(shí)

安全專業(yè)人員都知道，身份驗(yàn)證不僅僅是輸入有效密碼或滿足雙因素 ID 測試的過程。它還涉及更多細(xì)節(jié)。身份驗(yàn)證從為任何命名空間提供唯一有效身份標(biāo)簽的過程開始，例如電子郵件地址、用戶主體名稱或登錄名。

認(rèn)證的本質(zhì)，是提供僅由有效身份持有者及其認(rèn)證數(shù)據(jù)庫/服務(wù)所知的一個(gè)或多個(gè) “秘密” 信息的過程。當(dāng)有效身份證持有者輸入正確的身份驗(yàn)證因素時(shí)，即證明通過身份驗(yàn)證的用戶是該身份的有效持有者。然后，在成功進(jìn)行身份驗(yàn)證之后，嘗試訪問受保護(hù)資源將由稱為授權(quán)的安全管理器進(jìn)行檢查。所有登錄和訪問嘗試應(yīng)記錄到日志文件中。

與安全領(lǐng)域的其他所有事物一樣，身份認(rèn)證也正在不斷發(fā)展完善。其中一個(gè)較新的概念，同時(shí)也是我認(rèn)為最有可能保留的概念之一是持續(xù)性用戶身份認(rèn)證，在這種認(rèn)證機(jī)制中，記錄用戶執(zhí)行的所有操作都會(huì)根據(jù)已建立的模式不斷重新評(píng)估。

8. 移動(dòng)威脅

如今，全球的移動(dòng)設(shè)備數(shù)量已經(jīng)超過了全球人口總數(shù)，而且大多數(shù)人習(xí)慣通過移動(dòng)設(shè)備獲取大部分日常信息。鑒于人類的移動(dòng)通信能力只可能不斷提高，因此IT安全專業(yè)人員需要認(rèn)真對(duì)待移動(dòng)設(shè)備、移動(dòng)威脅以及移動(dòng)安全性等問題。目前最主要的移動(dòng)威脅包括：

移動(dòng)惡意軟件
間諜軟件
數(shù)據(jù)或憑證竊取
圖片竊取
勒索軟件
網(wǎng)絡(luò)釣魚攻擊
不安全的無線網(wǎng)絡(luò)

對(duì)于大多數(shù)移動(dòng)威脅來說，威脅移動(dòng)設(shè)備或計(jì)算機(jī)沒有太大區(qū)別。但是，兩者間還是存在一些不同之處的，你需要知道它是什么。任何不熟悉移動(dòng)設(shè)備細(xì)節(jié)的IT專業(yè)人員都應(yīng)該盡快開始了解。

9. 云計(jì)算安全

流行問答：有哪四個(gè)因素使得云計(jì)算安全性比傳統(tǒng)網(wǎng)絡(luò)更復(fù)雜?

每位IT專業(yè)人員都應(yīng)該能夠輕松通過這項(xiàng)測試。

其答案是：

缺乏控制能力
始終暴露在互聯(lián)網(wǎng)上
多租戶(共享服務(wù)/服務(wù)器)模式
虛擬化/容器化/微服務(wù)

有趣的是，云所真正代表的實(shí)際是 “其他人的計(jì)算機(jī)”，以及由此帶來的一切風(fēng)險(xiǎn)。傳統(tǒng)的企業(yè)管理員無法控制用于在云中存儲(chǔ)敏感數(shù)據(jù)和服務(wù)用戶的服務(wù)器、服務(wù)和基礎(chǔ)設(shè)施。因此，你必須寄希望于云服務(wù)供應(yīng)商，相信他們的安全團(tuán)隊(duì)正在履行其職責(zé)。云基礎(chǔ)架構(gòu)幾乎都是多租戶模式，通過虛擬化和最新興起的微服務(wù)及容器化開發(fā)而來，因此我們很難將不同客戶的數(shù)據(jù)區(qū)分開來。一些人認(rèn)為，這樣做有助于使安全性更容易實(shí)現(xiàn)，但每一項(xiàng)開發(fā)通常都會(huì)使基礎(chǔ)設(shè)施更加復(fù)雜，而復(fù)雜性和安全性通常存在相互沖突的關(guān)系。

10. 事件記錄

年復(fù)一年，安全研究表明，最易被忽視的安全事件其實(shí)一直存在于日志文件中。你所要做的就是查看事件記錄。良好的事件日志系統(tǒng)是具有價(jià)值的，優(yōu)秀的 IT 專業(yè)人員應(yīng)該知道如何設(shè)置以及何時(shí)進(jìn)行查詢。

以下是事件記錄的基本執(zhí)行步驟，每個(gè) IT 安全專業(yè)人員都應(yīng)該熟練掌握：

政策
配置
事件日志收集
規(guī)范化
索引
存儲(chǔ)
相關(guān)性
基線
警報(bào)
報(bào)告

11. 事件響應(yīng)

最終，每個(gè) IT 環(huán)境可能都會(huì)遭遇安全防御失敗的狀況。不知何故，黑客或者由此創(chuàng)建的惡意軟件總能找到可乘之機(jī)，隨之而來的就是嚴(yán)重的負(fù)面后果。因此，一位優(yōu)秀的 IT 專業(yè)人員需要對(duì)此準(zhǔn)備就緒，并制定事件響應(yīng)計(jì)劃，該計(jì)劃最好能夠立即付諸實(shí)施。良好的事件響應(yīng)至關(guān)重要，這可能最終決定著我們的企業(yè)形象甚至商業(yè)生命能否延續(xù)。事件響應(yīng)的基礎(chǔ)包括：

及時(shí)有效地做出響應(yīng)
限制傷害范圍
進(jìn)行取證分析
識(shí)別威脅
溝通
限制后續(xù)傷害
承認(rèn)經(jīng)驗(yàn)教訓(xùn)

12. 威脅教育和溝通

大多數(shù)威脅都是眾所周知并且經(jīng)常發(fā)生的。從最終用戶到高級(jí)管理層和董事會(huì)的每個(gè)利益相關(guān)者都需要了解當(dāng)前針對(duì)貴公司的最大威脅，以及您為了阻止他們所采取的措施。您面臨的一些威脅，例如社會(huì)工程攻擊，只能通過員工安全意識(shí)培訓(xùn)來阻止。因此，良好的溝通能力通常是將優(yōu)秀的 IT 專業(yè)人員與普通人員區(qū)分開來的評(píng)判因素。

溝通是一項(xiàng)重要的 IT 安全專業(yè)技能。但是，不能簡單地依靠員工自己的個(gè)性和魅力，因?yàn)闇贤ㄊ峭ㄟ^各種方法進(jìn)行的，其中包括：面對(duì)面交談、書面文檔、電子郵件、在線學(xué)習(xí)模塊、新聞通訊、測試和模擬網(wǎng)絡(luò)釣魚。

無論你部署什么類型的技術(shù)控制措施，可能都躲不過攻擊活動(dòng)的侵?jǐn)_。因此，請(qǐng)確保利益相關(guān)者為此做好準(zhǔn)備。至少，你的教育計(jì)劃應(yīng)該涵蓋以下項(xiàng)目：