正所謂 “知己知彼，百戰(zhàn)不殆”，想要贏一場漂亮的勝仗，一定要對自身和對手都具備非常充分地了解。以下就是所有安全專業(yè)人士都應該了解的一些基礎問題。

[[275165]]

如今，很少有職業(yè)需要緊隨 IT 安全的變化速度而做出改變。據(jù)統(tǒng)計，IT 從業(yè)者每年平均會遭遇 5000 到 7000 個新的軟件漏洞，去年這一數(shù)字更是飆升到了驚人的 16,555 個。這就相當于每天，日復一日，年復一年地在你的安全防御系統(tǒng)中都會爆發(fā) 13 - 45 個新的漏洞。這就是組織 IT 環(huán)境每年面臨數(shù)以千萬計的惡意軟件威脅的原因，也是攻擊者不斷進行攻擊嘗試的原因所在。

在這種持續(xù)不斷的威脅中，僅僅是單一的漏洞就可能會破壞組織的業(yè)務，讓其遭受聲譽和收入的雙重損失，甚至直接面臨破產(chǎn)倒閉的結(jié)局。

這并不是說你的 IT 團隊無法成功反擊。當然可以，而且也會實現(xiàn)。

以下是每個計算機安全專業(yè)人員想要成功應對網(wǎng)絡攻擊都應該知道的 12 件事：

1. 了解對手的動機

你無法在不了解對手是誰以及他們?yōu)槭裁瘁槍δ銓嵤┕舻那闆r下成功地反擊敵人。所有攻擊者都有自己的動機和目標，這兩件事決定了他們所做的一切以及他們的具體實踐方式。

如今，威脅你的黑客大多都有著明確的動機(純粹出于好奇的除外)。這些攻擊大致可分為以下類別：

• 經(jīng)濟動機
• 民族主義國家支持/網(wǎng)絡戰(zhàn)
• 企業(yè)間諜活動
• 黑客行為主義者
• 資源盜取
• 在多人游戲中作弊

如今的攻擊者每次攻擊的方式和動機都是不一樣的。了解他們的動機對于應對攻擊而言是至關(guān)重要的一步。了解攻擊者為何以及如何實現(xiàn)破解，是確定你的網(wǎng)絡究竟屬于哪個目標類型的最佳方法，同時，這也可能提供如何擊敗對手的線索。

2. 惡意軟件的類型

惡意軟件有三種主要類型：計算機病毒、特洛伊木馬以及蠕蟲。任何惡意軟件程序都是這些類型中的一個或多個的混合體。

(1) 計算機病毒

計算機病毒是 “指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。其必須滿足兩個條件：

• 它必須能自行執(zhí)行。它通常將自己的代碼置于另一個程序的執(zhí)行路徑中;
• 它必須能自我復制。例如，它可能用受病毒感染的文件副本替換其他可執(zhí)行文件。病毒既可以感染桌面計算機也可以感染網(wǎng)絡服務器。

(2) 木馬

特洛伊木馬指那些表面上是有用的軟件、實際目的卻是危害計算機安全并導致嚴重破壞的計算機程序。它是具有欺騙性的文件(宣稱是良性的，但事實上是惡意的)，是一種基于遠程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點。

所謂 “隱蔽性” 是指木馬的設計者為了防止木馬被發(fā)現(xiàn)，會采用多種手段隱藏木馬，這樣服務端即使發(fā)現(xiàn)感染了木馬，也難以確定其具體位置;所謂 “非授權(quán)性” 是指一旦控制端與服務端連接后，控制端將竊取到服務端的很多操作權(quán)限，如修改文件，修改注冊表，控制鼠標，鍵盤，竊取信息等等。

特洛伊木馬與病毒的重大區(qū)別是特洛伊木馬不具傳染性，它并不能像病毒那樣復制自身，也并不 “刻意” 地去感染其他文件，它主要通過將自身偽裝起來，吸引用戶下載執(zhí)行。

(3) 蠕蟲

蠕蟲是一種通過網(wǎng)絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等，同時具有自己的一些特征，如不利用文件寄生(有的只存在于內(nèi)存中)，對網(wǎng)絡造成拒絕服務，以及和黑客技術(shù)相結(jié)合等等。

了解這些惡意軟件的基本類別非常重要，這樣當你檢測出惡意軟件程序時，你就可以一同對最有可能的入侵場景進行解析。這不僅可以幫助你了解在何處查找惡意軟件程序的來源，而且可以了解它可能會進一步傳播的位置。

