即使計算機安全防御專家也難以區分真正的威脅和假警報。這里列出應該避免的3種關鍵卻又普遍的錯誤。

[[133203]]

計算機安全人員在防御這件事上是出了名的不成功。原因很多，不僅僅是因為他們要承擔所有的責任卻又沒有足夠的權限。

用戶總是義無反顧地無視他們收到的好建議，甚至努力繞過安全控制。但是，在當今這混亂的計算機安全狀況下，責備他人的行為總是再容易不過。

考察一下修復程序，修補崩潰系統的第一步就是要承擔你自己的責任。在我看來，計算機安全最大的問題之一就是防御者不能正確地評估風險。他們將太多較低的風險列為了高風險，而太多的高風險又被認為是不需要關注的。

有3個原因可以解釋為什么計算機安全防御者總是做出錯誤的判定。總的來說，這幾點解釋了為什么大多數公司把大部分IT預算花在了根本不能使他們免于受到侵害的項目上。

1. 混淆了媒體炒作和真正的風險

當企業被媒體對最新漏洞鋪天蓋地的報道所淹沒，誰能責備我們對之投以關注?這就是事實真相。今天的威脅總是伴隨著媒體熱炒，甚至還有它們自己的標識。要無視它們真心太難——不過大多數時候我們真的應該無視之。

舉個絕佳的例子：任何網絡攻擊都需要黑客預先進行多種多樣、單獨的、成功的攻擊鋪墊。復雜性不只是防御者的敵人。通常，媒體報道中根本不會提到這些必要的先決條件——或者只是一帶而過，就好像這些復雜的攻擊準備非常容易實現。

比如說，你可能聽說過這樣的一次網絡攻擊：攻擊者必須首先用中間人攻擊進行掩護才能夠開始實施下一波攻擊。幾年之前，很多黑客工具讓中間人攻擊相當容易達成。只需要連上網絡，點擊一個按鈕，嗖的一下你就成了網絡之主——通常是用ARP投毒實現的。

但是，在今天，公司網絡系統通常會采用網絡設備抵御ARP投毒攻擊，中間人攻擊已經很難在這些系統中成功實施了。即使攻擊者僥幸成功，他們也常常會造成太多計劃外的破壞而導致公司網絡維護團隊最終重啟網絡以解決問題，顯然，中間人重路由挺不過網絡重啟這種終極大招。

2. 沒聚焦到問題根源

攻擊發生后，防御者的重點常常放在了攻擊者侵入之后做了什么，而不是他們最開始是怎么突破防御的。確實，我們需要評估損失并確保攻擊者被驅離。但我們也應該至少將同樣的精力，投放在判定黑客是怎樣獲取到訪問權的，并保證此類漏洞不會被再次利用。

哈希傳遞攻擊是個不錯的例子。這種攻擊中，攻擊者必須首先獲取有根用戶、本地管理員用戶或者域管理員用戶安全上下文的系統訪問權。一旦他們獲取到此類提升的安全權限，他們幾乎能在系統中暢通無阻為所欲為。世界盡在他們掌握。我們也許可以完全阻止哈希傳遞攻擊，但我們絲毫阻止不了攻擊者。他們能做任何他們想做的事。防得了一次防不住第二次，他們會改變方式卷土重來。

在壞人拿到你的管理員帳戶后擔心哈希傳遞攻擊就像是擔心偷你車的小偷會不會善待你的剎車似的。

3. 沒向管理層匯報真正的風險

經常聽到人們抱怨說高級管理層沒有真正支持IT安全團隊或者給他們履職盡責所需的工具和資源。大多數情況下，這不過是逃避責任的借口。IT安全團隊沒有與管理層共享正確的信息倒是更為典型的癥狀。

我還從未見過哪個高管在明確知悉各種風險及各風險優先級的情況下不給安全部門大開綠燈的。然而不幸的是，大多數IT安全部門總是將一堆“No.1”風險擺在管理層面前，向管理層索要一堆各不相同的“高優先級”項目的資金支持。然后，IT安全團隊坐一邊百思不得其解，“為什么我們真正的No.1威脅沒能有效解決呢?”

這么說吧，如果沒打補丁的軟件是你的首要問題(多數公司里，最高級別的威脅與少量沒打補丁的程序有關)，如果你毫不含糊地向你的高級管理層解釋清楚了這一點，管理層將會給你專注于打補丁的權限和工具的。

計算機安全防御從來都不是件容易的事。我們面對的是一大堆棘手的問題和風險。但如果我們不能正確評估威脅，不能向高級管理層傳達必要的有用的信息，安全防御就是句空話。

原文地址：http://www.aqniu.com/neo-points/7582.html