世界上几乎每一家大型企业都有着各种各样数量繁多的漏洞,对于任何IT行业内的人而言,这并不是什么爆炸性消息,早已司空见惯。
现实情况是,不论花费多少资金,完全消灭系统漏洞是不可能的。但公司可以把信息安全防御方面的预算主要花在防止黑客可以利用的日常漏洞。道理很简单:如果安全防御层级足够复杂,坏人就会转而寻找其它更容易得手的目标。
坦白的说,任何信息安全解决方案都不像它们在广告中说得那样好。任何“保证安全,高端的安全系统”都注定要失败。安全和IT厂商承诺的目标或多或少都有水分,不断地投入努力才是企业力所能及的切实举措。
以下六个IT安全事实不仅解释了为什么如今的安全解决方案都以功亏一篑告终,还在一定程度上阐述了如何通过不完美的安全解决方案,减少被入侵的可能并最小化之后的损失。
一、没有100%的部署
如果不能在环境中的每一台设备上都安装对应的软件,就很难布置绝对可靠的防御体系。安全解决方案只工作在一小部分平台和软件版本上,而这一小部分子集总比顾客拥有的要小。有些解决方案并不支持已经过时的设备和操作系统,而另一些可能无法跟上最新的操作系统和设备的脚步。
如果用一句话来描述如今这个复杂的BYOD(人人自带设备办公)场景,那就是维护网络安全这件事情的难度级别已经从困难变成了不可能。安全厂商们关于不支持所有平台的说法算不上什么,事实上应该说,没有人,哪怕是从事IT行业的企业,也不可能理解所有连接到你网络上的设备。它是手机、笔记本、平板,还是超极本?它运行Windows、Linux、OS X,还是没人听过的个人化操作系统?如果它是虚拟机,它明天还会存在吗?它运行在公司主机上还是某人的个人设备上?它属于公司还是其它承包商?
即便是对于支持这些设备和平台的方案而言,设备发现和部署情况也不是完美的。你的解决方案永远不可能覆盖到百分之百的设备,因为其中存在无数问题,包括网络或网站的连接、防火墙的封锁、离线资产的保护,受损的注册表或本地数据库,独立的安全域,以及操作系统版本变化等问题。
另外,还有政治和管理上的拦路石,它们通常被称作OSI模型的第八层。由于存在着管理壁垒、业务单元,以及那些默认具有豁免权的部门,即使你已经有了一个关于保护公司资产的绝佳方案,也很有可能无法实施它。
因此,IT安全必须面对的事实是,有一部分设备可能永远也不会安装安全软件。不过至少并且很重要的一点,是所有安全解决方案都会告诉你哪些设备成功安装了安全软件而哪些并没有,这使你可以寻找其中的共同点,并让自己的软件尽可能在更多的设备上安装。
然而,安装软件仅仅是第一个挑战。
二、缺乏人手
下面的场景屡见不鲜:
一个企业购买了一个“伟大”的信息安全解决方案,然后要么从未部署过,要么在正确部署它的过程中失败。评估和争论一项信息安全大订单往往会浪费几个月时间,购置后却被扔在了某个角落里,连盒子都没有打开。
更不幸的情况在于,孤独的IT人员被告知需要部署新的解决方案,尽管他的日常关键任务已经超过负荷,而这些“关键任务”才是他真正的工作内容。这位可怜的员工尽其所能在几天之内完成了英雄般的壮举,并摇身一变成为公司设备和威胁防护方面的“专家”。他会尽最大的努力配置设备,并在接下来的几天或者几周内在交出一份勉强过得去的答卷。
之后,他日常的关键任务恢复正常,监控这些新型酷炫安全工具的时间越来越少。而与此同时,这些新上马的安全设备会发出一个接一个的警报,他没有时间去追查分析这些警报的真假,只好让这些警报与其它缺乏监控的设备发出的警报一样成为“噪音”(Verizon的数据泄露调查报告显示,70~90%的恶意事件本来可以被避免,因为现有的日志和警报已经发现了它们。而考虑到几乎不可避免的缺乏对这些信息的调查分析工作,恶意事件的必然发生毫不意外)。
信息安全设备从来就不是全自动化的。它们需要配备正确的团队、资源、关注度来实现它的设计目标。企业往往在购买安全资产方面很慷慨,但却恐惧增加运营费用和工作人员。这意味着是企业自身的失败,不要让自己陷入其中。因此要在购买任何安全技术方案之前,确认自己拥有与之匹配的人力资源。
三、防不胜防
