抵御安全威脅的三種最重要的方法

Roger Grimes

修補程序、安全培訓程序和密碼管理比其他任何方式更能有效地阻止攻擊。你已經采取了這些舉措，但是我們可以幫助你如何做得更好。

每年公布的新計算機安全威脅平均在5000至7000個，相當于每天19個。 新威脅出現的速度使得我們難以確定自己到底需要關注哪些威脅。盡管你的競爭對手在防御上投入了大量資金，這些防御舉措有的屬于高科技，有的是外部幫助，但是只要你專注于之前已經做過的三件事就可以花更少的錢和精力，實現更好的防御，并獲得比競爭對手更好的效果。

需要做的這三件事情并不是什么秘密，之前你就早已知道需要做這些工作。你自己的經驗會告訴你我所說的是真的。雖然贊成這樣做的數據是壓倒性的，但是大多數企業做得并不夠好。

改變自己的安全關注點

大多數計算機安全防御人員都沒能將注意力放在正確的事情上。他們只專注于特定威脅以及在黑客入侵后自己要做的工作，而不是關注黑客是如何入侵的。目前全球可能有數十萬個不同的軟件漏洞和數以億計的惡意軟件，不過它們在初次入侵時使用的方式也就那么十幾種，主要為：

未修補的軟件

社交工程

錯誤配置

密碼攻擊

物理攻擊

竊聽

用戶錯誤

拒絕服務

專注這些根本性原因并減少其數量將有助于我們擊敗黑客和惡意軟件。如果你希望以最快的速度最大限度地降低計算機安全風險，那么就需要找出導致出現威脅的幾個主要的根本性原因。消除這些原因就可以抵御那些利用這些漏洞的安全威脅。

那么在大多數環境中，最大的根本性原因是什么？答案是未修補的軟件、社交工程和密碼管理。

毫無疑問，這些根本性原因在數十年內導致了大量企業被攻擊。在媒體報道的所有重大攻擊中，幾乎都可以看到這些重大漏洞的影子。根據我的經驗，所有企業甚至是軍方遭到重大攻擊時，都可以追溯到這些根本性原因中的一條。

更好的軟件修補

黑客和惡意軟件都將尋找未修補的軟件作為入侵的一種方式。他們更喜歡將未打補丁的軟件作為攻擊媒介，因為這種方式需要涉及的最終用戶最少。黑客可以攻擊網絡計算機和服務以尋找未修補的軟件并入侵它們，然后在必要時繼續向內部目標進一步滲透。或者他們也可以嘗試誘騙用戶打開電子郵件或訪問網站，這些郵件和網絡都可以利用目標自身未修補的漏洞。

當然，攻擊者有時會利用軟件廠商未及時發布補丁的軟件漏洞（零日攻擊），但是與一年成千上萬的漏洞相比，一年的零日漏洞只有幾十個。在任何情況下，要防止零日攻擊是非常困難的，因此你應當將精力放在更大且更持久的威脅上。你無法知道自己的企業是否被零日攻擊者攻擊，但是攻擊者利用未修補軟件進行攻擊的威脅顯然要比發起零日攻擊多了很多。

以最快的速度降低安全風險的關鍵，是要專注于風險最高的計算機上風險最高的軟件程序。大多數企業都想通過一種方法來修補每個軟件程序。這種方法必將失敗，因為特殊程序的數量很龐大，不是一種方法就能夠解決的。你需要針對不同的設備和程序展開有針對性的修補，這個工作量非常大。

在一個環境中，長期未修補漏洞的程序并不代表該程序最有可能被利用。如果你能理解這種差異，那么你就完全理解了這個建議。

例如，多年來，Microsoft Windows計算機上長期未修補的程序是Microsoft Visual C ++運行時庫。這是一個與許多第三方程序一起重新分發的程序庫。即使它們長期未修補漏洞，它也很少被攻擊者或惡意軟件利用。為什么呢？因為它們不容易被利用。它們可能位于數十萬個不同的文件夾中，并且通常不會被公布。可以這么說，大概95%的已安裝軟件程序都是如此。它們可能沒有打補丁，但它們也不會被經常利用。

相反，其他流行的未修補程序，如Sun/Oracle Java、Adobe Acrobat和互聯網瀏覽器，這些程序位于一致的位置并且易于利用，因而成為了首選的攻擊目標。在服務器上，Web服務器和數據庫服務器軟件成為首選目標。因此，在終端用戶計算機上修補與互聯網瀏覽器有關的軟件和在服務器上修補與互聯網瀏覽器有關的廣告服務可讓你取得事半功倍的效果。

看看你的補丁管理程序。它們是否優先考慮了風險最高的程序？你是否接受風險最高程序的打補丁率在99%或更低的水平？如果是這樣，那么是什么原因呢？你知道自己的風險最高的程序是哪些嗎？企業中哪些軟件程序的漏洞被經常利用？補丁管理程序是否包含硬件、固件和移動設備補丁？為了提供更強大的計算機安全防御，這些問題都需要回答。

更多更有針對性的社交工程培訓

你可以實施的另一個最佳防御措施不是軟件或設備，而是訓練。只要有計算機存在，那么社交工程威脅（通常通過互聯網瀏覽器或電子郵件實施）就會與未修補的軟件一樣成為大多數重要攻擊的主要原因。我接觸過的大多數黑客攻擊都涉及社交工程元素，特別是那些造成持續破壞攻擊的。

