黑客并非想像中的神出鬼沒

觀點

黑客從來沒有高明到不留任何蛛絲馬跡的地步，采取基本的安全措施就能保護你的公司。

我所知道的幾乎每家公司都遭到過黑客攻擊—而且許多情況下是嚴重的黑客攻擊。雖然這番話有夸大之嫌，但也并非完全不靠譜。不過，這番話讓一些讀者誤以為檢測黑客、預防攻擊是不可能完成的任務。而事實并非如此。

盡管黑客在電影上被拍得神乎其神，但事實上，即使是職業黑客也休想不露破綻地藏匿起來，只是大多數管理員根本沒注意罷了。

Verizon公司在2008年發布的數據泄密調查報告迅速成為人們了解計算機犯罪現實情況的最權威來源之一，它概括得很精辟:“在受害組織實際受到危害之前，表明攻擊事件的證據已擺在那里，只是沒有引起注意罷了，82%的數據泄密事件是這樣的。不管使用哪一種類型的事件監測機制，結果都一樣:有關攻擊的信息不是沒有引起注意，就是注意后沒有采取行動。”

檢測惡意活動的第一個工具就是你的日志文件。大多數管理員并不打開日志文件;就算打開了，通常也不監測它們。另外，許多公司只是在服務器上打開日志功能，盡管大多數惡意入侵事件發生在用戶的工作站上。

每家公司都應該制定一項面向全企業的日志管理計劃。簡而言之，你需要在一個地方把所有日志事件都集中起來，對于需要響應的異常事件發出警報。千萬不要成為這樣的公司:啟用的事件日志管理系統每天都發出少則幾十條、多則幾百條的“警報信息”，這么多警報信息保證沒有一條會有相應的后續行動。精心設計的事件管理系統只會要求針對理應加以調查的事件采取行動。

另一個檢測黑客的有效方法就是掃描查找常見的黑客工具:密碼破解程序、中間人攻擊工具、探測程序，諸如此類。大多數反惡意軟件掃描工具會檢測出通常使用的黑客工具。雖然不是所有黑客都使用同樣的工具，但通常是這樣。

我還竭力主張為網絡流量情況建立基準線。大多數數據應該從服務器流向工作站及從工作站流向服務器。從服務器到服務器的意外流量應該進行調查，從工作站到工作站的意外流量同樣要進行調查。另外，如果你有一臺工作站在頻頻訪問貴公司環境中的每臺服務器，也要調查一下。許多內部攻擊之所以被攔截下來，就是因為目光敏銳的網絡流量分析人員注意到數量非常多的數據流向某一個員工的機器。

預防黑客攻擊的首要方法就是阻止最終用戶無意中執行特洛伊木馬程序。有幾個辦法可以做到這點:你可以取消最終用戶的過高權限、使用應用程序控制軟件，或者單單加強教育，讓用戶清楚如今各種狡猾的安全威脅。

其次，確保所有軟件(包括操作系統和應用程序)都打上了補丁，特別是瀏覽器插件。大多數軟件都帶自動更新例行程序，但不是全部都有。知名安全廠商Secunia剛宣布了面向家庭消費者的免費軟件，有助于及時打上最新補丁。

第三，使用反惡意軟件工具，包括基于主機的防火墻、反病毒軟件、反網絡釣魚軟件和反垃圾郵件軟件。

第四，清楚自己的數據在哪里，那樣才能保護數據。

第五，確保你擁有良好的安全控制機制和政策，確保員工在切實遵守，誰不遵守，就給予處罰。凡是可以用來提供更有效的深層防御機制的各種措施，都應當考慮，但也別讓過多的精力和過多的產品使你無法更好地關注會帶來實際成效的簡單措施。

沒有哪一招妙方挫敗得了所有黑客， 但并不是說只有一些防御水平特別高超的人才能挫敗黑客，你只要把精力花在少數幾項最有可能帶來防御效果的措施上。

Verizon的報告概括得很精辟:“如果借助合理的控制手段，得逞的黑客攻擊中87%是可以避免的。”