Roger Grimes

知己知彼，百戰(zhàn)不殆。本文介紹的是所有安全專家都應該知道的一些基本知識。

再老練的專業(yè)人員也很難跟上IT安全領域的快速變化。從業(yè)人員每年平均面臨5000到7000個新的軟件漏洞。去年這個數(shù)字是令人吃驚的16555。這意味著企業(yè)的防御系統(tǒng)每天會出現(xiàn)13～45處新漏洞，而且是日復一日，年復一年。更重要的是，每年還有數(shù)千萬個獨特的惡意軟件程序威脅著企業(yè)的IT環(huán)境，而所有的人類犯罪分子還在不停地干著壞事。

在這不斷涌現(xiàn)的威脅中，一次小小的失誤就會讓你損失慘重，企業(yè)曝光在媒體焦點下，也會導致收入下降，員工被解雇。

這并不是說你沒有成功反擊的機會。當然有，而且一定會有。

本文介紹了每一位計算機安全專業(yè)人士都應該知道的12個要點，以贏得這場安全戰(zhàn)斗。

1.對手的動機

如果你不了解犯罪分子，不知道他們?yōu)槭裁炊⑸狭四?，你就不可能打贏他們。所有攻擊者都有自己的動機和目標，這促使著他們?nèi)ジ蓧氖?，以及怎樣干?/p>

今天，那些給企業(yè)帶來威脅的黑客有著強烈的動機。大多數(shù)都屬于以下類別之一：

金融

民族國家支持的網(wǎng)絡戰(zhàn)

商業(yè)間諜活動

黑客分子

資源盜竊

多人游戲作弊

即使是當今的犯罪分子，每次攻擊都是不一樣的。理解他們的動機是解決他們的關鍵所在。給自己的所作所為問個“為什么”。這是確定網(wǎng)絡上被攻擊目標類型的最佳方法。這還能提供怎樣擊敗犯罪分子的線索。

2.惡意軟件類型

有三類主要的惡意軟件：計算機病毒、特洛伊木馬和蠕蟲。任何惡意軟件程序都是這三類中的一個或者多個的組合。

計算機病毒是一種惡意軟件程序，它把自己駐留在其他程序、文件和數(shù)字存儲中進行復制。特洛伊木馬是一種惡意軟件程序，聲稱自己是合法的，欺騙人們?nèi)ミ\行它。特洛伊木馬不會自我復制;它借助于人類的好奇心來傳播。蠕蟲是一種自我復制的程序，使用代碼來傳播自己。它不需要其他主機程序或者文件。

了解這些惡意軟件的基本類別是很重要的，這樣，當你發(fā)現(xiàn)了一個惡意軟件程序時，就可以分析出在哪些場景下，它最有可能進入你的系統(tǒng)。這將幫助你知道在哪里查找惡意軟件的來源，并了解它能進一步傳播到何處。

3.基本漏洞

每年IT安全專業(yè)人員都會面臨數(shù)千個新的軟件漏洞和數(shù)百萬個獨特的惡意軟件程序，然而，某人的環(huán)境之所以被入侵還在于12種不同的基本漏洞。停止基本漏洞攻擊，將能夠阻止黑客和惡意軟件。下面是10種類型的基本漏洞：

編程漏洞

社會工程攻擊

身份驗證攻擊

人為錯誤

配置錯誤

竊聽/中間人（MITM）

數(shù)據(jù)/網(wǎng)絡數(shù)據(jù)流畸形

內(nèi)部攻擊

第三方依賴問題

物理攻擊

這一切都不應該陌生，但并不意味著很容易防御。

4.加密和數(shù)據(jù)保護

數(shù)字密碼學是一門保護信息不被未經(jīng)授權訪問和修改的藝術。每名IT安全專業(yè)人員都應該學習密碼學的基礎知識，包括不對稱加密、對稱加密、哈希以及密鑰分發(fā)和保護等。

數(shù)據(jù)保護需要大量的密碼學知識。全面的數(shù)據(jù)保護還要求合法地收集并使用數(shù)據(jù)，保護其隱私不被未經(jīng)授權的訪問，并安全地備份數(shù)據(jù)，以防止惡意修改，保證數(shù)據(jù)的可用性。法律對數(shù)據(jù)保護的要求越來越高。（極客們有一個很好的密碼基礎教程。）

閱讀這本書的時候，你應該了解一些量子計算機的知識，知道其破解現(xiàn)代公共密鑰加密的能力。在未來的10年甚至更短的時間里，你有可能被迫把自己使用的所有公鑰密碼（例如，RSA、Diffie-Hellman等）轉移到稱為后量子密碼的密碼技術中。包括美國國家標準與技術研究所在內(nèi)，全世界都在為此舉做好準備。不要對即將到來的巨變漠不關心。

5.網(wǎng)絡和網(wǎng)絡數(shù)據(jù)包分析

只有那些從數(shù)據(jù)包層面上理解網(wǎng)絡的員工才是部門中真正優(yōu)秀的IT安全專業(yè)人員。他們熟悉網(wǎng)絡基礎知識，例如，協(xié)議、端口號、網(wǎng)絡地址、OSI模型的分層、路由器和交換機之間的差異，并且能夠讀取網(wǎng)絡數(shù)據(jù)包的所有不同字段，知道這些字段是干什么用的。

理解了網(wǎng)絡數(shù)據(jù)包分析才真正的理解網(wǎng)絡以及網(wǎng)絡上的計算機。Geeksforgeeks有一個關于網(wǎng)絡基礎的快速教程，Vice有一個關于網(wǎng)絡數(shù)據(jù)包分析的快速入門課程。

