企業(yè)又遭遇黑客攻擊了？很多人也許認(rèn)為這只是運(yùn)氣太差。恰恰相反，這一切其實(shí)是由對基本安全規(guī)范的忽視所造成。

大多數(shù)企業(yè)在黑客活動面前到底有多脆弱？實(shí)際情況可能令人錯愕--黑客們宣稱他們可以利用自己的系統(tǒng)工具對任何目標(biāo)實(shí)施攻擊，并信心滿滿地保證攻克速度相當(dāng)快捷。我個人熟悉的大多數(shù)漏洞測試工具都能在數(shù)小時甚至更短的時間內(nèi)成功侵入多數(shù)企業(yè)內(nèi)部，更不用說這些保護(hù)機(jī)制在職業(yè)攻擊者面前有多么形同虛設(shè)了。

事情原本不該如此。問題在于，大多數(shù)IT管理員一次又一次重復(fù)著同樣的嚴(yán)重安全失誤。

安全失誤第一位：認(rèn)為當(dāng)前的補(bǔ)丁更新已經(jīng)足夠到位

我為許多企業(yè)做過安全合規(guī)審計工作，而他們無一例外地認(rèn)為自己已經(jīng)部署了足夠良好的補(bǔ)丁管理機(jī)制。根據(jù)這些公司的看法，他們機(jī)構(gòu)內(nèi)部大多數(shù)計算機(jī)上所運(yùn)行的操作系統(tǒng)已經(jīng)打上最新補(bǔ)丁了。但那些普及度最廣、同時也是最容易受到攻擊的應(yīng)用程序呢？他們甚至沒有意識到這也是安全規(guī)范的一部分。

舉個實(shí)例吧，在審計流程中，我發(fā)現(xiàn)某臺處于運(yùn)行中的ApacheWeb服務(wù)器完全沒打過任何補(bǔ)丁。如果這臺計算機(jī)中還運(yùn)行著AdobeAcrobatReader、AdobeFlash或者Java（事實(shí)上它還真的運(yùn)行著這些程序），毫無疑問這些近一段時間來鬧出無數(shù)安全問題的麻煩星人們肯定也錯過了能夠提升安全性的補(bǔ)丁。這并不屬于偶然事件，因?yàn)樵摴静豢赡軟]聽過這些程序在安全方面的巨大漏洞。事實(shí)上，這家企業(yè)多年來幾乎從未在補(bǔ)丁更新方面做過任何積極的努力。

IT管理員們之所以認(rèn)為他們已經(jīng)擁有一套完備的補(bǔ)丁更新機(jī)制，是因?yàn)樗麄儾少徚艘惶兹娴难a(bǔ)丁管理程序，并且分配了專人進(jìn)行監(jiān)督。整個補(bǔ)丁更新流程不僅比之前有了大幅改善，專項(xiàng)負(fù)責(zé)人還會定期檢查相關(guān)列表，以確認(rèn)還有哪些補(bǔ)丁需要注意。我們得承認(rèn)，補(bǔ)丁更新這種事情永遠(yuǎn)不可能盡善盡美。沒人能為每一臺計算機(jī)打上補(bǔ)丁，也不可能照顧到每一款存在漏洞的軟件。然而在這里我想強(qiáng)調(diào)的是，大家不應(yīng)該在工作中三分鐘熱血，在部署階段戴上眼鏡生怕忽略了任何一個小問題，而在日后的平衡運(yùn)作階段則完全撒手不管。

最重要的是，大多數(shù)部門根本無法按照自己的想法及時為應(yīng)用程序更新補(bǔ)丁，因?yàn)檫@里還存在一個大問題--應(yīng)用程序兼容性（也許真實(shí)存在，也許只是種使用感受）。舉例來說，某些員工原本一直在堅持對Java進(jìn)行更新，接著有一天他們聽說其它部門在更新中出現(xiàn)了錯誤并造成一定損失，那他們很可能會暫時放棄這一良好習(xí)慣--甚至永遠(yuǎn)放棄。又或者他們不得不為此保留Java的各個版本，以盡量避免更新過程可能帶來的麻煩。

隨著時間慢慢逝去，我們對于補(bǔ)丁安全之類的話題變得越來越遲鈍，企業(yè)中的計算機(jī)也就愈發(fā)缺乏補(bǔ)丁的保護(hù)?？吹狡届o和諧的情景，管理層天真地以為補(bǔ)丁問題已經(jīng)得到解決并順利步入正軌，殊不知當(dāng)前的情況甚至比原先更加危險。而毫無疑問，黑客們會為了這種有利局面而彈冠相慶。

安全失誤第二位：不了解業(yè)務(wù)流程中哪些程序需要運(yùn)行

大多數(shù)IT部門完全不清楚自己的計算機(jī)上到底運(yùn)行著哪些程序。新計算機(jī)到位之后，往往需要預(yù)先安裝數(shù)十款實(shí)用工具及程序，而其中不少用戶根本就用不上。在這種情況下，一方面預(yù)裝程序自身可能存在問題，另一方面用戶往往還需要自行添加更多工具及程序?？傊嬲度胧褂脮r，一臺計算機(jī)上運(yùn)行著數(shù)百個進(jìn)程的情況可謂屢見不鮮。