3. 根本漏洞類型

每年，IT 安全專業(yè)人員都面臨著數(shù)千個新的軟件漏洞和數(shù)百萬個不同的惡意軟件程序，但只有 12 種根本漏洞會讓這些軟件漏洞和惡意軟件程序攻擊你的設備。了解這些根本原因，你就可以阻止黑客攻擊和惡意軟件。以下是十二種根本漏洞：

• 零日攻擊——又叫零時差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。通俗地講，即安全補丁與漏洞曝光的同一日內(nèi)，相關(guān)的惡意程序就出現(xiàn)。這種攻擊往往具有很大的突發(fā)性與破壞性;
• 未修補的軟件——研究表明，未修補的漏洞是大多數(shù)數(shù)據(jù)泄露的根源。未修補的軟件或未更新的軟件可能是主要的IT安全風險。如果您不更新軟件，則會讓您容易受到攻擊者攻擊。一旦(安全)更新可用于軟件包，攻擊者就會針對尚未更新的軟件包。在現(xiàn)實中，許多公司并不總是立即更新他們的瀏覽器，即使這附帶了很大的風險;
• 惡意軟件——指在計算機系統(tǒng)上執(zhí)行惡意任務的病毒、蠕蟲和特洛伊木馬的程序，通過破壞軟件進程來實施控制。惡意軟件由多種威脅組成，會不斷彈出，需要采取多種方法和技術(shù)來進行反病毒保護;
• 社交工程學——社會工程學是一種利用人的弱點如人的本能反應、好奇心、信任、貪便宜等弱點進行諸如欺騙、傷害等危害手段，獲取自身利益的手法?，F(xiàn)實中運用社會工程學的犯罪很多。短信詐騙如詐騙銀行信用卡號碼，電話詐騙如以知名人士的名義去推銷詐騙等，都運用到社會工程學的方法;
• 密碼攻擊——嘗試獲取或解密用戶的密碼以供非法使用。黑客可以在密碼攻擊中使用破解程序，字典攻擊和密碼嗅探器;
• 竊聽/MITM(中間人攻擊)——一種 “間接” 的入侵攻擊，這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的一臺計算機虛擬放置在網(wǎng)絡連接中的兩臺通信計算機之間，這臺計算機就稱為 “中間人”。在網(wǎng)絡安全方面，MITM 攻擊的使用是很廣泛的，曾經(jīng)猖獗一時的 SMB 會話劫持、DNS 欺騙等技術(shù)都是典型的 MITM 攻擊手段;
• 數(shù)據(jù)泄露——數(shù)據(jù)泄露是一種安全事件，其中敏感，受保護或機密數(shù)據(jù)被未經(jīng)授權(quán)的個人復制，傳輸，查看，竊取或使用。數(shù)據(jù)泄露可能涉及財務信息，如信用卡或銀行詳細信息，個人健康信息 (PHI)，個人身份信息 (PII)，公司的商業(yè)秘密或知識產(chǎn)權(quán);
• 配置錯誤——如果組件由于不安全的配置選項而容易受到攻擊，則可能會發(fā)生安全性錯誤配置漏洞。這些漏洞通常是由于不安全的默認配置，缺乏文檔的默認配置或可選配置的文檔記錄不良而導致的。這可能包括未能在 Web 服務器上設置有用的安全標頭，以及忘記禁用可授予攻擊者管理訪問權(quán)限的默認平臺功能;
• 拒絕服務——攻擊者想辦法讓目標機器停止提供服務，是黑客常用的攻擊手段之一。其實對網(wǎng)絡帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分，只要能夠?qū)δ繕嗽斐陕闊?，使某些服務被暫停甚至主機死機，都屬于拒絕服務攻擊;
• 內(nèi)部人士/合伙人/顧問/供應商/第三方——這是一種內(nèi)部威脅，是指前員工或現(xiàn)員工，有權(quán)限訪問組織的網(wǎng)絡系統(tǒng)，數(shù)據(jù)等信息的承包商或業(yè)務合作伙伴有意或無意的利用這種機會來竊取機密，破壞組織網(wǎng)絡系統(tǒng)的完整性或可用性;
• 用戶錯誤——同樣屬于一種內(nèi)部威脅;
• 物理訪問——指的是人們物理訪問計算機系統(tǒng)的能力。通過對辦公室的物理訪問，知識淵博的攻擊者將很快能夠找到訪問該組織的計算機系統(tǒng)和網(wǎng)絡所需的信息;

