信息化觀察網(wǎng)

每年公布的新計(jì)算機(jī)安全威脅平均在5000至7000個(gè)，相當(dāng)于每天19個(gè)。新威脅出現(xiàn)的速度使得我們難以確定自己到底需要關(guān)注哪些威脅。盡管你的競(jìng)爭(zhēng)對(duì)手在防御上投入了大量資金，這些防御舉措有的屬于高科技，有的是外部幫助，但是只要你專注于之前已經(jīng)做過的三件事就可以花更少的錢和精力，實(shí)現(xiàn)更好的防御，并獲得比競(jìng)爭(zhēng)對(duì)手更好的效果。

需要做的這三件事情并不是什么秘密，之前你就早已知道需要做這些工作。你自己的經(jīng)驗(yàn)會(huì)告訴你我所說的是真的。雖然贊成這樣做的數(shù)據(jù)是壓倒性的，但是大多數(shù)企業(yè)做得并不夠好。

改變自己的安全關(guān)注點(diǎn)

大多數(shù)計(jì)算機(jī)安全防御人員都沒能將注意力放在正確的事情上。他們只專注于特定威脅以及在黑客入侵后自己要做的工作，而不是關(guān)注黑客是如何入侵的。目前全球可能有數(shù)十萬個(gè)不同的軟件漏洞和數(shù)以億計(jì)的惡意軟件，不過它們?cè)诔醮稳肭謺r(shí)使用的方式也就那么十幾種，主要為：

● 未修補(bǔ)的軟件 ● 社交工程

● 錯(cuò)誤配置軟件 ● 密碼攻擊

● 物理攻擊軟件 ● 竊聽

● 用戶錯(cuò)誤軟件 ● 拒絕服務(wù)

專注這些根本性原因并減少其數(shù)量將有助于我們擊敗黑客和惡意軟件。如果你希望以最快的速度最大限度地降低計(jì)算機(jī)安全風(fēng)險(xiǎn)，那么就需要找出導(dǎo)致出現(xiàn)威脅的幾個(gè)主要的根本性原因。消除這些原因就可以抵御那些利用這些漏洞的安全威脅。

那么在大多數(shù)環(huán)境中，最大的根本性原因是什么？答案是未修補(bǔ)的軟件、社交工程和密碼管理。

毫無疑問，這些根本性原因在數(shù)十年內(nèi)導(dǎo)致了大量企業(yè)被攻擊。在媒體報(bào)道的所有重大攻擊中，幾乎都可以看到這些重大漏洞的影子。根據(jù)我的經(jīng)驗(yàn)，所有企業(yè)甚至是軍方遭到重大攻擊時(shí)，都可以追溯到這些根本性原因中的一條。

更好的軟件修補(bǔ)

黑客和惡意軟件都將尋找未修補(bǔ)的軟件作為入侵的一種方式。他們更喜歡將未打補(bǔ)丁的軟件作為攻擊媒介，因?yàn)檫@種方式需要涉及的最終用戶最少。黑客可以攻擊網(wǎng)絡(luò)計(jì)算機(jī)和服務(wù)以尋找未修補(bǔ)的軟件并入侵它們，然后在必要時(shí)繼續(xù)向內(nèi)部目標(biāo)進(jìn)一步滲透?；蛘咚麄円部梢試L試誘騙用戶打開電子郵件或訪問網(wǎng)站，這些郵件和網(wǎng)絡(luò)都可以利用目標(biāo)自身未修補(bǔ)的漏洞。

當(dāng)然，攻擊者有時(shí)會(huì)利用軟件廠商未及時(shí)發(fā)布補(bǔ)丁的軟件漏洞（零日攻擊），但是與一年成千上萬的漏洞相比，一年的零日漏洞只有幾十個(gè)。在任何情況下，要防止零日攻擊是非常困難的，因此你應(yīng)當(dāng)將精力放在更大且更持久的威脅上。你無法知道自己的企業(yè)是否被零日攻擊者攻擊，但是攻擊者利用未修補(bǔ)軟件進(jìn)行攻擊的威脅顯然要比發(fā)起零日攻擊多了很多。

以最快的速度降低安全風(fēng)險(xiǎn)的關(guān)鍵，是要專注于風(fēng)險(xiǎn)最高的計(jì)算機(jī)上風(fēng)險(xiǎn)最高的軟件程序。大多數(shù)企業(yè)都想通過一種方法來修補(bǔ)每個(gè)軟件程序。這種方法必將失敗，因?yàn)樘厥獬绦虻臄?shù)量很龐大，不是一種方法就能夠解決的。你需要針對(duì)不同的設(shè)備和程序展開有針對(duì)性的修補(bǔ)，這個(gè)工作量非常大。

