即使計(jì)算機(jī)安全防御專家也難以區(qū)分真正的威脅和假警報(bào)。這里列出應(yīng)該避免的3種關(guān)鍵卻又普遍的錯(cuò)誤。

[[133203]]

計(jì)算機(jī)安全人員在防御這件事上是出了名的不成功。原因很多，不僅僅是因?yàn)樗麄円袚?dān)所有的責(zé)任卻又沒有足夠的權(quán)限。

用戶總是義無反顧地?zé)o視他們收到的好建議，甚至努力繞過安全控制。但是，在當(dāng)今這混亂的計(jì)算機(jī)安全狀況下，責(zé)備他人的行為總是再容易不過。

考察一下修復(fù)程序，修補(bǔ)崩潰系統(tǒng)的第一步就是要承擔(dān)你自己的責(zé)任。在我看來，計(jì)算機(jī)安全最大的問題之一就是防御者不能正確地評估風(fēng)險(xiǎn)。他們將太多較低的風(fēng)險(xiǎn)列為了高風(fēng)險(xiǎn)，而太多的高風(fēng)險(xiǎn)又被認(rèn)為是不需要關(guān)注的。

有3個(gè)原因可以解釋為什么計(jì)算機(jī)安全防御者總是做出錯(cuò)誤的判定。總的來說，這幾點(diǎn)解釋了為什么大多數(shù)公司把大部分IT預(yù)算花在了根本不能使他們免于受到侵害的項(xiàng)目上。

1. 混淆了媒體炒作和真正的風(fēng)險(xiǎn)

當(dāng)企業(yè)被媒體對最新漏洞鋪天蓋地的報(bào)道所淹沒，誰能責(zé)備我們對之投以關(guān)注?這就是事實(shí)真相。今天的威脅總是伴隨著媒體熱炒，甚至還有它們自己的標(biāo)識。要無視它們真心太難——不過大多數(shù)時(shí)候我們真的應(yīng)該無視之。

舉個(gè)絕佳的例子：任何網(wǎng)絡(luò)攻擊都需要黑客預(yù)先進(jìn)行多種多樣、單獨(dú)的、成功的攻擊鋪墊。復(fù)雜性不只是防御者的敵人。通常，媒體報(bào)道中根本不會提到這些必要的先決條件——或者只是一帶而過，就好像這些復(fù)雜的攻擊準(zhǔn)備非常容易實(shí)現(xiàn)。

比如說，你可能聽說過這樣的一次網(wǎng)絡(luò)攻擊：攻擊者必須首先用中間人攻擊進(jìn)行掩護(hù)才能夠開始實(shí)施下一波攻擊。幾年之前，很多黑客工具讓中間人攻擊相當(dāng)容易達(dá)成。只需要連上網(wǎng)絡(luò)，點(diǎn)擊一個(gè)按鈕，嗖的一下你就成了網(wǎng)絡(luò)之主——通常是用ARP投毒實(shí)現(xiàn)的。

但是，在今天，公司網(wǎng)絡(luò)系統(tǒng)通常會采用網(wǎng)絡(luò)設(shè)備抵御ARP投毒攻擊，中間人攻擊已經(jīng)很難在這些系統(tǒng)中成功實(shí)施了。即使攻擊者僥幸成功，他們也常常會造成太多計(jì)劃外的破壞而導(dǎo)致公司網(wǎng)絡(luò)維護(hù)團(tuán)隊(duì)最終重啟網(wǎng)絡(luò)以解決問題，顯然，中間人重路由挺不過網(wǎng)絡(luò)重啟這種終極大招。

2. 沒聚焦到問題根源

攻擊發(fā)生后，防御者的重點(diǎn)常常放在了攻擊者侵入之后做了什么，而不是他們最開始是怎么突破防御的。確實(shí)，我們需要評估損失并確保攻擊者被驅(qū)離。但我們也應(yīng)該至少將同樣的精力，投放在判定黑客是怎樣獲取到訪問權(quán)的，并保證此類漏洞不會被再次利用。

哈希傳遞攻擊是個(gè)不錯(cuò)的例子。這種攻擊中，攻擊者必須首先獲取有根用戶、本地管理員用戶或者域管理員用戶安全上下文的系統(tǒng)訪問權(quán)。一旦他們獲取到此類提升的安全權(quán)限，他們幾乎能在系統(tǒng)中暢通無阻為所欲為。世界盡在他們掌握。我們也許可以完全阻止哈希傳遞攻擊，但我們絲毫阻止不了攻擊者。他們能做任何他們想做的事。防得了一次防不住第二次，他們會改變方式卷土重來。

在壞人拿到你的管理員帳戶后擔(dān)心哈希傳遞攻擊就像是擔(dān)心偷你車的小偷會不會善待你的剎車似的。

3. 沒向管理層匯報(bào)真正的風(fēng)險(xiǎn)

經(jīng)常聽到人們抱怨說高級管理層沒有真正支持IT安全團(tuán)隊(duì)或者給他們履職盡責(zé)所需的工具和資源。大多數(shù)情況下，這不過是逃避責(zé)任的借口。IT安全團(tuán)隊(duì)沒有與管理層共享正確的信息倒是更為典型的癥狀。

我還從未見過哪個(gè)高管在明確知悉各種風(fēng)險(xiǎn)及各風(fēng)險(xiǎn)優(yōu)先級的情況下不給安全部門大開綠燈的。然而不幸的是，大多數(shù)IT安全部門總是將一堆“No.1”風(fēng)險(xiǎn)擺在管理層面前，向管理層索要一堆各不相同的“高優(yōu)先級”項(xiàng)目的資金支持。然后，IT安全團(tuán)隊(duì)坐一邊百思不得其解，“為什么我們真正的No.1威脅沒能有效解決呢?”

這么說吧，如果沒打補(bǔ)丁的軟件是你的首要問題(多數(shù)公司里，最高級別的威脅與少量沒打補(bǔ)丁的程序有關(guān))，如果你毫不含糊地向你的高級管理層解釋清楚了這一點(diǎn)，管理層將會給你專注于打補(bǔ)丁的權(quán)限和工具的。

計(jì)算機(jī)安全防御從來都不是件容易的事。我們面對的是一大堆棘手的問題和風(fēng)險(xiǎn)。但如果我們不能正確評估威脅，不能向高級管理層傳達(dá)必要的有用的信息，安全防御就是句空話。

原文地址：http://www.aqniu.com/neo-points/7582.html