你可能對每個類別都不陌生，但這并不意味著一切是容易實現(xiàn)的。

4. 密碼學和數(shù)據(jù)保護

數(shù)字密碼學是一門藝術(shù)，它可以使信息安全免受未經(jīng)授權(quán)的訪問和修改。每個 IT 安全專業(yè)人員都應該學習加密技術(shù)的基礎知識，其中包括非對稱加密、對稱加密、散列，以及密鑰分發(fā)和保護等。

數(shù)據(jù)保護需要大量的加密技術(shù)。而數(shù)據(jù)的完整性保護還要求以合法方式收集和使用數(shù)據(jù)，保護隱私內(nèi)容免受未經(jīng)授權(quán)的訪問，同時確保安全備份有能力防止惡意篡改并實現(xiàn)可用性。

如今，法律對于數(shù)據(jù)保護的要求正變得越來越嚴格，例如歐盟《通用數(shù)據(jù)保護條例》(GDPR) 的推出。作為 IT 安全從業(yè)者，你必須跟上量子計算機的進程，并充分了解其破解現(xiàn)代公鑰加密的能力。在接下來的 10 年或更短時間內(nèi)，你可能需要被迫將自己習慣的公鑰密碼(例如RSA、Diffie-Hellman等)全部轉(zhuǎn)換為叫做 “抗量子” (post-quantum) 密碼的密碼術(shù)。全世界都在為此做準備，包括美國國家標準與技術(shù)研究院 (NIST)。所以，不要告訴我，你還沒有意識到這一即將發(fā)生的巨大變化。

5. 網(wǎng)絡和網(wǎng)絡數(shù)據(jù)包分析

其實，識別團隊中真正優(yōu)秀的 IT 安全專業(yè)人員并不難，觀察他們是否能夠?qū)W(wǎng)絡數(shù)據(jù)包進行分析即可。真正優(yōu)秀的 IT 安全專業(yè)人員應該能夠熟練地使用網(wǎng)絡基礎知識，例如協(xié)議、端口編號、網(wǎng)絡地址、OSI 模型層、路由器和交換機之間的區(qū)別，并且能夠讀取和理解網(wǎng)絡包內(nèi)所有不同字段的實際用途。

總而言之，理解網(wǎng)絡數(shù)據(jù)包分析是為了真正了解網(wǎng)絡和使用它們的計算機。

6. 基礎性常規(guī)防御

幾乎每臺計算機都有常規(guī)的基礎防御機制，優(yōu)秀的IT專業(yè)人員會盡可能地考慮和應用這些方法來實現(xiàn)最佳的保護效果。以下是計算機安全的 “標準”，具體包括：

• 補丁管理
• 終端用戶培訓
• 防火墻
• 殺毒軟件
• 安全配置
• 加密/解密
• 身份驗證機制
• 入侵檢測
• 日志記錄

理解和使用這些常規(guī)性的IT基礎安全防御機制是每位IT安全專業(yè)人員必備的技能。但除了簡單地了解其功能之外，還要弄清楚其擅長執(zhí)行哪些任務以及缺乏哪些保護能力等。

7. 認證基礎知識

安全專業(yè)人員都知道，身份驗證不僅僅是輸入有效密碼或滿足雙因素 ID 測試的過程。它還涉及更多細節(jié)。身份驗證從為任何命名空間提供唯一有效身份標簽的過程開始，例如電子郵件地址、用戶主體名稱或登錄名。

認證的本質(zhì)，是提供僅由有效身份持有者及其認證數(shù)據(jù)庫/服務所知的一個或多個 “秘密” 信息的過程。當有效身份證持有者輸入正確的身份驗證因素時，即證明通過身份驗證的用戶是該身份的有效持有者。然后，在成功進行身份驗證之后，嘗試訪問受保護資源將由稱為授權(quán)的安全管理器進行檢查。所有登錄和訪問嘗試應記錄到日志文件中。

與安全領(lǐng)域的其他所有事物一樣，身份認證也正在不斷發(fā)展完善。其中一個較新的概念，同時也是我認為最有可能保留的概念之一是持續(xù)性用戶身份認證，在這種認證機制中，記錄用戶執(zhí)行的所有操作都會根據(jù)已建立的模式不斷重新評估。

8. 移動威脅

如今，全球的移動設備數(shù)量已經(jīng)超過了全球人口總數(shù)，而且大多數(shù)人習慣通過移動設備獲取大部分日常信息。鑒于人類的移動通信能力只可能不斷提高，因此IT安全專業(yè)人員需要認真對待移動設備、移動威脅以及移動安全性等問題。目前最主要的移動威脅包括：

