Roger Grimes

知己知彼，百戰(zhàn)不殆。本文介紹的是所有安全專家都應(yīng)該知道的一些基本知識。

再老練的專業(yè)人員也很難跟上IT安全領(lǐng)域的快速變化。從業(yè)人員每年平均面臨5000到7000個新的軟件漏洞。去年這個數(shù)字是令人吃驚的16555。這意味著企業(yè)的防御系統(tǒng)每天會出現(xiàn)13～45處新漏洞，而且是日復(fù)一日，年復(fù)一年。更重要的是，每年還有數(shù)千萬個獨特的惡意軟件程序威脅著企業(yè)的IT環(huán)境，而所有的人類犯罪分子還在不停地干著壞事。

在這不斷涌現(xiàn)的威脅中，一次小小的失誤就會讓你損失慘重，企業(yè)曝光在媒體焦點下，也會導(dǎo)致收入下降，員工被解雇。

這并不是說你沒有成功反擊的機會。當(dāng)然有，而且一定會有。

本文介紹了每一位計算機安全專業(yè)人士都應(yīng)該知道的12個要點，以贏得這場安全戰(zhàn)斗。

1.對手的動機

如果你不了解犯罪分子，不知道他們?yōu)槭裁炊⑸狭四?，你就不可能打贏他們。所有攻擊者都有自己的動機和目標(biāo)，這促使著他們?nèi)ジ蓧氖?，以及怎樣干?/p>

今天，那些給企業(yè)帶來威脅的黑客有著強烈的動機。大多數(shù)都屬于以下類別之一：

金融

民族國家支持的網(wǎng)絡(luò)戰(zhàn)

商業(yè)間諜活動

黑客分子

資源盜竊

多人游戲作弊

即使是當(dāng)今的犯罪分子，每次攻擊都是不一樣的。理解他們的動機是解決他們的關(guān)鍵所在。給自己的所作所為問個“為什么”。這是確定網(wǎng)絡(luò)上被攻擊目標(biāo)類型的最佳方法。這還能提供怎樣擊敗犯罪分子的線索。

2.惡意軟件類型

有三類主要的惡意軟件：計算機病毒、特洛伊木馬和蠕蟲。任何惡意軟件程序都是這三類中的一個或者多個的組合。

計算機病毒是一種惡意軟件程序，它把自己駐留在其他程序、文件和數(shù)字存儲中進行復(fù)制。特洛伊木馬是一種惡意軟件程序，聲稱自己是合法的，欺騙人們?nèi)ミ\行它。特洛伊木馬不會自我復(fù)制;它借助于人類的好奇心來傳播。蠕蟲是一種自我復(fù)制的程序，使用代碼來傳播自己。它不需要其他主機程序或者文件。

了解這些惡意軟件的基本類別是很重要的，這樣，當(dāng)你發(fā)現(xiàn)了一個惡意軟件程序時，就可以分析出在哪些場景下，它最有可能進入你的系統(tǒng)。這將幫助你知道在哪里查找惡意軟件的來源，并了解它能進一步傳播到何處。

3.基本漏洞

每年IT安全專業(yè)人員都會面臨數(shù)千個新的軟件漏洞和數(shù)百萬個獨特的惡意軟件程序，然而，某人的環(huán)境之所以被入侵還在于12種不同的基本漏洞。停止基本漏洞攻擊，將能夠阻止黑客和惡意軟件。下面是10種類型的基本漏洞：

編程漏洞

社會工程攻擊

身份驗證攻擊

人為錯誤

配置錯誤

竊聽/中間人（MITM）

數(shù)據(jù)/網(wǎng)絡(luò)數(shù)據(jù)流畸形

內(nèi)部攻擊

第三方依賴問題

物理攻擊

這一切都不應(yīng)該陌生，但并不意味著很容易防御。

4.加密和數(shù)據(jù)保護

數(shù)字密碼學(xué)是一門保護信息不被未經(jīng)授權(quán)訪問和修改的藝術(shù)。每名IT安全專業(yè)人員都應(yīng)該學(xué)習(xí)密碼學(xué)的基礎(chǔ)知識，包括不對稱加密、對稱加密、哈希以及密鑰分發(fā)和保護等。

