正所谓 “知己知彼,百战不殆”,想要赢一场漂亮的胜仗,一定要对自身和对手都具备非常充分地了解。以下就是所有安全专业人士都应该了解的一些基础问题。
如今,很少有职业需要紧随 IT 安全的变化速度而做出改变。据统计,IT 从业者每年平均会遭遇 5000 到 7000 个新的软件漏洞,去年这一数字更是飙升到了惊人的 16,555 个。这就相当于每天,日复一日,年复一年地在你的安全防御系统中都会爆发 13 – 45 个新的漏洞。这就是组织 IT 环境每年面临数以千万计的恶意软件威胁的原因,也是攻击者不断进行攻击尝试的原因所在。
在这种持续不断的威胁中,仅仅是单一的漏洞就可能会破坏组织的业务,让其遭受声誉和收入的双重损失,甚至直接面临破产倒闭的结局。
这并不是说你的 IT 团队无法成功反击。当然可以,而且也会实现。
以下是每个计算机安全专业人员想要成功应对网络攻击都应该知道的 12 件事:
1、了解对手的动机
你无法在不了解对手是谁以及他们为什么针对你实施攻击的情况下成功地反击敌人。所有攻击者都有自己的动机和目标,这两件事决定了他们所做的一切以及他们的具体实践方式。
如今,威胁你的黑客大多都有着明确的动机(纯粹出于好奇的除外)。这些攻击大致可分为以下类别:
- 经济动机
- 民族主义国家支持/网络战
- 企业间谍活动
- 黑客行为主义者
- 资源盗取
- 在多人游戏中作弊
如今的攻击者每次攻击的方式和动机都是不一样的。了解他们的动机对于应对攻击而言是至关重要的一步。了解攻击者为何以及如何实现破解,是确定你的网络究竟属于哪个目标类型的最佳方法,同时,这也可能提供如何击败对手的线索。
2、恶意软件的类型
恶意软件有三种主要类型:计算机病毒、特洛伊木马以及蠕虫。任何恶意软件程序都是这些类型中的一个或多个的混合体。
- 计算机病毒
计算机病毒是 “指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。其必须满足两个条件:
1)它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中;
2)它必须能自我复制。例如,它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。
- 特洛伊木马
特洛伊木马指那些表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。它是具有欺骗性的文件(宣称是良性的,但事实上是恶意的),是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓 “隐蔽性” 是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,也难以确定其具体位置;所谓 “非授权性” 是指一旦控制端与服务端连接后,控制端将窃取到服务端的很多操作权限,如修改文件,修改注册表,控制鼠标,键盘,窃取信息等等。
特洛伊木马与病毒的重大区别是特洛伊木马不具传染性,它并不能像病毒那样复制自身,也并不 “刻意” 地去感染其他文件,它主要通过将自身伪装起来,吸引用户下载执行。
- 蠕虫
蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等。
了解这些恶意软件的基本类别非常重要,这样当你检测出恶意软件程序时,你就可以一同对最有可能的入侵场景进行解析。这不仅可以帮助你了解在何处查找恶意软件程序的来源,而且可以了解它可能会进一步传播的位置。
3、根本漏洞类型
每年,IT 安全专业人员都面临着数千个新的软件漏洞和数百万个不同的恶意软件程序,但只有 12 种根本漏洞会让这些软件漏洞和恶意软件程序攻击你的设备。了解这些根本原因,你就可以阻止黑客攻击和恶意软件。以下是十二种根本漏洞:
1)零日攻击——又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与漏洞曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性;
2) 未修补的软件——研究表明,未修补的漏洞是大多数数据泄露的根源。未修补的软件或未更新的软件可能是主要的IT安全风险。如果您不更新软件,则会让您容易受到攻击者攻击。一旦(安全)更新可用于软件包,攻击者就会针对尚未更新的软件包。在现实中,许多公司并不总是立即更新他们的浏览器,即使这附带了很大的风险;
3) 恶意软件——指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序,通过破坏软件进程来实施控制。恶意软件由多种威胁组成,会不断弹出,需要采取多种方法和技术来进行反病毒保护;
4) 社交工程学——社会工程学是一种利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段,获取自身利益的手法。现实中运用社会工程学的犯罪很多。短信诈骗如诈骗银行信用卡号码,电话诈骗如以知名人士的名义去推销诈骗等,都运用到社会工程学的方法;
5) 密码攻击——尝试获取或解密用户的密码以供非法使用。黑客可以在密码攻击中使用破解程序,字典攻击和密码嗅探器;
6) 窃听/MITM(中间人攻击)——一种 “间接” 的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为 “中间人”。在网络安全方面,MITM 攻击的使用是很广泛的,曾经猖獗一时的 SMB 会话劫持、DNS 欺骗等技术都是典型的 MITM 攻击手段;
7) 数据泄露——数据泄露是一种安全事件,其中敏感,受保护或机密数据被未经授权的个人复制,传输,查看,窃取或使用。数据泄露可能涉及财务信息,如信用卡或银行详细信息,个人健康信息 (PHI),个人身份信息 (PII),公司的商业秘密或知识产权;
8) 配置错误——如果组件由于不安全的配置选项而容易受到攻击,则可能会发生安全性错误配置漏洞。这些漏洞通常是由于不安全的默认配置,缺乏文档的默认配置或可选配置的文档记录不良而导致的。这可能包括未能在 Web 服务器上设置有用的安全标头,以及忘记禁用可授予攻击者管理访问权限的默认平台功能;
9) 拒绝服务——攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击;
10) 内部人士/合伙人/顾问/供应商/第三方——这是一种内部威胁,是指前员工或现员工,有权限访问组织的网络系统,数据等信息的承包商或业务合作伙伴有意或无意的利用这种机会来窃取机密,破坏组织网络系统的完整性或可用性;
11) 用户错误——同样属于一种内部威胁;
12) 物理访问——指的是人们物理访问计算机系统的能力。通过对办公室的物理访问,知识渊博的攻击者将很快能够找到访问该组织的计算机系统和网络所需的信息;
你可能对每个类别都不陌生,但这并不意味着一切是容易实现的。
4、密码学和数据保护
数字密码学是一门艺术,它可以使信息安全免受未经授权的访问和修改。每个 IT 安全专业人员都应该学习加密技术的基础知识,其中包括非对称加密、对称加密、散列,以及密钥分发和保护等。
数据保护需要大量的加密技术。而数据的完整性保护还要求以合法方式收集和使用数据,保护隐私内容免受未经授权的访问,同时确保安全备份有能力防止恶意篡改并实现可用性。
如今,法律对于数据保护的要求正变得越来越严格,例如欧盟《通用数据保护条例》(GDPR) 的推出。作为 IT 安全从业者,你必须跟上量子计算机的进程,并充分了解其破解现代公钥加密的能力。在接下来的 10 年或更短时间内,你可能需要被迫将自己习惯的公钥密码(例如RSA、Diffie-Hellman等)全部转换为叫做 “抗量子” (post-quantum) 密码的密码术。全世界都在为此做准备,包括美国国家标准与技术研究院 (NIST)。所以,不要告诉我,你还没有意识到这一即将发生的巨大变化。
(责任编辑:安博涛)