如果我們根本不了解自己面對的對象是什么，那么管理也就無從談起。這些程序往往規(guī)模龐大，擁有大量已知漏洞或是由供應(yīng)商預(yù)留的后門，此類狀況都可能成為攻擊者們組織侵入的契機(jī)。如果大家希望自己的工作環(huán)境更加安全，那么首先要清點(diǎn)工作中哪些程序處于運(yùn)行狀態(tài)，剔除不需要的冗余內(nèi)容，并盡全力保護(hù)好其它必要程序。

安全失誤第三位：對異?，F(xiàn)象重視不夠

盡管黑客們能夠在侵入系統(tǒng)的同時最大程度隱匿自己的形跡，但他們?nèi)匀缓茈y做到來去自如而不引發(fā)任何異?，F(xiàn)象。黑客們需要查探網(wǎng)絡(luò)狀況，從一臺計算機(jī)接入到其它多臺計算機(jī)處而不進(jìn)行任何信息交互。基本上黑客達(dá)成目的的手法還是有一定規(guī)律可循的，因?yàn)樗麄兊男袆幽Ｊ脚c一般終端用戶存在較大差別。

大多數(shù)IT管理員對于網(wǎng)絡(luò)活動及活動水平是否正常及合理都沒什么概念，更別提制訂一套基準(zhǔn)進(jìn)行衡量了。如果大家不對正常網(wǎng)絡(luò)活動做出定義，在異常情況發(fā)生時我們又該如何識別并及時發(fā)出警告呢？根據(jù)Verizon數(shù)據(jù)泄露調(diào)查報告中的說法，如果受害人對于信息具備一定的控制機(jī)制，那么幾乎每一次嚴(yán)重的數(shù)據(jù)泄露事件都本有機(jī)會被提早發(fā)現(xiàn)或加以預(yù)防；然而年復(fù)一年，同樣的悲劇仍在不斷上演。

安全失誤第四位：未制定嚴(yán)密有效的密碼管理策略

我想大家都知道，高強(qiáng)度密碼（長度較長、內(nèi)容較復(fù)雜）及定期密碼更換機(jī)制的重要性。我所見過的每一位管理員都信誓旦旦地保證他們使用的密碼強(qiáng)度符合要求，但經(jīng)過實(shí)際檢查，我發(fā)現(xiàn)根本不是這么回事。當(dāng)然，相對于民用級賬戶而言他們的密碼強(qiáng)度也許夠用，但現(xiàn)在我們要討論的是企業(yè)級服務(wù)器賬戶、域際賬戶以及其它超級用戶賬戶，在這方面他們的密碼仍然顯得弱不禁風(fēng)。

我曾提出過這樣一種理論：賬戶的權(quán)限越高，密碼強(qiáng)度就會變得越弱，而且密碼定期更換的頻率也就越低。想了解自己制定的密碼管理機(jī)制到底夠不夠完善？方法很簡單，發(fā)送一條查詢，看看從最后一次更換密碼到現(xiàn)在，中間間隔了多少天。幾乎可以肯定，大多數(shù)人會發(fā)現(xiàn)自己已經(jīng)有好幾年沒更換過登錄密碼了。

安全失誤第五位：未能及時向用戶公布近期安全威脅

這一點(diǎn)在我看來最為普遍，也最令人頭痛。我們都承認(rèn)終端用戶是安全保護(hù)體系中最薄弱的一環(huán)，但幾乎沒人意識到應(yīng)該定期向他們公布最新出現(xiàn)的安全威脅。所謂最新出現(xiàn)的安全威脅，是指在過去五年中出現(xiàn)次數(shù)最多、造成影響最大的那些標(biāo)志性安全問題。令人難以置信的是，大多數(shù)用戶都非常了解電子郵件附件也能成為攻擊活動的載體--要知道，這可是十年之前比較流行的攻擊方式，現(xiàn)在早已經(jīng)過時了。

而每當(dāng)問起終端用戶是否意識到他們有可能在訪問自己最了解、最信任而且每天都會登錄的網(wǎng)站時被感染，他們的回答總是一片驚呼--是的，對于大多數(shù)終端用戶而言，自己喜愛的站點(diǎn)上的惡意廣告或者主流互聯(lián)網(wǎng)搜索引擎會帶來安全威脅的言論更像是種天方夜譚。他們也不知道，由Facebook上網(wǎng)友發(fā)來的可愛小程序中很可能也包含著惡意內(nèi)容。他們不了解真正的殺毒軟件與只會在屏幕上彈出提示窗口的假冒殺毒軟件有哪些區(qū)別，他們不知道的東西很多，因?yàn)槲覀儚臎]想過為他們提供系統(tǒng)的指導(dǎo)。

以上提到的五大安全失誤其實(shí)根本不具備任何時效性，它們從出現(xiàn)到今天已經(jīng)超過二十年了。真正令我感到震驚的是管理人員對工作現(xiàn)狀的自滿態(tài)度。他們對項(xiàng)目進(jìn)行檢查，然后將注意力轉(zhuǎn)移到更大更艱巨的任務(wù)上來--但實(shí)際上，他們精心打造的安全工作環(huán)境甚至不堪一擊。而這一切并不難發(fā)現(xiàn)，只需幾個簡單的問題或者查詢指令，管理員們完全能夠發(fā)現(xiàn)問題所在。

對于所有意識到上述問題的IT管理人員，我要表達(dá)自己最誠摯的敬意，至少大家已經(jīng)開始正視這些失誤，這是解決問題的先決條件。保持審慎的工作態(tài)度，我們必將在未來的安全對抗當(dāng)中占得先機(jī)。

原文鏈接：

http://www.infoworld.com/d/security/5-big-security-mistakes-youre-probably-making-188517