假设一家公司拥有1000台web服务器,其中的999台都完美地打上了补丁并正确地配置。而黑客只需打开漏洞扫描器,指定正确的域名或IP地址范围即可。扫描1000台服务器与扫描1台服务器用时的差别并不大。典型的漏洞扫描会发现每个服务器上的一个漏洞甚至更多,当扫描结束时,黑客就可依据扫描结果来看菜下碟了。
这种防不胜防的恶意扫描尝试,如今在通过Email传播的恶意软件场景中更加明显。黑客向大量员工发送带有恶意软件的信息,总有一个人会打开电子邮件并盲目地跟从其中的每一条指令。根据一些培训机构的统计,在对企业员工进行的反钓鱼培训测试中,通常大概在25%到50%之间的员工在第一轮测试中上钩。尽管上钩率会随着培训测试的反复有所下降,但总有一些人还是会“愿者上钩”。
公司的部门人员结构越复杂,就越难构建防御体系。近年来的一些大型黑客事件有好多都源于企业的承包商。比如被已经被安全界提过无数次的塔吉特被黑事件,其被入侵的跳板就是一家采暖通风和空调系统的承包商。
有时,攻击者会紧跟着你最信任的保护措施而来。在一次堪称有史以来最复杂的入侵事件,一个高级黑客组织攻破了在安全方面长期受到赞誉的安全公司RSA。黑客的攻击点集中在几种未打补丁的旧软件上。然后发送了一份带有恶意代码的电子表格文件,最终突破了公司的防御体系。
之后的调查显示,RSA的员工在打开恶意信息的过程中至少收到了5次警告提醒。这些消息告诉他们收到的信息有可能是恶意的,而且在每一个警告窗口下,用户都需要选择不同的答案来绕过报警。但攻击者依然偷到了RSA公司可信级非常高的身份认证密钥,并利用获得的信息盗取他们的终极目标。包括美国军工巨头诺斯洛普格鲁曼公司和洛克希德马丁。
这个故事告诉我们,即便企业对漏洞的检测和修补已经做到极致,但也可能因无法保证商业合作伙伴的安全而被黑客击败。
黑客的得天独厚的优势在于,他只需要使用扫描工具尽可能多的记录你系统中的设备和软件信息或称指纹,然后等待某个厂商发布关键补丁。不论企业在修补漏洞方面做得多快多好,他们也不大可能比得上伺机而动并在短时间内一剑封喉的刺客。
四、魔高一丈
防御者,顾名思义,是被动的。在数字空间中,防守者始终慢于攻击者。IT和安全行业往往需要两到三年时间来彻底解决一个新的威胁,而攻击者在此之前就会转移到新的攻击形式上。
回溯上个世纪的80年代末,引导区病毒曾大行其道。之后人们花了几年的时间才具备重启电脑前拔出软盘的操作意识和习惯。事实上,直到软驱消亡,引导区病毒才随之而去。但现在的USB自启动病毒,做的是同样的事情。而早在90年代流行的宏病毒让我们花了十年时间告诉人们不要随便打开文件附件,尤其是在来历不明的情况下。但如今我们还在提醒人们理解这种安全操作习惯。
攻击者会对他们的攻击技术作出稍许改动,以便再次得手。举例而言,我们警告人们注意假的反病毒信息,但他们却被假的硬盘压缩程序所骗。我们警告人们注意更新操作系统的版本,而攻击者们却转而对知名的浏览器下手。
如今,大多数的攻击都从入侵网站上开始。人们有可能被一个其天天登录的网站所入侵。虽然各种安全意识教育都在告诉人们不要随便打开链接或可执行文件,也不要向未受信任的人或网站提交自己的登录信息。但需要多长时间才能教会人们彻底理解这些东西,仍然不得而知。
我们还没来得及学会如何阻止攻击者利用我们的电脑,他们就已经转而攻击移动设备了。在PC世界中上演的几乎每一个威胁都正在移动世界中重复。更糟的是,我们很难把经验教训从一个平台转移到另一个平台上。物联网(IOT)的普及只会加速情况的恶化。智能电视、汽车、烤面包机、可穿戴设备等,一切都会成为攻击的目标。
五、轻重混淆
计算机防御中的最大问题之一就是无法恰当地评估威胁的优先级。一家公司也许有100种入侵方法,但其中几种方法被黑客用来利用的可能性要远大于其它所有的方法。这就在评级最严重的威胁与最可能发生的威胁之间建立了一道鸿沟,而成功的防护往往属于把注意力集中在后者的企业身上。
如果让IT安全人员列出在公司中部署的所有防御策略,以及相关的经费和运行项目所耗用的人力资源,然后再列出公司最可能被入侵的途径。两者相比你会发现,这两者的答案很难统一。要是连安全人员在哪儿出了问题的都无法形成一致思路的话,又如何能期更有效地保护整个企业环境呢?