• 移動惡意軟件
• 間諜軟件
• 數(shù)據(jù)或憑證竊取
• 圖片竊取
• 勒索軟件
• 網(wǎng)絡釣魚攻擊
• 不安全的無線網(wǎng)絡

對于大多數(shù)移動威脅來說，威脅移動設備或計算機沒有太大區(qū)別。但是，兩者間還是存在一些不同之處的，你需要知道它是什么。任何不熟悉移動設備細節(jié)的IT專業(yè)人員都應該盡快開始了解。

9. 云計算安全

流行問答：有哪四個因素使得云計算安全性比傳統(tǒng)網(wǎng)絡更復雜?

每位IT專業(yè)人員都應該能夠輕松通過這項測試。

其答案是：

• 缺乏控制能力
• 始終暴露在互聯(lián)網(wǎng)上
• 多租戶(共享服務/服務器)模式
• 虛擬化/容器化/微服務

有趣的是，云所真正代表的實際是 “其他人的計算機”，以及由此帶來的一切風險。傳統(tǒng)的企業(yè)管理員無法控制用于在云中存儲敏感數(shù)據(jù)和服務用戶的服務器、服務和基礎設施。因此，你必須寄希望于云服務供應商，相信他們的安全團隊正在履行其職責。云基礎架構(gòu)幾乎都是多租戶模式，通過虛擬化和最新興起的微服務及容器化開發(fā)而來，因此我們很難將不同客戶的數(shù)據(jù)區(qū)分開來。一些人認為，這樣做有助于使安全性更容易實現(xiàn)，但每一項開發(fā)通常都會使基礎設施更加復雜，而復雜性和安全性通常存在相互沖突的關(guān)系。

10. 事件記錄

年復一年，安全研究表明，最易被忽視的安全事件其實一直存在于日志文件中。你所要做的就是查看事件記錄。良好的事件日志系統(tǒng)是具有價值的，優(yōu)秀的 IT 專業(yè)人員應該知道如何設置以及何時進行查詢。

以下是事件記錄的基本執(zhí)行步驟，每個 IT 安全專業(yè)人員都應該熟練掌握：

• 政策
• 配置
• 事件日志收集
• 規(guī)范化
• 索引
• 存儲
• 相關(guān)性
• 基線
• 警報
• 報告

11. 事件響應

最終，每個 IT 環(huán)境可能都會遭遇安全防御失敗的狀況。不知何故，黑客或者由此創(chuàng)建的惡意軟件總能找到可乘之機，隨之而來的就是嚴重的負面后果。因此，一位優(yōu)秀的 IT 專業(yè)人員需要對此準備就緒，并制定事件響應計劃，該計劃最好能夠立即付諸實施。良好的事件響應至關(guān)重要，這可能最終決定著我們的企業(yè)形象甚至商業(yè)生命能否延續(xù)。事件響應的基礎包括：

• 及時有效地做出響應
• 限制傷害范圍
• 進行取證分析
• 識別威脅
• 溝通
• 限制后續(xù)傷害
• 承認經(jīng)驗教訓

12. 威脅教育和溝通

大多數(shù)威脅都是眾所周知并且經(jīng)常發(fā)生的。從最終用戶到高級管理層和董事會的每個利益相關(guān)者都需要了解當前針對貴公司的最大威脅，以及您為了阻止他們所采取的措施。您面臨的一些威脅，例如社會工程攻擊，只能通過員工安全意識培訓來阻止。因此，良好的溝通能力通常是將優(yōu)秀的 IT 專業(yè)人員與普通人員區(qū)分開來的評判因素。

溝通是一項重要的 IT 安全專業(yè)技能。但是，不能簡單地依靠員工自己的個性和魅力，因為溝通是通過各種方法進行的，其中包括：面對面交談、書面文檔、電子郵件、在線學習模塊、新聞通訊、測試和模擬網(wǎng)絡釣魚。

無論你部署什么類型的技術(shù)控制措施，可能都躲不過攻擊活動的侵擾。因此，請確保利益相關(guān)者為此做好準備。至少，你的教育計劃應該涵蓋以下項目：

• 針對組織的最可能、最重要的威脅和風險
• 可接受的使用方法
• 安全政策
• 如何進行身份驗證以及應該避免哪些操作
• 數(shù)據(jù)保護
• 社交工程認知
• 如何以及何時報告可疑的安全事件

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文