利用社交工程開展攻擊的黑客以騙取終端用戶密碼以及騙取黑客或惡意軟件對敏感資源的特權訪問而聞名。用戶經常在不知情的情況下運行木馬程序或是向偽造的電子郵件和網站提供了自己的登錄憑據。社交工程是如此成功，以至于許多計算機安全防御者拒絕相信更多更好的社交工程培訓也是應對舉措之一，但是事實確實如此！

研究表明，為員工提供防范意識培訓可以幫助他們識破社交工程方法的欺騙。可悲的是，大多數企業很少展開安全培訓，通常每年不到30分鐘。

我參與了一個案例研究，其中兩組員工接受了社交工程培訓。第一組強制性觀看30分鐘的標準視頻。第二組接受了兩個小時的培訓，重點是企業實際面臨的最常見的社交工程攻擊。然后，這兩個小組一年中每兩個月接受一次模擬社交工程攻擊。

結果如何？測試結果大相徑庭。獲得更多培訓的小組學習效果很好，沒有一個員工被虛假的社交工程攻擊欺騙超過六個月時間，他們報告的真正的社交工程攻擊企圖的可能性遠遠超過另外一組。

雖然我無法指出應該組織員工進行多少次社交工程培訓，但是我確信每年的培訓時間應當超過30分鐘，這可以以每年的小時數來衡量。這些時間不必一次全部完成，培訓應定期重復，并根據企業面臨的真實社交工程攻擊類型進行量身定制。

加強密碼管理

在很長的一段時間里，我一直建議關注前兩個主要的攻擊途徑。不過，現在是時候增加第三個了，那就是密碼管理。在過去，我說過擔心密碼安全完成是浪費時間，因為社交工程和未修補的軟件具有令人難以置信的統治地位。

如今密碼黑客已經從密碼猜測和破解升級到了哈希傳遞（PtH）攻擊，攻擊者可以訪問密碼哈希數據庫。在Hernan Ochoa發布了他的PtH工具包之后，2008年PtH攻擊從理論攻擊轉變成了一個嚴重且現實的全球性問題。在一兩年內，PtH攻擊就從無到有發展到了完全占據統治地位。近十年來，在我參加的企業被攻擊事件的調查取證中，沒有一起不涉及到PtH攻擊。

由于PtH屬于“后漏洞時期”攻擊技術，攻擊者已經擁有了對環境的本地或域管理控制權，因此我們不能為阻止了PtH攻擊而感到興奮。問題不在于PtH攻擊。事實上，黑客已經竊取了全面的管理控制權。與“后漏洞時期”攻擊技術相比，我更感興趣的是找到最初的漏洞攻擊的原因。因為如果你找不到黑客第一次入侵成功的原因，那么你將永遠無法阻止這些壞人。這就是為什么必須將密碼管理添加到企業需要重點關注的列表當中的確切原因。

你的企業密碼可能被泄露到了每一個角落。這一事實改變了我原來的態度。如果密碼遭泄露，那么所有的黑客都可以看到它們，這使得它們變成了一個初期漏洞問題。唯一安全的做法是創建真正獨特的密碼，而不是所有的網站都使用一個密碼。要做到這一點，就需要將這些密碼都記下來（每次需要使用時再查找）或是使用密碼管理器程序。

密碼管理器也存在一些問題，其中最大的問題是，如果計算機被入侵，那么攻擊者可以立即竊取所有站點的密碼。隨著密碼管理器越來越受歡迎，它們只會更加頻繁地成為黑客們的目標。

唯一的解決方案是擺脫密碼，如今全球正在努力解決這一問題。目前替代密碼最可行的方案是多因素身份驗證（MFA）和多變量行為分析，雖然它們也有著自身的問題，但是黑客再也不能簡單地通過在數據庫中進行查找就能成功發起攻擊。

以下是關于如何處理密碼的建議：

將過去幾個月未改動過的所有密碼修改為不規律的密碼。

如果可以，請在最重要的賬戶上開啟MFA。

確保每個網站的密碼都是唯一的。

主動使用密碼數據泄露檢查服務（如Troy Hunt的HaveIBeenPwned或BreachAlarm），或是使用免費的企業工具，如使用KnowBe4的密碼暴露測試立即檢查所有的密碼。

考慮使用密碼管理工具，自動檢查是否有任何在用密碼與存儲在已知密碼數據庫中的密碼相匹配。

如果密碼有被泄露的風險，請立即更改密碼。如果它們已被泄露，請查清楚它們為什么會被泄露。是完全由你無法控制的因素造成的，還是因為網絡釣魚導致密碼被騙取？

讓他人無法獲得自己的密碼是主要防范措施中的第三個。社交工程和未修補的軟件目前依然是數據泄露的最主要途徑。盡管未來情況仍然如此，但是每個人的密碼都應當嚴格保密，因為即使黑客無法通過社交工程和未修補的軟件展開攻擊，他們也可以通過密碼輕松入侵。

本文作者Roger Grimes自2005年起擔任csoonline.com安全專欄作家，擁有40多項計算機資格認證，并撰寫了10本關于計算機安全的書籍。

原文網址

https：//www.csoonline.com/article/3253331/patch-management/the-two-most-important-ways-to-defend-against-security-threats.html