一般情况下,安全维护人员列出的头号问题是打补丁。对此而言,企业可能会有成百上千个需要打补丁的软件和系统,而攻击者经常用到的往往只是其中的两三个。但是又有多少公司会只将注意力放在那两三个软件上,而忽略其它的软件呢?几乎没有。
可以说社会工程问题仅次于补丁问题。许多企业的IT部门或保密部门都在抱怨员工的信息安全意识培训项目总是处于预算紧张的状况,因而无法定期给员工灌输最新威胁的知识以及应对技巧。大多数安全培训教育都是些过时的东西,又怎能跟得上“天才”黑客那些花样百处和与时俱进的手段呢?
好的信息安全意识培训会告诉员工企业实际使用的反病毒软件是什么或看起来像什么,以帮助用户辨别自己是否遇到了假冒的安全软件。还会告诉员工,他们更有可能被自己信任的网站感染,提醒他们不要运行来自任何网页的陌生可执行文件。与此同时,又有多少课程会通知那些总是成为入侵事件导火索的员工,以及告诉他们如何避免被入侵呢?
好的信息安全意识培训是安全防护体系极为重要甚至是最为重要的一环。
六、匿名之痛
企业购买的每个安全解决方案都只运行在一组特定的平台上,针对一组特定的威胁。就像打地鼠一样,这些软件只会盯着其中几个洞下手,解决威胁的方式也称不上完美。与此同时,狡猾的黑客却换了一个地方挖了一个新的洞。这是一场数字版打地鼠游戏,防御者永远不会赢。
在每一次攻击的背后,一个最基本的问题仍然没有得到解决。那就是网络身份的普遍匿名性。任何人都可以发送网络数据包,而服务器会不加甄别地把响应包传送回去。任何人都可以向你发送一封电子邮件,声称自己是某个谁。即,任何人都可以声称自己是任何人。这意味着,作恶的人很难被识别出来。只要这种情况延续,我们永远不可能战胜恶意的黑客。
虽然匿名也有好处。很多事例表明,相对的个人隐私应当得到保证,对于论坛和其它一些网络体系,保持参与者的匿名性可以带给运营方好处。这也是社会的一个基本真理,在此不予展开。
但很多人对无法确认身份的邮件感到恐惧,还有人由于收到了骚扰信息或针对人身的威胁而选择退出社交网络。更重要的是,如果我们有办法让参加在线交易的各方选择匿名性的具体程度,以决定交易是否继续进行,网络犯罪很可能会随之下跌,而识别甚至是起诉网络犯罪分子终将成为可能。
当然,在这方面没有什么一站式解决方案。这需要各方面的协同努力,不仅包括安全解决方案提供商,也需要大部分网民和用户的参与。然而我们都有足够的动机来作出这样的努力。防止成为僵尸网络的一分子,告别垃圾邮件,消灭恶意软件……桌面安全
如果我们把关注点放在正确的防御方式上,这种局面可以发生。