總結(jié)計算機安全專業(yè)人士必須了解的12項事實

各位看官，周日早上好。昨晚玩得可開心，我覺得周末里面，感覺最好的應該是周六的晚上，參加一場聚會，看一次新說唱，來一次約會，整個狀態(tài)都是最好的，因為周五晚上有點上班的疲憊，周日晚上因為周一要上班而比較收斂。

很少有哪種職業(yè)需要像IT安全人士這樣面臨迅速變化的復雜狀況。從業(yè)者每年平均遭遇5千到7千種新的軟件漏洞，這意味著日常防御工作當中，您每天可能遇到15種新的安全隱患。此外，每年IT環(huán)境中還將出現(xiàn)數(shù)以千萬計的不同惡意軟件。

在這種持續(xù)不斷的威脅壓力之下，任何一項漏洞都有可能造成毀滅性的破壞——包括令企業(yè)身陷負面頭條、危害收入，甚至導致從業(yè)者被迫離職。

但安全團隊完全有理由、也有能力對此施以反擊。

下面，我們將共同探討每一位計算機安全專業(yè)人士所應了解的12項事實。希望這一切能夠幫助大家更有把握地打響這場絕地反擊戰(zhàn)。

敵對方的動機

正所謂知己知彼方能百戰(zhàn)百勝。每個攻擊者都有著自己的動機與目標，而二者相結(jié)合就決定了他們要做什么以及如何實施。

當前，威脅我們的黑客大多擁有著嚴肅的動機，且主要分為以下幾類：

經(jīng)濟因素

民族國家支持/網(wǎng)絡(luò)戰(zhàn)

企業(yè)間諜活動

黑客行動主義者

資源竊取

在多人游戲作弊

盡管攻擊技術(shù)已經(jīng)發(fā)展成熟，但每一次具體攻擊活動仍然存在差別。因此，了解其中的動機就成了解決問題的關(guān)鍵。大家應當在采取任何行動之前，首先考慮“為什么”。這有可能為您帶來挫敗對手的重要線索。

惡意軟件類型

惡意軟件分為三大主要類型：計算機病毒、木馬以及蠕蟲病毒。任何惡意軟件程序都可歸屬于這些分類中的一種或者多種結(jié)合體。

計算機病毒屬于一種惡意軟件程序，其將自身托管在其它程序、文件以及數(shù)字化存儲介質(zhì)內(nèi)以待復制。其中，木馬是一類自稱合法的惡意軟件，可能通過誘導方式令人們無意間將其激活。木馬不會自我復制，其傳播主要依賴于人們的好奇心。蠕蟲則是一種能夠自我復制的程序，其利用代碼進行自我傳播，而無需其它承載性程序或文件。

了解這些惡意軟件基本類別非常重要。這樣，當您在尋找惡意軟件程序時，就可以將出現(xiàn)機率最高的惡意軟件方案整合在一起，從而準確判斷惡意軟件的起源并推測其可能傳播的目標位置。

攻擊根源

每一年，IT安全專家們都面對著無數(shù)種新型軟件漏洞以及上百萬種不同惡意軟件。然而，這些惡意因素的環(huán)境滲透實際上可以歸結(jié)于12種根源。只有堵住這些攻擊根源，才能真正阻扼黑客攻擊與惡意軟件。以下為這12種具體攻擊根源：

零日漏洞

未修復的軟件

惡意軟件

社交工程

密碼攻擊

竊聽/中間人攻擊

數(shù)據(jù)泄露

配置錯誤

絕服務(wù)

內(nèi)部人員/合作伙伴/顧問/供應商/第三方

用戶錯誤

物理訪問

如果您對其中一項或者多項根源不太熟悉，請馬上進行研究學習。

密碼學與數(shù)據(jù)保護

數(shù)字密碼學是一種確保信息安全以防止未授權(quán)訪問及篡改的藝術(shù)。每位IT安全專業(yè)人員都應掌握加密基礎(chǔ)知識，包括非對稱加密、對稱加密、散列以及密鑰分發(fā)與保護。數(shù)據(jù)保護需要使用大量加密技術(shù)，而數(shù)據(jù)完整性保護還要求以合法方式收集及使用數(shù)據(jù)，保護隱私內(nèi)容免受未授權(quán)訪問的侵擾，同時確保安全備份有能力防止惡意篡改并實現(xiàn)可用性。如今，法律對于數(shù)據(jù)保護的要求正變得越來越嚴格，從業(yè)者自然也有必要抓緊時間提升自我水平。

網(wǎng)絡(luò)與網(wǎng)絡(luò)數(shù)據(jù)包分析

其實判斷團隊中真正優(yōu)秀的IT安全專業(yè)人員并不困難：觀察他們是否有能力對網(wǎng)絡(luò)進行數(shù)據(jù)包級分析即可。出色的安全專家應該熟悉網(wǎng)絡(luò)基礎(chǔ)知識——例如協(xié)議、端口編號、網(wǎng)絡(luò)地址、OSI模型層、路由器與交換機間的區(qū)別，同時能夠閱讀并理解網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)各個字段的實際含義。

總而言之，理解網(wǎng)絡(luò)數(shù)據(jù)包并對其進行分析，是為了真正理解網(wǎng)絡(luò)本身以及使用網(wǎng)絡(luò)資源的計算機。

基礎(chǔ)性常規(guī)防御

幾乎每臺計算機都擁有常規(guī)的基礎(chǔ)防御機制，優(yōu)秀的IT專業(yè)人員當然會盡可能發(fā)揮其保護作用。以下是計算機安全中的基本“標準”，具體包括：

