几乎世界上每个公司都有数千个脆弱性,即黑客可以轻松地利用。对于在其中工作的人,这不是重磅炸弹公告。这是常见的业务。
现实情况是,在任何价格点都不可能进行无懈可击。相反,公司将在计算机安全防御中花费主要部分预算,以防止黑客利用这些日常漏洞。该理论很简单:有足够的安全层,坏人将在其他地方寻找更容易的目标。
没有一个计算机安全解决方案能像广告中宣传的那样有效,这在业界是一个肮脏的小秘密。每一个“有保证的停止,先进的安全系统”注定要失败。厂商和IT共同承诺的目标只不过是一个白日梦。我们所能做的就是尽最大努力。
IT安全的以下六个真理不仅显示为什么今天的安全解决方案尚未缩短,但我们如何,作为IT专业人士,我们将如何减轻一些不完美安全解决方案的不可避免的不可避免的外观。
防御的不完美分布
当您不能将软件安装到环境中的每一台设备上时,就很难建立一个万无一有的防御。安全解决方案必须只在平台和版本的子集上工作,而且这个子集总是比客户拥有的要少。有些解决方案不支持遗留设备和操作系统。另一些则跟不上最新的操作系统和设备。
对于当今复杂的BYOD世界,如果有什么可以说的话,那就是确保网络安全的工作从困难变成了不可能。忘记安全供应商并不支持所有平台。基本的事实是,没有人,甚至是IT部门,了解所有用于连接到您的网络的设备。它是手机、平板电脑、平板电脑还是小笔记本?它运行的是Windows, Linux, OS X,还是一个没有人听说过的私有操作系统?它是实体资产还是虚拟资产?如果它是一个虚拟机,它明天还会存在吗?它是运行在公司主机上还是某人的便携设备上?是我们的还是承包商的?
即使对于支持的设备和平台,设备发现和部署也是不完善的。由于各种各样的问题,包括网络或站点连接问题、防火墙受阻、离线资产、损坏的注册表或本地数据库、单独的安全域和操作系统版本更改,您永远不会得到您的安全解决方案所规定的设备的100%范围。
添加到政治和管理障碍中的往往被称为OSI模型的第八层。默认豁免的管理孤岛,业务单位,部门和系统 - 即使您对保护公司资产有了辉煌的想法,您也无法部署它。
因此,IT安全必须与难题一起生活,即一定百分比的设备将永远不会安装安全软件。尽可能最少,重要的是任何安全解决方案都能够告诉您哪些设备已成功安装软件,并且存在问题。然后,您可以寻找共性,并尝试使用尽可能多的设备安装的软件。
但安装软件只是第一个挑战。
部署和监控的人员身材不足
很多时候,公司购买了一个出色的计算机安全解决方案,但如果他们真的部署了,也没能适当地部署它。我们花了几个月的时间来评估和争论一笔巨大的安全购买,最终却被搁置在某个角落。或者,一些不幸的、孤独的员工被告知部署新的解决方案,尽管他们已经超负荷了被认为是“真正工作”的关键任务。
员工投入了英雄努力部署他们在几天内可以的内容。他们成为设备上的伪专家和它应该阻止的威胁。他们尽最大努力配置设备,并且在接下来的几天或几周内,他们放入一个可通过的监控工作。
然后他们的其他关键任务优先级接管。很快,这个很酷的新安全工具受到的监控就会越来越少。没人有时间追踪假阳性,更不用说跟进警报了。不久之后,该设备就会一次又一次地发出警报,所有这些警报都会淹没在其他监控不良的安全设备发出的噪音中。的Verizon DataBreac区调查报告发现如果监控了现有的日志和警报,那么70%到90%的恶意事件都可以被预防或更早地发现。考虑到这种普遍的、几乎不可避免的从部署到废弃的循环,这就不足为奇了。
计算机安全设备绝不是自我保持。他们需要合适的团队,资源,焦点,甚至接近他们的承诺。公司在购买资本资产方面很棒,但他们害怕增加业务费用和人数。这意味着内置故障。不要为自己设置自己。在购买任何安全技术之前,在购买任何安全技术之前获得合理的人员配置解决方案。
黑客需要只找到一个弱点
假设一家公司拥有1000个Web服务器,999个完全修补并完美配置。所有黑客都必须做出漏洞扫描仪,并将其指向正确的域名或IP地址范围 - 游戏结束。扫描1,000台计算机的仅仅比扫描一个更长的时间。
一个典型的漏洞扫描将在每台服务器上带回一个或多个漏洞,如果不是几十个的话。当扫描完成后,黑客所要做的就是从有价值的结果中挑选出首先利用的地方。
这个弱链接和你仓肿的maxim无处可见,而不是通过电子邮件在恶意软件活动中更明显。无论多么聪明,将至少一个人发送一个包含恶意软件的消息,至少一个人,将打开电子邮件并盲目地遵循每个建议的命令。多年来,我一直参与了几十个灭吸教育测试,在每种情况下,在第一轮员工中可以在其凭证中获得相当大的数量 - 在25%到50%之间。虽然转换率(正如我们所谓的),随着每次连续一轮向那些通过先前试验的人发送另一个测试,但总会有一些用户响应每个网络钓鱼攻击的用户。
您的员工配置组合的复杂越多,脚踏实地越难。近年来的一些最大的黑客来自剥削的承包商。2013年目标零售店最损坏的黑客攻击之一,来自一个被剥削的暖通空调承包商.
有时,攻击者可以直接攻击您最信任的保护。这是有史以来最复杂的攻击之一,一个先进的黑客组织入侵了久负盛名的计算机安全公司RSA使用的攻击中心是几个旧的、未打补丁的软件。然后他们发送了一个恶意的电子表格文件,帮助他们入侵。
取证透露,用户将提示用户不少于五条消息,警告他们即将打开的内容可能是恶意的。在每个警告实例中,他们不得不选择一个不选择绕过警告的非遗嘱答案,并且在每种情况下都是如此。一旦攻击者进入,他们就会窃取RSA的最多值得信赖的SecureID关键FOB并使用他们学会的东西来利用他们的终极目标,其中包括美国军事巨头诺罗普Grumman和洛克希德 - 马丁。即使您在PAT中脱颖而出,攻击者也将利用您的业务合作伙伴并使用他们对您的发现。
即使您非常擅长检测和修复漏洞,攻击者所要做的就是使用漏洞分析工具对您暴露在互联网上的每个操作系统和应用程序进行“指纹识别”,然后等待软件供应商发布关键补丁。无论一家公司在打补丁方面有多出色,他们打补丁的速度都不可能快于攻击者在漏洞公布后数小时内利用可用工具的速度。