以下5個(gè)事實(shí)，是很多計(jì)算機(jī)安全風(fēng)險(xiǎn)和漏洞利用背后的根源。如果你現(xiàn)在能很好地理解它們，未來(lái)你就能領(lǐng)先同行一步。

[[215782]]

事實(shí)1. 每家公司都被黑了

每當(dāng)最新大型數(shù)據(jù)泄露事件曝出，人們可能會(huì)覺(jué)得，涉事公司肯定是在計(jì)算機(jī)安全方面做得不好。下一次重大黑客事件發(fā)生，造成數(shù)百萬(wàn)客戶記錄被盜或上千萬(wàn)美元損失時(shí)，你應(yīng)該想的是，“每家公司都被黑了。這不過(guò)是媒體當(dāng)前正在熱炒的一起而已。”

[[215783]]

每家公司都被某惡意黑客完全掌握，或很容易被黑客掌控。事實(shí)就是如此。當(dāng)然，完全沒(méi)有互聯(lián)網(wǎng)，且硬盤每天收工時(shí)得放入保險(xiǎn)箱的絕密軍事設(shè)施除外。這里說(shuō)的只是普通企業(yè)或小公司。

評(píng)估公司網(wǎng)絡(luò)安全狀態(tài)的時(shí)候，大多數(shù)情況下，都會(huì)有不止一名黑客隱身在被評(píng)估公司網(wǎng)絡(luò)某處。尤其是最近10年，甚至?xí)袔捉M黑客藏匿數(shù)年之久。典型案例是一家公司同時(shí)有8個(gè)黑客小組盯上，其中幾組在其網(wǎng)絡(luò)中遨游了有10年之久。

該案例很有意思，因?yàn)樵摴緦で蟀踩u(píng)估的原因之一，是有個(gè)他們并不想打的軟件補(bǔ)丁，無(wú)論他們?cè)趺催x擇，都會(huì)被打上。該黑客組織實(shí)在等不了這家受害公司自己建設(shè)安全環(huán)境了，因?yàn)樵絹?lái)越多的黑客小組正在涌入。當(dāng)黑客都比你自己更關(guān)心安全，那問(wèn)題就大了。

得到合法授權(quán)后，普通滲透測(cè)試員往往能在1小時(shí)之內(nèi)，就可突破防護(hù)進(jìn)入被評(píng)估公司網(wǎng)絡(luò)內(nèi)部。已經(jīng)做過(guò)滲透測(cè)試，并按安全建議加強(qiáng)了防護(hù)的公司，滲透時(shí)間可能會(huì)長(zhǎng)一些。頂級(jí)滲透測(cè)試員侵入公司的速度還會(huì)更快，更別提坐擁無(wú)數(shù)零日漏洞的國(guó)家支持黑客了。

全世界的計(jì)算機(jī)，安全防護(hù)都很糟糕。都不需要零日漏洞利用，東摸摸西碰碰，找個(gè)容易侵入的弱點(diǎn)就可以。大多數(shù)公司在保護(hù)計(jì)算機(jī)安全上遠(yuǎn)不足夠。很多都是說(shuō)得好聽，但一旦落到實(shí)處，例如完善補(bǔ)丁、應(yīng)用那些控制程序、斷網(wǎng)等，就都不愿意去做了，至少目前是這樣。

事實(shí)2. 大多數(shù)公司不知道自己最容易被侵入的方式

5%-20%的IT安全員工能猜出自家公司最易被侵入的方式，但找不到任何數(shù)據(jù)來(lái)支持自己的論點(diǎn)。這意味著最少也有80%的IT安全員工覺(jué)得是其他什么因素。其他IT員工和公司其他部門的人，就更沒(méi)頭緒了。如果一家公司絕大多數(shù)人都不知道最大的威脅是什么，何談?dòng)行Х雷o(hù)?