數(shù)據(jù)保護需要大量的密碼學(xué)知識。全面的數(shù)據(jù)保護還要求合法地收集并使用數(shù)據(jù)，保護其隱私不被未經(jīng)授權(quán)的訪問，并安全地備份數(shù)據(jù)，以防止惡意修改，保證數(shù)據(jù)的可用性。法律對數(shù)據(jù)保護的要求越來越高。（極客們有一個很好的密碼基礎(chǔ)教程。）

閱讀這本書的時候，你應(yīng)該了解一些量子計算機的知識，知道其破解現(xiàn)代公共密鑰加密的能力。在未來的10年甚至更短的時間里，你有可能被迫把自己使用的所有公鑰密碼（例如，RSA、Diffie-Hellman等）轉(zhuǎn)移到稱為后量子密碼的密碼技術(shù)中。包括美國國家標(biāo)準(zhǔn)與技術(shù)研究所在內(nèi)，全世界都在為此舉做好準(zhǔn)備。不要對即將到來的巨變漠不關(guān)心。

5.網(wǎng)絡(luò)和網(wǎng)絡(luò)數(shù)據(jù)包分析

只有那些從數(shù)據(jù)包層面上理解網(wǎng)絡(luò)的員工才是部門中真正優(yōu)秀的IT安全專業(yè)人員。他們熟悉網(wǎng)絡(luò)基礎(chǔ)知識，例如，協(xié)議、端口號、網(wǎng)絡(luò)地址、OSI模型的分層、路由器和交換機之間的差異，并且能夠讀取網(wǎng)絡(luò)數(shù)據(jù)包的所有不同字段，知道這些字段是干什么用的。

理解了網(wǎng)絡(luò)數(shù)據(jù)包分析才真正的理解網(wǎng)絡(luò)以及網(wǎng)絡(luò)上的計算機。Geeksforgeeks有一個關(guān)于網(wǎng)絡(luò)基礎(chǔ)的快速教程，Vice有一個關(guān)于網(wǎng)絡(luò)數(shù)據(jù)包分析的快速入門課程。

6.基本的共同防御

幾乎每臺計算機都有共同的基本防御措施，這是IT專業(yè)人士考慮并加以應(yīng)用的好方法。這些是計算機安全的“標(biāo)準(zhǔn)”。它們包括：

補丁管理

最終用戶培訓(xùn)

防火墻

防病毒

安全配置

加密/密碼

身份驗證

入侵檢測

日志記錄

理解和使用基本的通用IT安全防御措施對于每個IT安全專業(yè)人員來說都是必須的。但不要停留在簡單地理解這些措施。還要知道這些措施擅長阻止什么，不擅長干什么。

7.身份驗證基礎(chǔ)

最優(yōu)秀的安全專業(yè)人員知道身份驗證不僅僅是輸入有效密碼或者滿足雙重身份測試的過程。涉及的遠不止這些。身份驗證這一過程首先是為任何命名空間（例如電子郵件地址、用戶主體名稱和登錄名）提供唯一、有效的身份標(biāo)識。

身份驗證是提供一個或者多個僅由有效身份持有人及其處理器數(shù)據(jù)庫/服務(wù)所知道的“秘密”的過程。當(dāng)有效身份持有人輸入正確的身份驗證信息時，這就證明了經(jīng)過身份驗證的用戶是該身份的有效所有者。經(jīng)過了成功的身份驗證之后，用戶試圖訪問受保護資源時，被稱為授權(quán)的安全管理器進程會對其進行檢查。所有登錄和訪問嘗試都應(yīng)被記錄在日志文件中。

與其他安全措施一樣，身份驗證也在不斷發(fā)展。一種最新的概念，也是我認(rèn)為最有可能被接受的概念之一，是連續(xù)用戶身份驗證，在這種驗證中，都會按照既定的模式不斷地重新評估登錄用戶所做的每一件事。

8.移動威脅

現(xiàn)在移動設(shè)備比地球上的人還多，很多人通過移動設(shè)備獲取他們的大部分信息。由于人類的移動能力只會增加，因此IT安全專業(yè)人員應(yīng)認(rèn)真對待移動設(shè)備、移動威脅和移動安全。最主要的移動威脅包括：

