信息化觀察網(wǎng)

養(yǎng)成良好的安全習(xí)慣會降低風(fēng)險，以下六個方式會提供幫助。

今年四月份是一個里程碑：CVE（公共漏洞和暴露）已經(jīng)增加了第10萬個條目。雖然我們在CVE識別符方面取得了重要的成就，但是Cisco發(fā)現(xiàn)高風(fēng)險漏洞的數(shù)量正在逐年減少。相比于三年前，這意味著高風(fēng)險漏洞影響大量用戶的可能性在降低。

不幸的是，數(shù)量的減少并不總是好消息。通過去年發(fā)生的事件，我們發(fā)現(xiàn)不法分子能夠更加容易地大規(guī)模利用公開的漏洞，因為他們認為很多公司不能或者不會保持更新周期，而且可以隨時利用漏洞和工具來達到不法的目的，因此這一情況會變得更加糟糕。任何連接到網(wǎng)絡(luò)的用戶都能使用這些工具，網(wǎng)絡(luò)滲透測試儀以及教用戶如何使用漏洞工具的視頻，從而來達到惡意目的。由于想要知道漏洞信息的用戶數(shù)量龐大，因此這些信息淪為了交易商品，而快速編寫高效的漏洞工具也未曾變得容易。

以EternalBlue為例，微軟在發(fā)布了針對Windows SMB Server漏洞補丁之后不久，Shadow Brokers就在2017年4月份發(fā)布了一個黑客工具包。一個月后，WannaCry勒索軟件席卷全球，并在攻擊中使用了這一工具包。如果這還不夠，那么在去年的6月份，全球又爆發(fā)了全新形式的勒索病毒NotPetya，這個病毒再一次使用了這一工具包。人們都看到了WannaCry和NotPetya產(chǎn)生的經(jīng)濟影響，很快，這個武器化的工具包將潛在的威脅變成了現(xiàn)實世界的攻擊。如果上百萬的用戶早幾個月安裝了微軟發(fā)布的漏洞，那么他們都能夠避免這一損失。

鑒于這些威脅的成熟度和部署速度加快，很多公司的第一道防線一定包括熟知公司的資產(chǎn)，以及使用快速和自動化的方式來修復(fù)這些漏洞。但是盡管越來越多的人意識到他們是網(wǎng)絡(luò)威脅的目標，但是我們很容易發(fā)現(xiàn)一些公司仍然未采取這些措施，以及利用增強必要恢復(fù)能力的基本安全防御措施。積極采取以下措施將會帶來幫助：

●認真對待補丁。開發(fā)、實施和積極維護整個系統(tǒng)，為整個網(wǎng)絡(luò)和IT基礎(chǔ)架構(gòu)安裝補丁。一旦有漏洞公開，不法分子會很快利用這些漏洞。聲譽好的供應(yīng)商會重視這些漏洞，并盡快定期發(fā)布補丁。但是如果用戶不安裝的話，那么這些補丁將無任何作用。

●為此，你需要對網(wǎng)絡(luò)進行監(jiān)控。為當(dāng)前的硬件和軟件進行以風(fēng)險為中心的評估：根據(jù)哪些產(chǎn)品帶來最有效的價值來對產(chǎn)品進行排名，并根據(jù)產(chǎn)品的年齡、漏洞和網(wǎng)絡(luò)彈性來確定每種產(chǎn)品帶來的風(fēng)險程度。

●如果你所處的行業(yè)不能隨時進行補丁更新，如某些醫(yī)療、工業(yè)或者是物聯(lián)網(wǎng)應(yīng)用程序，那么將它們獨立開來至關(guān)重要，從根本上來說，為這些系統(tǒng)提供安全性防護。

●另外一個人們會討論但是通常并不會使用的領(lǐng)域是雙因素認證。由于社會工程繼續(xù)成為攻擊者“武器庫”中最有效的工具之一，因此雙因素認證是很重要的。

●提高整個基礎(chǔ)架構(gòu)的可見性?？梢娦詫τ诖笮凸荆ǚe累了數(shù)年的遺留資產(chǎn)）以及采用了影子IT的公司來說尤為重要，因為第三甚至第四方的參與會帶來更高級別的風(fēng)險。

●制定政策和流程，大規(guī)模地處理這些威脅。升級舊的基礎(chǔ)架構(gòu)和系統(tǒng)、快速更新、以及持續(xù)備份數(shù)據(jù)。使用強大的密碼管理來防止密碼被共享和傳播。

有效管理風(fēng)險需要提高所部署的基礎(chǔ)架構(gòu)和系統(tǒng)的整體能力和彈性（恢復(fù)能力）。不良習(xí)慣，如不進行補丁更新以及使用過時的解決方案，會讓公司的整體恢復(fù)水平處于危險的境地，從而增加風(fēng)險。養(yǎng)成良好的安全習(xí)慣、遵循基本措施，則可以降低這一風(fēng)險。

原文作者：Matt Watchinski