補丁管理

最終用戶培訓

防火墻

反病毒工具

安全配置

加密/密碼

驗證

入侵檢測

日志記錄

理解并運用基礎(chǔ)性常規(guī)IT安全防御機制是每位IT安全專業(yè)人員的必備技能。但除了了解其功能之外，也應弄清其擅長執(zhí)行哪些任務(wù)以及缺乏哪些重要保護能力。

驗證基礎(chǔ)

出色的安全專業(yè)人員會意識到，驗證機制不僅僅是輸入有效密碼或者通過雙因素ID測試，其中還涉及更多細節(jié)。驗證以在任何命名空間當中提供有效身份標簽為起點——例如電子郵件地址、用戶主體名稱或者登錄名稱。

驗證的本質(zhì)，是有效身份持有者及其驗證數(shù)據(jù)庫/服務(wù)提供一項或多項“秘密”信息的過程。當有效身份持有者輸入正確的驗證因素時，即證明經(jīng)過驗證的用戶為身份的有效持有者。在成功完成身份驗證之后，主體對受保護資源的訪問嘗試將由授權(quán)安全管理器進程負責檢查。大家應將所有登錄與訪問嘗試記錄至日志文件當中。

移動威脅

如今全球移動設(shè)備數(shù)量已經(jīng)超過人口總量，且大多數(shù)人通過移動設(shè)備獲取大部分日常信息。由于移動能力只可能進一步增長，因此IT安全專業(yè)人員需要認真對待移動設(shè)備、移動威脅以及移動安全問題。目前最主要的移動威脅包括：

移動惡意軟件

間諜軟件

數(shù)據(jù)或憑證盜竊

圖片竊取

勒索軟件

釣魚攻擊

不安全無線連接

對于大多數(shù)移動威脅而言，其對移動設(shè)備的威脅方式與傳統(tǒng)計算機威脅并無區(qū)別。當然，二者之間同樣存在一些差異。了解這種差異，正是出色IT專業(yè)人員的本分所在。因此，任何不熟悉移動設(shè)備細節(jié)的安全人士都應盡快開始學習。

云安全

流行問答：哪四大因素使得云安全性比傳統(tǒng)網(wǎng)絡(luò)更為復雜？

每一位IT專家都應能夠輕松通過這項測試。

答案是：

缺乏控制能力

始終暴露在互聯(lián)網(wǎng)上

多租戶（共享服務(wù)/服務(wù)器）

虛擬化/容器化/微服務(wù)

有趣的是，云所真正代表的實際是“其他人的計算機”以及由此帶來的一切風險。傳統(tǒng)企業(yè)管理人員無法控制在云端存儲第三數(shù)據(jù)及用戶服務(wù)的服務(wù)器、服務(wù)乃至基礎(chǔ)架構(gòu)。因此，我們必須寄希望于云服務(wù)供應商，相信他們的安全團隊會切實履行職責。云基礎(chǔ)設(shè)施幾乎代表著多租戶架構(gòu)，通過虛擬化與新近興起的微服務(wù)及容器化開發(fā)而來，因此我們很難將不同客戶的數(shù)據(jù)進行區(qū)分。有些人認為，每一種新的開發(fā)形式都會令基礎(chǔ)設(shè)施變得更加復雜，而復雜性與安全性通常存在相互沖突的關(guān)系。

事件記錄

年復一年，安全研究一直在不斷強調(diào)最易被忽視的安全事件其實一直存在于日志文件當中。而我們的任務(wù)，就是對日志內(nèi)容進行查看。因此，一套出色的事件記錄系統(tǒng)就變得非常重要。優(yōu)秀的IT專業(yè)人員應當了解如何設(shè)置這類系統(tǒng)以及何時進行查詢。

下面是事件記錄的基本執(zhí)行步驟，每位IT安全專業(yè)人員都應熟練掌握：

?政策

配置

事件日志收集

規(guī)范化

索引

存儲

關(guān)聯(lián)

基準化

警報

報告

事件響應

最后，每套IT環(huán)境早晚都會遭遇防御失敗問題。不知為什么，黑客或者由此創(chuàng)建的惡意軟件總能找到可乘之機，而隨之而來的就是嚴重的負面后果。因此，一位優(yōu)秀的IT專業(yè)人員應當時刻做好準備，制定事件響應計劃，并將該計劃立即付諸實施。良好的事件響應能力至關(guān)重要，這可能最終決定著我們的企業(yè)形象甚至商業(yè)生命能否延續(xù)。事件響應的基礎(chǔ)因素包括：

及時有效地做出響應

限制危害范圍

進行取證分析

別威脅

溝通

限制后續(xù)危害

總結(jié)經(jīng)驗教訓

威脅教育與溝通

大多數(shù)威脅都屬于已知范疇，且經(jīng)常重復發(fā)生。因此，從最終用戶到高管團隊甚至是董事會成員，每位相關(guān)者都應了解當前所在企業(yè)所面臨的最大威脅以及應當采取的阻止性措施。當前我們面臨的某些威脅，例如社交工程，只能通過員工教育的方式才能消除。因此，溝通能力也常常成為IT專業(yè)人員業(yè)務(wù)水平的重要指標之一。

溝通是一項重要的IT安全技能，但大家在這方面不應單純依賴于自己的個人魅力。溝通有著多種具體方法，包括當面交談、書面文件、電子郵件、在線學習模塊、新聞 通訊、測試以及網(wǎng)絡(luò)釣魚模擬等等。

每一位優(yōu)秀的IT專業(yè)人員都應有能力以口頭及書面方式進行清晰有效的溝通。在適當時，您應了解如何創(chuàng)建或購買必要的教育及溝通工具。無論實際部署怎樣的技術(shù)控制方案，每一年都會出現(xiàn)更新、更強大的新產(chǎn)品。因此，請確保利益相關(guān)者為此做好準備。