没有什么比目睹现实给数百万人敲响了警钟,粉碎了他们坚不可摧的感觉更令人悲伤的了。Mac用户将体验到PC用户多年来不得不忍受的东西,即被称为Mac Defender的恶意软件。苹果Mac用户多年来一直默默无闻,因为大多数恶意软件的变体都是针对占据98%市场份额的巨头微软。在那个时候,如果你要写一些讨厌的软件,为什么要为一个用过的操作系统写呢?快进到2011年,苹果在前线的位置发生了戏剧性的变化。数以百万计的ipod、iphone、ipad和Mac OS都运行着同一个操作系统的版本,市值超过了大多数国家的GDP,黑客们觉得这颗被吃掉了一半的水果难以抗拒。
这个小的恐吓软件包,对PC用户来说并不新鲜,它突出了许多安全研究人员早就知道的东西。是的,弗吉尼亚,Mac是可以被黑的。这只是第一次大规模地进行。恶意软件并不是这场悲剧最可怕的部分;事实上,人们真的认为没有人能在Mac上做到这一点。他们是不是太相信Mac vs PC的广告了?我讨厌用恐惧作为动力。恐惧不会永久改变行为;它只会引起膝反射反应,会导致人们在足够长的时间过去而没有发生任何事情的时候回到他们的冒险行为。如果说恐惧是坏事,相反,盲目的自信也是坏事。认为这不会发生在你身上是在为失败做准备,因为有个叫墨菲的家伙,他有一条定律可以保证会发生。
安全是一种平衡行为,我们尽最大努力减少风险,同时尽量避免影响生产力。有时会让你觉得自己像个马戏团演员,但这是我们的工作。警惕是关键,确保我们对我们认为已经达到的安全水平没有毫无根据的假设。威胁变化,导致风险格局的变化。一个传统上不受关注的攻击载体可能是最后咬你的区域(双关语)。
确保您的安全控制足以应对当前威胁的最好方法是通过一个强大的评估程序来度量与人员、流程和技术相关的风险。这三个领域交织在一起,提供了驱动安全性的引擎。不要只关注技术,因为大多数安全漏洞都有一个根本原因,指向人员或流程的失败。这一切都归结于对风险的假设,而这些假设并不基于现实。通过分析您的安全状况,定期测试这些假设。这是保证你的组织有能力抵御下一次攻击的唯一方法。如果没有适当的测试,你可能会和其他不知情的人一起把头埋在沙子里。