即使計算機安全防禦專家也難以區分真正的威脅和假警報。這裡列出應該避免的3種關鍵卻又普遍的錯誤。
計算機安全人員在防禦這件事上是出了名的不成功。原因很多,不僅僅是因為他們要承擔所有的責任卻又沒有足夠的權限。
使用者總是義無反顧地無視他們收到的好建議,甚至努力繞過安全控制。但是,在當今這混亂的計算機安全狀況下,責備他人的行為總是再容易不過。
考察一下修複程式,修補崩潰系統的第一步就是要承擔你自己的責任。在我看來,計算機安全最大的問題之一就是防禦者不能正确地評估風險。他們将太多較低的風險列為了高風險,而太多的高風險又被認為是不需要關注的。
有3個原因可以解釋為什麼計算機安全防禦者總是做出錯誤的判定。總的來說,這幾點解釋了為什麼大多數公司把大部分it預算花在了根本不能使他們免于受到侵害的項目上。
1. 混淆了媒體炒作和真正的風險
當企業被媒體對最新漏洞鋪天蓋地的報道所淹沒,誰能責備我們對之投以關注?這就是事實真相。今天的威脅總是伴随着媒體熱炒,甚至還有它們自己的辨別。要無視它們真心太難——不過大多數時候我們真的應該無視之。
舉個絕佳的例子:任何網絡攻擊都需要黑客預先進行多種多樣、單獨的、成功的攻擊鋪墊。複雜性不隻是防禦者的敵人。通常,媒體報道中根本不會提到這些必要的先決條件——或者隻是一帶而過,就好像這些複雜的攻擊準備非常容易實作。
比如說,你可能聽說過這樣的一次網絡攻擊:攻擊者必須首先用中間人攻擊進行掩護才能夠開始實施下一波攻擊。幾年之前,很多黑客工具讓中間人攻擊相當容易達成。隻需要連上網絡,點選一個按鈕,嗖的一下你就成了網絡之主——通常是用arp投毒實作的。
但是,在今天,公司網絡系統通常會采用網絡裝置抵禦arp投毒攻擊,中間人攻擊已經很難在這些系統中成功實施了。即使攻擊者僥幸成功,他們也常常會造成太多計劃外的破壞而導緻公司網絡維護團隊最終重新開機網絡以解決問題,顯然,中間人重路由挺不過網絡重新開機這種終極大招。
2. 沒聚焦到問題根源
攻擊發生後,防禦者的重點常常放在了攻擊者侵入之後做了什麼,而不是他們最開始是怎麼突破防禦的。确實,我們需要評估損失并確定攻擊者被驅離。但我們也應該至少将同樣的精力,投放在判定黑客是怎樣擷取到通路權的,并保證此類漏洞不會被再次利用。
哈希傳遞攻擊是個不錯的例子。這種攻擊中,攻擊者必須首先擷取有根使用者、本地管理者使用者或者域管理者使用者安全上下文的系統通路權。一旦他們擷取到此類提升的安全權限,他們幾乎能在系統中暢通無阻為所欲為。世界盡在他們掌握。我們也許可以完全阻止哈希傳遞攻擊,但我們絲毫阻止不了攻擊者。他們能做任何他們想做的事。防得了一次防不住第二次,他們會改變方式卷土重來。
在壞人拿到你的管理者帳戶後擔心哈希傳遞攻擊就像是擔心偷你車的小偷會不會善待你的刹車似的。
3. 沒向管理層彙報真正的風險
經常聽到人們抱怨說進階管理層沒有真正支援it安全團隊或者給他們履職盡責所需的工具和資源。大多數情況下,這不過是逃避責任的借口。it安全團隊沒有與管理層共享正确的資訊倒是更為典型的症狀。
我還從未見過哪個高管在明确知悉各種風險及各風險優先級的情況下不給安全部門大開綠燈的。然而不幸的是,大多數it安全部門總是将一堆“no.1”風險擺在管理層面前,向管理層索要一堆各不相同的“高優先級”項目的資金支援。然後,it安全團隊坐一邊百思不得其解,“為什麼我們真正的no.1威脅沒能有效解決呢?”
這麼說吧,如果沒打更新檔的軟體是你的首要問題(多數公司裡,最進階别的威脅與少量沒打更新檔的程式有關),如果你毫不含糊地向你的進階管理層解釋清楚了這一點,管理層将會給你專注于打更新檔的權限和工具的。
計算機安全防禦從來都不是件容易的事。我們面對的是一大堆棘手的問題和風險。但如果我們不能正确評估威脅,不能向進階管理層傳達必要的有用的資訊,安全防禦就是句空話。
作者:nana
來源:51cto