黑客并非想像中的神出鬼沒(méi)

觀點(diǎn)

黑客從來(lái)沒(méi)有高明到不留任何蛛絲馬跡的地步，采取基本的安全措施就能保護(hù)你的公司。

我所知道的幾乎每家公司都遭到過(guò)黑客攻擊—而且許多情況下是嚴(yán)重的黑客攻擊。雖然這番話有夸大之嫌，但也并非完全不靠譜。不過(guò)，這番話讓一些讀者誤以為檢測(cè)黑客、預(yù)防攻擊是不可能完成的任務(wù)。而事實(shí)并非如此。

盡管黑客在電影上被拍得神乎其神，但事實(shí)上，即使是職業(yè)黑客也休想不露破綻地藏匿起來(lái)，只是大多數(shù)管理員根本沒(méi)注意罷了。

Verizon公司在2008年發(fā)布的數(shù)據(jù)泄密調(diào)查報(bào)告迅速成為人們了解計(jì)算機(jī)犯罪現(xiàn)實(shí)情況的最權(quán)威來(lái)源之一，它概括得很精辟:“在受害組織實(shí)際受到危害之前，表明攻擊事件的證據(jù)已擺在那里，只是沒(méi)有引起注意罷了，82%的數(shù)據(jù)泄密事件是這樣的。不管使用哪一種類(lèi)型的事件監(jiān)測(cè)機(jī)制，結(jié)果都一樣:有關(guān)攻擊的信息不是沒(méi)有引起注意，就是注意后沒(méi)有采取行動(dòng)。”

檢測(cè)惡意活動(dòng)的第一個(gè)工具就是你的日志文件。大多數(shù)管理員并不打開(kāi)日志文件;就算打開(kāi)了，通常也不監(jiān)測(cè)它們。另外，許多公司只是在服務(wù)器上打開(kāi)日志功能，盡管大多數(shù)惡意入侵事件發(fā)生在用戶的工作站上。

每家公司都應(yīng)該制定一項(xiàng)面向全企業(yè)的日志管理計(jì)劃。簡(jiǎn)而言之，你需要在一個(gè)地方把所有日志事件都集中起來(lái)，對(duì)于需要響應(yīng)的異常事件發(fā)出警報(bào)。千萬(wàn)不要成為這樣的公司:啟用的事件日志管理系統(tǒng)每天都發(fā)出少則幾十條、多則幾百條的“警報(bào)信息”，這么多警報(bào)信息保證沒(méi)有一條會(huì)有相應(yīng)的后續(xù)行動(dòng)。精心設(shè)計(jì)的事件管理系統(tǒng)只會(huì)要求針對(duì)理應(yīng)加以調(diào)查的事件采取行動(dòng)。

另一個(gè)檢測(cè)黑客的有效方法就是掃描查找常見(jiàn)的黑客工具:密碼破解程序、中間人攻擊工具、探測(cè)程序，諸如此類(lèi)。大多數(shù)反惡意軟件掃描工具會(huì)檢測(cè)出通常使用的黑客工具。雖然不是所有黑客都使用同樣的工具，但通常是這樣。

我還竭力主張為網(wǎng)絡(luò)流量情況建立基準(zhǔn)線。大多數(shù)數(shù)據(jù)應(yīng)該從服務(wù)器流向工作站及從工作站流向服務(wù)器。從服務(wù)器到服務(wù)器的意外流量應(yīng)該進(jìn)行調(diào)查，從工作站到工作站的意外流量同樣要進(jìn)行調(diào)查。另外，如果你有一臺(tái)工作站在頻頻訪問(wèn)貴公司環(huán)境中的每臺(tái)服務(wù)器，也要調(diào)查一下。許多內(nèi)部攻擊之所以被攔截下來(lái)，就是因?yàn)槟抗饷翡J的網(wǎng)絡(luò)流量分析人員注意到數(shù)量非常多的數(shù)據(jù)流向某一個(gè)員工的機(jī)器。

預(yù)防黑客攻擊的首要方法就是阻止最終用戶無(wú)意中執(zhí)行特洛伊木馬程序。有幾個(gè)辦法可以做到這點(diǎn):你可以取消最終用戶的過(guò)高權(quán)限、使用應(yīng)用程序控制軟件，或者單單加強(qiáng)教育，讓用戶清楚如今各種狡猾的安全威脅。

其次，確保所有軟件(包括操作系統(tǒng)和應(yīng)用程序)都打上了補(bǔ)丁，特別是瀏覽器插件。大多數(shù)軟件都帶自動(dòng)更新例行程序，但不是全部都有。知名安全廠商Secunia剛宣布了面向家庭消費(fèi)者的免費(fèi)軟件，有助于及時(shí)打上最新補(bǔ)丁。

第三，使用反惡意軟件工具，包括基于主機(jī)的防火墻、反病毒軟件、反網(wǎng)絡(luò)釣魚(yú)軟件和反垃圾郵件軟件。

第四，清楚自己的數(shù)據(jù)在哪里，那樣才能保護(hù)數(shù)據(jù)。

第五，確保你擁有良好的安全控制機(jī)制和政策，確保員工在切實(shí)遵守，誰(shuí)不遵守，就給予處罰。凡是可以用來(lái)提供更有效的深層防御機(jī)制的各種措施，都應(yīng)當(dāng)考慮，但也別讓過(guò)多的精力和過(guò)多的產(chǎn)品使你無(wú)法更好地關(guān)注會(huì)帶來(lái)實(shí)際成效的簡(jiǎn)單措施。

沒(méi)有哪一招妙方挫敗得了所有黑客， 但并不是說(shuō)只有一些防御水平特別高超的人才能挫敗黑客，你只要把精力花在少數(shù)幾項(xiàng)最有可能帶來(lái)防御效果的措施上。

Verizon的報(bào)告概括得很精辟:“如果借助合理的控制手段，得逞的黑客攻擊中87%是可以避免的。”