在一個(gè)環(huán)境中，長期未修補(bǔ)漏洞的程序并不代表該程序最有可能被利用。如果你能理解這種差異，那么你就完全理解了這個(gè)建議。

例如，多年來，Microsoft Windows計(jì)算機(jī)上長期未修補(bǔ)的程序是Microsoft Visual C ++運(yùn)行時(shí)庫。這是一個(gè)與許多第三方程序一起重新分發(fā)的程序庫。即使它們長期未修補(bǔ)漏洞，它也很少被攻擊者或惡意軟件利用。為什么呢？因?yàn)樗鼈儾蝗菀妆焕谩Ｋ鼈兛赡芪挥跀?shù)十萬個(gè)不同的文件夾中，并且通常不會(huì)被公布?？梢赃@么說，大概95％的已安裝軟件程序都是如此。它們可能沒有打補(bǔ)丁，但它們也不會(huì)被經(jīng)常利用。

相反，其他流行的未修補(bǔ)程序，如Sun/Oracle Java、Adobe Acrobat和互聯(lián)網(wǎng)瀏覽器，這些程序位于一致的位置并且易于利用，因而成為了首選的攻擊目標(biāo)。在服務(wù)器上，Web服務(wù)器和數(shù)據(jù)庫服務(wù)器軟件成為首選目標(biāo)。因此，在終端用戶計(jì)算機(jī)上修補(bǔ)與互聯(lián)網(wǎng)瀏覽器有關(guān)的軟件和在服務(wù)器上修補(bǔ)與互聯(lián)網(wǎng)瀏覽器有關(guān)的廣告服務(wù)可讓你取得事半功倍的效果。

看看你的補(bǔ)丁管理程序。它們是否優(yōu)先考慮了風(fēng)險(xiǎn)最高的程序？你是否接受風(fēng)險(xiǎn)最高程序的打補(bǔ)丁率在99％或更低的水平？如果是這樣，那么是什么原因呢？你知道自己的風(fēng)險(xiǎn)最高的程序是哪些嗎？企業(yè)中哪些軟件程序的漏洞被經(jīng)常利用？補(bǔ)丁管理程序是否包含硬件、固件和移動(dòng)設(shè)備補(bǔ)??？為了提供更強(qiáng)大的計(jì)算機(jī)安全防御，這些問題都需要回答。

更多更有針對(duì)性的社交工程培訓(xùn)

你可以實(shí)施的另一個(gè)最佳防御措施不是軟件或設(shè)備，而是訓(xùn)練。只要有計(jì)算機(jī)存在，那么社交工程威脅（通常通過互聯(lián)網(wǎng)瀏覽器或電子郵件實(shí)施）就會(huì)與未修補(bǔ)的軟件一樣成為大多數(shù)重要攻擊的主要原因。我接觸過的大多數(shù)黑客攻擊都涉及社交工程元素，特別是那些造成持續(xù)破壞攻擊的。

利用社交工程開展攻擊的黑客以騙取終端用戶密碼以及騙取黑客或惡意軟件對(duì)敏感資源的特權(quán)訪問而聞名。用戶經(jīng)常在不知情的情況下運(yùn)行木馬程序或是向偽造的電子郵件和網(wǎng)站提供了自己的登錄憑據(jù)。社交工程是如此成功，以至于許多計(jì)算機(jī)安全防御者拒絕相信更多更好的社交工程培訓(xùn)也是應(yīng)對(duì)舉措之一，但是事實(shí)確實(shí)如此！

研究表明，為員工提供防范意識(shí)培訓(xùn)可以幫助他們識(shí)破社交工程方法的欺騙。可悲的是，大多數(shù)企業(yè)很少展開安全培訓(xùn)，通常每年不到30分鐘。

我參與了一個(gè)案例研究，其中兩組員工接受了社交工程培訓(xùn)。第一組強(qiáng)制性觀看30分鐘的標(biāo)準(zhǔn)視頻。第二組接受了兩個(gè)小時(shí)的培訓(xùn)，重點(diǎn)是企業(yè)實(shí)際面臨的最常見的社交工程攻擊。然后，這兩個(gè)小組一年中每兩個(gè)月接受一次模擬社交工程攻擊。

結(jié)果如何？測(cè)試結(jié)果大相徑庭。獲得更多培訓(xùn)的小組學(xué)習(xí)效果很好，沒有一個(gè)員工被虛假的社交工程攻擊欺騙超過六個(gè)月時(shí)間，他們報(bào)告的真正的社交工程攻擊企圖的可能性遠(yuǎn)遠(yuǎn)超過另外一組。

雖然我無法指出應(yīng)該組織員工進(jìn)行多少次社交工程培訓(xùn)，但是我確信每年的培訓(xùn)時(shí)間應(yīng)當(dāng)超過30分鐘，這可以以每年的小時(shí)數(shù)來衡量。這些時(shí)間不必一次全部完成，培訓(xùn)應(yīng)定期重復(fù)，并根據(jù)企業(yè)面臨的真實(shí)社交工程攻擊類型進(jìn)行量身定制。

加強(qiáng)密碼管理

在很長的一段時(shí)間里，我一直建議關(guān)注前兩個(gè)主要的攻擊途徑。不過，現(xiàn)在是時(shí)候增加第三個(gè)了，那就是密碼管理。在過去，我說過擔(dān)心密碼安全完全是浪費(fèi)時(shí)間，因?yàn)樯缃还こ毯臀葱扪a(bǔ)的軟件具有令人難以置信的統(tǒng)治地位。