移動領(lǐng)域的惡意軟件

隱私侵犯/盜竊

勒索軟件

網(wǎng)絡(luò)釣魚攻擊

間諜軟件

數(shù)據(jù)或者憑據(jù)盜竊

圖片盜竊

不安全的無線

移動威脅和計算機威脅通常沒有太大的區(qū)別，但也有一些不同。一名優(yōu)秀的IT專業(yè)人員應(yīng)該掌握以上這些。

9.云安全

流行問答：哪四種因素使得云安全比傳統(tǒng)網(wǎng)絡(luò)更復(fù)雜？

每名IT專業(yè)人員都應(yīng)該能夠輕松的通過這一測試。

答案是：

缺乏控制

始終掛在網(wǎng)上

多租戶（共享服務(wù)/服務(wù)器）

虛擬化/容器化/微服務(wù)

開玩笑的是，云實際上意味著“其他人的計算機”以及由此帶來的所有風(fēng)險。傳統(tǒng)的企業(yè)管理員不再控制用于存儲敏感數(shù)據(jù)和服務(wù)于用戶的服務(wù)器、服務(wù)和基礎(chǔ)設(shè)施。你不得不相信云供應(yīng)商的安全部門能夠盡職盡責(zé)。云基礎(chǔ)設(shè)施幾乎總是多租戶架構(gòu)，虛擬化以及最近的容器化和微服務(wù)開發(fā)使得不同客戶的數(shù)據(jù)分離變得更加復(fù)雜。一些人宣稱這是一種更易于實施安全措施的方法，而每一次發(fā)展通常都會使基礎(chǔ)設(shè)施變得更加復(fù)雜。而且，復(fù)雜性和安全性一般不會兩全其美。

10.事件日志記錄

年復(fù)一年，研究表明，最容易被漏掉的安全事件其實一直都在日志文件中，就在那里等著被發(fā)現(xiàn)，你所要做的就是仔細查看。一個好的事件日志系統(tǒng)是物超所值的，一名優(yōu)秀的IT專業(yè)人員知道怎樣設(shè)置以及何時查看它。

以下是事件日志記錄的基本步驟，每名IT安全專業(yè)人員都應(yīng)該知道：

政策

配置

事件日志收集

歸一化

索引

存儲

相關(guān)

基線

報警

報告

11.事件響應(yīng)

最終，每一IT環(huán)境都會遭遇防御失敗?？傊?，黑客或者他們創(chuàng)新的惡意軟件最后還是攻破了防御。自然的，災(zāi)難隨之而來。優(yōu)秀的IT專業(yè)人員對此準(zhǔn)備好了事件響應(yīng)計劃，會立即付諸行動。良好的事件響應(yīng)至關(guān)重要。這可能是一件毀了你一天的事情，也可能是一件讓你的企業(yè)名譽掃地的事情?；镜氖录憫?yīng)包括：

及時有效地作出反應(yīng)

限制損害

進行取證分析

識別威脅

通信

限制未來的損害

承認(rèn)經(jīng)驗教訓(xùn)

12.威脅教育與溝通

大部分威脅都是眾所周知的，并且經(jīng)常出現(xiàn)。從最終用戶到高級管理層和董事會的每一位相關(guān)者都需要了解當(dāng)前對自己公司的最大威脅，以及怎樣阻止這些威脅。你面臨的一些威脅，比如社會工程攻擊，只能通過加強對公司員工的教育來阻止。因此，溝通能力往往是優(yōu)秀的IT專業(yè)人員不同于平庸的IT專業(yè)人員的關(guān)鍵因素。

無論部署什么技術(shù)控制措施，每年總會有破例。所以，一定要讓公司的相關(guān)者都做好準(zhǔn)備。至少，你的教育計劃應(yīng)包括以下項目：

對企業(yè)最有可能、最重要的威脅和風(fēng)險

可接受的應(yīng)用

安全策略

怎樣進行身份驗證，應(yīng)避免什么

數(shù)據(jù)保護

了解社會工程攻擊

怎樣以及何時報告可疑的安全事件

Roger Grimes自2005年以來一直擔(dān)任安全專欄作家，持有40多個計算機證書，并撰寫了10本計算機安全方面的書籍。

原文網(wǎng)址

https：//www.csoonline.com/article/3429823/12-things-every-computer-security-pro-should-know.html