令大多數人吃驚的5個計算機安全事實
以下5個事實,是很多計算機安全風險和漏洞利用背后的根源。如果你現在能很好地理解它們,未來你就能領先同行一步。
事實1. 每家公司都被黑了
每當最新大型數據泄露事件曝出,人們可能會覺得,涉事公司肯定是在計算機安全方面做得不好。下一次重大黑客事件發生,造成數百萬客戶記錄被盜或上千萬美元損失時,你應該想的是,“每家公司都被黑了。這不過是媒體當前正在熱炒的一起而已。”
每家公司都被某惡意黑客完全掌握,或很容易被黑客掌控。事實就是如此。當然,完全沒有互聯網,且硬盤每天收工時得放入保險箱的絕密軍事設施除外。這里說的只是普通企業或小公司。
評估公司網絡安全狀態的時候,大多數情況下,都會有不止一名黑客隱身在被評估公司網絡某處。尤其是最近10年,甚至會有幾組黑客藏匿數年之久。典型案例是一家公司同時有8個黑客小組盯上,其中幾組在其網絡中遨游了有10年之久。
該案例很有意思,因為該公司尋求安全評估的原因之一,是有個他們并不想打的軟件補丁,無論他們怎么選擇,都會被打上。該黑客組織實在等不了這家受害公司自己建設安全環境了,因為越來越多的黑客小組正在涌入。當黑客都比你自己更關心安全,那問題就大了。
得到合法授權后,普通滲透測試員往往能在1小時之內,就可突破防護進入被評估公司網絡內部。已經做過滲透測試,并按安全建議加強了防護的公司,滲透時間可能會長一些。頂級滲透測試員侵入公司的速度還會更快,更別提坐擁無數零日漏洞的國家支持黑客了。
全世界的計算機,安全防護都很糟糕。都不需要零日漏洞利用,東摸摸西碰碰,找個容易侵入的弱點就可以。大多數公司在保護計算機安全上遠不足夠。很多都是說得好聽,但一旦落到實處,例如完善補丁、應用那些控制程序、斷網等,就都不愿意去做了,至少目前是這樣。
事實2. 大多數公司不知道自己最容易被侵入的方式
5%-20%的IT安全員工能猜出自家公司最易被侵入的方式,但找不到任何數據來支持自己的論點。這意味著最少也有80%的IT安全員工覺得是其他什么因素。其他IT員工和公司其他部門的人,就更沒頭緒了。如果一家公司絕大多數人都不知道最大的威脅是什么,何談有效防護?
昭示最大威脅的數據這種東西是不存在的。你可能會覺得,花個幾百萬美元,往事件日志管理系統里灌入無數事件,“最大的威脅是什么”這種問題,答案自現。然而并不是。這個問題永遠都沒那么容易解答,尤其是你連問都沒問的時候。
事實3. 真正的威脅和感知到的威脅之間是天差地別的
你最大的潛在威脅和最大的實際漏洞利用之間,隔著一條馬里亞納海溝。懂得其間差別的安全防御者,其價值堪比珍寶。
每年都有5000-7000個新漏洞利用出現,且十幾年來一直保持這個頻度。其中1/4到1/3被標記為高危。這意味著,執行漏洞掃描軟件或查看補丁管理報告,你總會發現有成噸的“高優先級”漏洞等待修復。一口吃不成胖子,每次能專注修復的也就那么幾個。于是,如果你的報告中有20個第一優先級漏洞需要修復,你該怎么辦?
從會對你當前環境造成最嚴重破壞的開始,然后是最有可能的元兇。最大的敵人,未必是排序最高的漏洞。都無所謂。關鍵性排序,是按造成傷害的可能性來排的。真正的傷害,未來最有可能的傷害,勝過猜測。理解這一點,應該會改變作為計算機安全防御者的很多操作。
事實4. 防火墻和殺毒軟件沒那么重要
今天的很多威脅,都是客戶一端的威脅,是由終端用戶引發的。也就是說,這些威脅已然穿過了所有防火墻(比如網絡和主機防火墻),抵達了用戶的桌面電腦。威脅一旦滲透到這一步,防火墻也就提供不了什么價值了。
傳統防火墻的主要價值,是阻止對現有脆弱服務的未授權連接。如果你的服務很健壯,防火墻可能就提供不了太多價值。這并不是說它們就沒有任何價值。防火墻可以,也確實在提供價值,尤其是智能深度包檢測防火墻。事實只不過是,大多數威脅不再是它們阻止的東西,于是,它們曾經的巨大價值,也就煙消云散了。
殺毒軟件沒什么價值,因為哪款殺軟都很難對所有新興惡意軟件100%有效。但凡看到什么“100%”的評分,別信。這種測試都是在受控環境下進行的,測試環境中的惡意軟件才沒有像現實世界中那么頻繁地更新呢。現實世界中,你遭遇到的惡意程序先頭部隊,不過是個下載器,用來下載能繞過所有殺軟的全新惡意軟件的。
事實5. 100%昭示風險的2個問題
十幾年來,被漏洞利用的兩大最可能原因,就是沒打補丁的軟件,以及誘騙某人安裝不該安裝的東西的社會工程事件。這2個問題幾乎擔起了近100%的風險。說世界上所有其他漏洞利用類型加到一起才占1%的風險,或許有點牽強。但可以說,如果你不解決好這2個最大的問題,其他問題就都不重要了。
1個沒打補丁的軟件程序,往往承載著90%多的Web漏洞利用。社會工程又占了剩下的大部分。請一定確保自己的關注重點落在正確的問題上。