如今密碼黑客已經(jīng)從密碼猜測(cè)和破解升級(jí)到了哈希傳遞（PtH）攻擊，攻擊者可以訪問密碼哈希數(shù)據(jù)庫。在Hernan Ochoa發(fā)布了他的PtH工具包之后，2008年P(guān)tH攻擊從理論攻擊轉(zhuǎn)變成了一個(gè)嚴(yán)重且現(xiàn)實(shí)的全球性問題。在一兩年內(nèi)，PtH攻擊就從無到有發(fā)展到了完全占據(jù)統(tǒng)治地位。近十年來，在我參加的企業(yè)被攻擊事件的調(diào)查取證中，沒有一起不涉及到PtH攻擊。

由于PtH屬于“后漏洞時(shí)期”攻擊技術(shù)，攻擊者已經(jīng)擁有了對(duì)環(huán)境的本地或域管理控制權(quán)，因此我們不能為阻止了PtH攻擊而感到興奮。問題不在于PtH攻擊。事實(shí)上，黑客已經(jīng)竊取了全面的管理控制權(quán)。與“后漏洞時(shí)期”攻擊技術(shù)相比，我更感興趣的是找到最初的漏洞攻擊的原因。因?yàn)槿绻阏也坏胶诳偷谝淮稳肭殖晒Φ脑?，那么你將永遠(yuǎn)無法阻止這些壞人。這就是為什么必須將密碼管理添加到企業(yè)需要重點(diǎn)關(guān)注的列表當(dāng)中的確切原因。

你的企業(yè)密碼可能被泄露到了每一個(gè)角落。這一事實(shí)改變了我原來的態(tài)度。如果密碼遭泄露，那么所有的黑客都可以看到它們，這使得它們變成了一個(gè)初期漏洞問題。唯一安全的做法是創(chuàng)建真正獨(dú)特的密碼，而不是所有的網(wǎng)站都使用一個(gè)密碼。要做到這一點(diǎn)，就需要將這些密碼都記下來（每次需要使用時(shí)再查找）或是使用密碼管理器程序。

密碼管理器也存在一些問題，其中最大的問題是，如果計(jì)算機(jī)被入侵，那么攻擊者可以立即竊取所有站點(diǎn)的密碼。隨著密碼管理器越來越受歡迎，它們只會(huì)更加頻繁地成為黑客們的目標(biāo)。

唯一的解決方案是擺脫密碼，如今全球正在努力解決這一問題。目前替代密碼最可行的方案是多因素身份驗(yàn)證（MFA）和多變量行為分析，雖然它們也有著自身的問題，但是黑客再也不能簡(jiǎn)單地通過在數(shù)據(jù)庫中進(jìn)行查找就能成功發(fā)起攻擊。

以下是關(guān)于如何處理密碼的建議：

● 將過去幾個(gè)月未改動(dòng)過的所有密碼修改為不規(guī)律的密碼。

● 如果可以，請(qǐng)?jiān)谧钪匾馁~戶上開啟MFA。

● 確保每個(gè)網(wǎng)站的密碼都是唯一的。

● 主動(dòng)使用密碼數(shù)據(jù)泄露檢查服務(wù)（如Troy Hunt的HaveIBeenPwned或BreachAlarm），或是使用免費(fèi)的企業(yè)工具，如使用KnowBe4的密碼暴露測(cè)試立即檢查所有的密碼。

● 考慮使用密碼管理工具，自動(dòng)檢查是否有任何在用密碼與存儲(chǔ)在已知密碼數(shù)據(jù)庫中的密碼相匹配。

如果密碼有被泄露的風(fēng)險(xiǎn)，請(qǐng)立即更改密碼。如果它們已被泄露，請(qǐng)查清楚它們?yōu)槭裁磿?huì)被泄露。是完全由你無法控制的因素造成的，還是因?yàn)榫W(wǎng)絡(luò)釣魚導(dǎo)致密碼被騙取？

讓他人無法獲得自己的密碼是主要防范措施中的第三個(gè)。社交工程和未修補(bǔ)的軟件目前依然是數(shù)據(jù)泄露的最主要途徑。盡管未來情況仍然如此，但是每個(gè)人的密碼都應(yīng)當(dāng)嚴(yán)格保密，因?yàn)榧词购诳蜔o法通過社交工程和未修補(bǔ)的軟件展開攻擊，他們也可以通過密碼輕松入侵。

作者：Roger Grimes 自2005年起擔(dān)任 csoonline.com 安全專欄作家，擁有40多項(xiàng)計(jì)算機(jī)資格認(rèn)證，并撰寫了10本關(guān)于計(jì)算機(jī)安全的書籍。

編譯：陳琳華

原文網(wǎng)址：https://www.csoonline.com/article/3253331/patch-management/the-two-most-important-ways-to-defend-against-security-threats.html