任何有效的企業(yè)IT安全計(jì)劃都必須基于某些核心原則。這些安全原則已經(jīng)經(jīng)過(guò)數(shù)十年的嘗試和測(cè)試。它們包括深度防御，最低特權(quán)訪問(wèn)，角色分離和安全故障。IT安全最重要的基本原則之一就是確保最薄弱的環(huán)節(jié)。

組織的IT安全基礎(chǔ)架構(gòu)不是一個(gè)整體。它由多個(gè)部分組成，這些部分必須協(xié)同工作，以最大程度地降低組織防御遭到破壞的可能性。這些不同的部分具有不同的復(fù)雜程度以及不同的漏洞級(jí)別。

最薄弱環(huán)節(jié)的吸引力

為了更好地理解最薄弱環(huán)節(jié)原理，讓我們來(lái)看一個(gè)假設(shè)的場(chǎng)景。想象一下，你的任務(wù)是將一件珍貴的藝術(shù)收藏品從一個(gè)破舊的偏遠(yuǎn)倉(cāng)庫(kù)轉(zhuǎn)移到城市中心一個(gè)高度安全的銀行保險(xiǎn)庫(kù)。你簽了一個(gè)裝甲運(yùn)輸服務(wù)來(lái)運(yùn)輸物品。

現(xiàn)在，假設(shè)有一個(gè)罪犯剛剛抓住這一迫在眉睫的舉動(dòng)，并打算竊取藝術(shù)品。他們戰(zhàn)略的核心將是確定最佳的攻擊地點(diǎn)和時(shí)間。在這種情況下，他們可能不愿冒險(xiǎn)抵抗銀行保險(xiǎn)庫(kù)或裝甲運(yùn)輸服務(wù)。遠(yuǎn)程倉(cāng)庫(kù)可能是他們的最佳選擇。這是最薄弱的環(huán)節(jié)。

網(wǎng)絡(luò)犯罪分子的資源有限

黑客沒(méi)有無(wú)限的資源和時(shí)間可支配。他們希望將精力用在他們工作中最容易獲得最快收益的領(lǐng)域。攻擊者會(huì)直奔阻力最小的路徑。他們會(huì)攻擊看起來(lái)最弱的安全控制，而不是看起來(lái)最強(qiáng)的安全控制。

無(wú)論是一個(gè)躲在地下室的少年黑客，還是一個(gè)由國(guó)家支持的復(fù)雜黑客組織，其原理都是一樣的。他們將尋找最薄弱的環(huán)節(jié)，并試圖從這一點(diǎn)突破組織的防御。當(dāng)有更容易進(jìn)入的方法時(shí)，沒(méi)有人會(huì)故意花費(fèi)時(shí)間和金錢(qián)試圖滲透IT基礎(chǔ)設(shè)施中戒備森嚴(yán)的部分。只有當(dāng)他們無(wú)法突破最薄弱的環(huán)節(jié)時(shí)，他們才會(huì)去探索更具挑戰(zhàn)性的選擇。

最弱的環(huán)節(jié)不一定能獲取最大收益

即使這樣的鏈接比您組織的安全基礎(chǔ)結(jié)構(gòu)中的高度安全元素所獲得的回報(bào)更少，也會(huì)出現(xiàn)最弱鏈接的優(yōu)先級(jí)。想一想。銀行持有的現(xiàn)金比當(dāng)?shù)氐谋憷甓嗟枚唷尳巽y行肯定會(huì)在財(cái)務(wù)上更有利可圖。但是，與便利店的保護(hù)措施較弱相比，普通搶劫者很難滲透到銀行的先進(jìn)安全技術(shù)上。便利店是更容易受到攻擊并成功逃脫的目標(biāo)。

人并不總是最薄弱的環(huán)節(jié)

從安全角度來(lái)看，最終用戶，技術(shù)支持人員或基礎(chǔ)架構(gòu)管理員等通常被認(rèn)為是最薄弱的環(huán)節(jié)，這個(gè)論點(diǎn)是有道理的。然而，人類由于決策的不可預(yù)測(cè)性和易受社會(huì)工程的影響而變得脆弱，最薄弱的環(huán)節(jié)也可能是安全功能或特征。

找出最薄弱的環(huán)節(jié)并降低風(fēng)險(xiǎn)

那么，如何識(shí)別IT安全設(shè)計(jì)中最薄弱的環(huán)節(jié)?您需要進(jìn)行全面的風(fēng)險(xiǎn)分析。由此，您應(yīng)該看到哪些風(fēng)險(xiǎn)是最容易利用的。但是僅僅找出最薄弱的環(huán)節(jié)是不夠的。有了大量的風(fēng)險(xiǎn)數(shù)據(jù)，您可以按嚴(yán)重程度對(duì)風(fēng)險(xiǎn)進(jìn)行排序，并首先專注于減輕最嚴(yán)重的風(fēng)險(xiǎn)，而不是那些最容易處理的風(fēng)險(xiǎn)。

安全資源應(yīng)該根據(jù)風(fēng)險(xiǎn)的嚴(yán)重程度來(lái)分配。考慮到資源不是無(wú)限的，解決所有風(fēng)險(xiǎn)是不可能的。必須有一個(gè)終點(diǎn)，這是通過(guò)衡量可接受風(fēng)險(xiǎn)的參數(shù)來(lái)確定的。什么樣的風(fēng)險(xiǎn)是可接受的，因人而異。

解決最薄弱的環(huán)節(jié)是根本

如果您打算為您的IT基礎(chǔ)設(shè)施進(jìn)行安全設(shè)計(jì)，那么識(shí)別和保護(hù)最薄弱的環(huán)節(jié)是至關(guān)重要的。解決最薄弱的環(huán)節(jié)意味著你可以避免一種類似于設(shè)置大門(mén)并期待攻擊者直接跑向它的策略，而大門(mén)周?chē)](méi)有限制他們的訪問(wèn)。

通過(guò)關(guān)注最薄弱的環(huán)節(jié)，您可以將時(shí)間和精力花費(fèi)在最重要的風(fēng)險(xiǎn)上。只有在確定了自己的弱點(diǎn)之后，才能為您的系統(tǒng)提供一定的舒適度，使其免受攻擊。