6.基本的共同防御

幾乎每臺計算機都有共同的基本防御措施，這是IT專業(yè)人士考慮并加以應用的好方法。這些是計算機安全的“標準”。它們包括：

補丁管理

最終用戶培訓

防火墻

防病毒

安全配置

加密/密碼

身份驗證

入侵檢測

日志記錄

理解和使用基本的通用IT安全防御措施對于每個IT安全專業(yè)人員來說都是必須的。但不要停留在簡單地理解這些措施。還要知道這些措施擅長阻止什么，不擅長干什么。

7.身份驗證基礎

最優(yōu)秀的安全專業(yè)人員知道身份驗證不僅僅是輸入有效密碼或者滿足雙重身份測試的過程。涉及的遠不止這些。身份驗證這一過程首先是為任何命名空間（例如電子郵件地址、用戶主體名稱和登錄名）提供唯一、有效的身份標識。

身份驗證是提供一個或者多個僅由有效身份持有人及其處理器數(shù)據(jù)庫/服務所知道的“秘密”的過程。當有效身份持有人輸入正確的身份驗證信息時，這就證明了經(jīng)過身份驗證的用戶是該身份的有效所有者。經(jīng)過了成功的身份驗證之后，用戶試圖訪問受保護資源時，被稱為授權的安全管理器進程會對其進行檢查。所有登錄和訪問嘗試都應被記錄在日志文件中。

與其他安全措施一樣，身份驗證也在不斷發(fā)展。一種最新的概念，也是我認為最有可能被接受的概念之一，是連續(xù)用戶身份驗證，在這種驗證中，都會按照既定的模式不斷地重新評估登錄用戶所做的每一件事。

8.移動威脅

現(xiàn)在移動設備比地球上的人還多，很多人通過移動設備獲取他們的大部分信息。由于人類的移動能力只會增加，因此IT安全專業(yè)人員應認真對待移動設備、移動威脅和移動安全。最主要的移動威脅包括：

移動領域的惡意軟件

隱私侵犯/盜竊

勒索軟件

網(wǎng)絡釣魚攻擊

間諜軟件

數(shù)據(jù)或者憑據(jù)盜竊

圖片盜竊

不安全的無線

移動威脅和計算機威脅通常沒有太大的區(qū)別，但也有一些不同。一名優(yōu)秀的IT專業(yè)人員應該掌握以上這些。

9.云安全

流行問答：哪四種因素使得云安全比傳統(tǒng)網(wǎng)絡更復雜？

每名IT專業(yè)人員都應該能夠輕松的通過這一測試。

答案是：

缺乏控制

始終掛在網(wǎng)上

多租戶（共享服務/服務器）

虛擬化/容器化/微服務

開玩笑的是，云實際上意味著“其他人的計算機”以及由此帶來的所有風險。傳統(tǒng)的企業(yè)管理員不再控制用于存儲敏感數(shù)據(jù)和服務于用戶的服務器、服務和基礎設施。你不得不相信云供應商的安全部門能夠盡職盡責。云基礎設施幾乎總是多租戶架構，虛擬化以及最近的容器化和微服務開發(fā)使得不同客戶的數(shù)據(jù)分離變得更加復雜。一些人宣稱這是一種更易于實施安全措施的方法，而每一次發(fā)展通常都會使基礎設施變得更加復雜。而且，復雜性和安全性一般不會兩全其美。

10.事件日志記錄

年復一年，研究表明，最容易被漏掉的安全事件其實一直都在日志文件中，就在那里等著被發(fā)現(xiàn)，你所要做的就是仔細查看。一個好的事件日志系統(tǒng)是物超所值的，一名優(yōu)秀的IT專業(yè)人員知道怎樣設置以及何時查看它。

以下是事件日志記錄的基本步驟，每名IT安全專業(yè)人員都應該知道：

政策

配置

事件日志收集

歸一化

索引

存儲

相關

基線

報警

報告

11.事件響應

最終，每一IT環(huán)境都會遭遇防御失敗?？傊诳突蛘咚麄儎?chuàng)新的惡意軟件最后還是攻破了防御。自然的，災難隨之而來。優(yōu)秀的IT專業(yè)人員對此準備好了事件響應計劃，會立即付諸行動。良好的事件響應至關重要。這可能是一件毀了你一天的事情，也可能是一件讓你的企業(yè)名譽掃地的事情?；镜氖录憫ǎ?/p>

及時有效地作出反應

限制損害

進行取證分析

識別威脅

通信

限制未來的損害

承認經(jīng)驗教訓

12.威脅教育與溝通

大部分威脅都是眾所周知的，并且經(jīng)常出現(xiàn)。從最終用戶到高級管理層和董事會的每一位相關者都需要了解當前對自己公司的最大威脅，以及怎樣阻止這些威脅。你面臨的一些威脅，比如社會工程攻擊，只能通過加強對公司員工的教育來阻止。因此，溝通能力往往是優(yōu)秀的IT專業(yè)人員不同于平庸的IT專業(yè)人員的關鍵因素。

無論部署什么技術控制措施，每年總會有破例。所以，一定要讓公司的相關者都做好準備。至少，你的教育計劃應包括以下項目：

對企業(yè)最有可能、最重要的威脅和風險

可接受的應用

安全策略

怎樣進行身份驗證，應避免什么

數(shù)據(jù)保護

了解社會工程攻擊

怎樣以及何時報告可疑的安全事件

Roger Grimes自2005年以來一直擔任安全專欄作家，持有40多個計算機證書，并撰寫了10本計算機安全方面的書籍。

原文網(wǎng)址

https：//www.csoonline.com/article/3429823/12-things-every-computer-security-pro-should-know.html