[[215784]]

昭示最大威脅的數(shù)據(jù)這種東西是不存在的。你可能會(huì)覺(jué)得，花個(gè)幾百萬(wàn)美元，往事件日志管理系統(tǒng)里灌入無(wú)數(shù)事件，“最大的威脅是什么”這種問(wèn)題，答案自現(xiàn)。然而并不是。這個(gè)問(wèn)題永遠(yuǎn)都沒(méi)那么容易解答，尤其是你連問(wèn)都沒(méi)問(wèn)的時(shí)候。

事實(shí)3. 真正的威脅和感知到的威脅之間是天差地別的

你最大的潛在威脅和最大的實(shí)際漏洞利用之間，隔著一條馬里亞納海溝。懂得其間差別的安全防御者，其價(jià)值堪比珍寶。

每年都有5000-7000個(gè)新漏洞利用出現(xiàn)，且十幾年來(lái)一直保持這個(gè)頻度。其中1/4到1/3被標(biāo)記為高危。這意味著，執(zhí)行漏洞掃描軟件或查看補(bǔ)丁管理報(bào)告，你總會(huì)發(fā)現(xiàn)有成噸的“高優(yōu)先級(jí)”漏洞等待修復(fù)。一口吃不成胖子，每次能專注修復(fù)的也就那么幾個(gè)。于是，如果你的報(bào)告中有20個(gè)第一優(yōu)先級(jí)漏洞需要修復(fù)，你該怎么辦?

從會(huì)對(duì)你當(dāng)前環(huán)境造成最嚴(yán)重破壞的開始，然后是最有可能的元兇。最大的敵人，未必是排序最高的漏洞。都無(wú)所謂。關(guān)鍵性排序，是按造成傷害的可能性來(lái)排的。真正的傷害，未來(lái)最有可能的傷害，勝過(guò)猜測(cè)。理解這一點(diǎn)，應(yīng)該會(huì)改變作為計(jì)算機(jī)安全防御者的很多操作。

事實(shí)4. 防火墻和殺毒軟件沒(méi)那么重要

今天的很多威脅，都是客戶一端的威脅，是由終端用戶引發(fā)的。也就是說(shuō)，這些威脅已然穿過(guò)了所有防火墻(比如網(wǎng)絡(luò)和主機(jī)防火墻)，抵達(dá)了用戶的桌面電腦。威脅一旦滲透到這一步，防火墻也就提供不了什么價(jià)值了。

[[215785]]

傳統(tǒng)防火墻的主要價(jià)值，是阻止對(duì)現(xiàn)有脆弱服務(wù)的未授權(quán)連接。如果你的服務(wù)很健壯，防火墻可能就提供不了太多價(jià)值。這并不是說(shuō)它們就沒(méi)有任何價(jià)值。防火墻可以，也確實(shí)在提供價(jià)值，尤其是智能深度包檢測(cè)防火墻。事實(shí)只不過(guò)是，大多數(shù)威脅不再是它們阻止的東西，于是，它們?cè)?jīng)的巨大價(jià)值，也就煙消云散了。

殺毒軟件沒(méi)什么價(jià)值，因?yàn)槟目顨④浂己茈y對(duì)所有新興惡意軟件100%有效。但凡看到什么“100%”的評(píng)分，別信。這種測(cè)試都是在受控環(huán)境下進(jìn)行的，測(cè)試環(huán)境中的惡意軟件才沒(méi)有像現(xiàn)實(shí)世界中那么頻繁地更新呢?，F(xiàn)實(shí)世界中，你遭遇到的惡意程序先頭部隊(duì)，不過(guò)是個(gè)下載器，用來(lái)下載能繞過(guò)所有殺軟的全新惡意軟件的。

事實(shí)5. 100%昭示風(fēng)險(xiǎn)的2個(gè)問(wèn)題

十幾年來(lái)，被漏洞利用的兩大最可能原因，就是沒(méi)打補(bǔ)丁的軟件，以及誘騙某人安裝不該安裝的東西的社會(huì)工程事件。這2個(gè)問(wèn)題幾乎擔(dān)起了近100%的風(fēng)險(xiǎn)。說(shuō)世界上所有其他漏洞利用類型加到一起才占1%的風(fēng)險(xiǎn)，或許有點(diǎn)牽強(qiáng)。但可以說(shuō)，如果你不解決好這2個(gè)最大的問(wèn)題，其他問(wèn)題就都不重要了。

[[215786]]

1個(gè)沒(méi)打補(bǔ)丁的軟件程序，往往承載著90%多的Web漏洞利用。社會(huì)工程又占了剩下的大部分。請(qǐng)一定確保自己的關(guān)注重點(diǎn)落在正確的問(wèn)題上。