每年公布的新计算机安全威胁平均在5000至7000个,相当于每天19个。新威胁出现的速度使得我们难以确定自己到底需要关注哪些威胁。尽管你的竞争对手在防御上投入了大量资金,这些防御举措有的属于高科技,有的是外部帮助,但是只要你专注于之前已经做过的三件事就可以花更少的钱和精力,实现更好的防御,并获得比竞争对手更好的效果。
需要做的这三件事情并不是什么秘密,之前你就早已知道需要做这些工作。你自己的经验会告诉你我所说的是真的。虽然赞成这样做的数据是压倒性的,但是大多数企业做得并不够好。
改变自己的安全关注点
大多数计算机安全防御人员都没能将注意力放在正确的事情上。他们只专注于特定威胁以及在黑客入侵后自己要做的工作,而不是关注黑客是如何入侵的。目前全球可能有数十万个不同的软件漏洞和数以亿计的恶意软件,不过它们在初次入侵时使用的方式也就那么十几种,主要为:
● 未修补的软件 ● 社交工程
● 错误配置软件 ● 密码攻击
● 物理攻击软件 ● 窃听
● 用户错误软件 ● 拒绝服务
专注这些根本性原因并减少其数量将有助于我们击败黑客和恶意软件。如果你希望以最快的速度最大限度地降低计算机安全风险,那么就需要找出导致出现威胁的几个主要的根本性原因。消除这些原因就可以抵御那些利用这些漏洞的安全威胁。
那么在大多数环境中,最大的根本性原因是什么?答案是未修补的软件、社交工程和密码管理。
毫无疑问,这些根本性原因在数十年内导致了大量企业被攻击。在媒体报道的所有重大攻击中,几乎都可以看到这些重大漏洞的影子。根据我的经验,所有企业甚至是军方遭到重大攻击时,都可以追溯到这些根本性原因中的一条。
更好的软件修补
黑客和恶意软件都将寻找未修补的软件作为入侵的一种方式。他们更喜欢将未打补丁的软件作为攻击媒介,因为这种方式需要涉及的最终用户最少。黑客可以攻击网络计算机和服务以寻找未修补的软件并入侵它们,然后在必要时继续向内部目标进一步渗透。或者他们也可以尝试诱骗用户打开电子邮件或访问网站,这些邮件和网络都可以利用目标自身未修补的漏洞。
当然,攻击者有时会利用软件厂商未及时发布补丁的软件漏洞(零日攻击),但是与一年成千上万的漏洞相比,一年的零日漏洞只有几十个。在任何情况下,要防止零日攻击是非常困难的,因此你应当将精力放在更大且更持久的威胁上。你无法知道自己的企业是否被零日攻击者攻击,但是攻击者利用未修补软件进行攻击的威胁显然要比发起零日攻击多了很多。
以最快的速度降低安全风险的关键,是要专注于风险最高的计算机上风险最高的软件程序。大多数企业都想通过一种方法来修补每个软件程序。这种方法必将失败,因为特殊程序的数量很庞大,不是一种方法就能够解决的。你需要针对不同的设备和程序展开有针对性的修补,这个工作量非常大。
在一个环境中,长期未修补漏洞的程序并不代表该程序最有可能被利用。如果你能理解这种差异,那么你就完全理解了这个建议。
例如,多年来,Microsoft Windows计算机上长期未修补的程序是Microsoft Visual C ++运行时库。这是一个与许多第三方程序一起重新分发的程序库。即使它们长期未修补漏洞,它也很少被攻击者或恶意软件利用。为什么呢?因为它们不容易被利用。它们可能位于数十万个不同的文件夹中,并且通常不会被公布。可以这么说,大概95%的已安装软件程序都是如此。它们可能没有打补丁,但它们也不会被经常利用。
相反,其他流行的未修补程序,如Sun/Oracle Java、Adobe Acrobat和互联网浏览器,这些程序位于一致的位置并且易于利用,因而成为了首选的攻击目标。在服务器上,Web服务器和数据库服务器软件成为首选目标。因此,在终端用户计算机上修补与互联网浏览器有关的软件和在服务器上修补与互联网浏览器有关的广告服务可让你取得事半功倍的效果。
看看你的补丁管理程序。它们是否优先考虑了风险最高的程序?你是否接受风险最高程序的打补丁率在99%或更低的水平?如果是这样,那么是什么原因呢?你知道自己的风险最高的程序是哪些吗?企业中哪些软件程序的漏洞被经常利用?补丁管理程序是否包含硬件、固件和移动设备补丁?为了提供更强大的计算机安全防御,这些问题都需要回答。
更多更有针对性的社交工程培训
你可以实施的另一个最佳防御措施不是软件或设备,而是训练。只要有计算机存在,那么社交工程威胁(通常通过互联网浏览器或电子邮件实施)就会与未修补的软件一样成为大多数重要攻击的主要原因。我接触过的大多数黑客攻击都涉及社交工程元素,特别是那些造成持续破坏攻击的。
利用社交工程开展攻击的黑客以骗取终端用户密码以及骗取黑客或恶意软件对敏感资源的特权访问而闻名。用户经常在不知情的情况下运行木马程序或是向伪造的电子邮件和网站提供了自己的登录凭据。社交工程是如此成功,以至于许多计算机安全防御者拒绝相信更多更好的社交工程培训也是应对举措之一,但是事实确实如此!
研究表明,为员工提供防范意识培训可以帮助他们识破社交工程方法的欺骗。可悲的是,大多数企业很少展开安全培训,通常每年不到30分钟。
我参与了一个案例研究,其中两组员工接受了社交工程培训。第一组强制性观看30分钟的标准视频。第二组接受了两个小时的培训,重点是企业实际面临的最常见的社交工程攻击。然后,这两个小组一年中每两个月接受一次模拟社交工程攻击。
结果如何?测试结果大相径庭。获得更多培训的小组学习效果很好,没有一个员工被虚假的社交工程攻击欺骗超过六个月时间,他们报告的真正的社交工程攻击企图的可能性远远超过另外一组。
虽然我无法指出应该组织员工进行多少次社交工程培训,但是我确信每年的培训时间应当超过30分钟,这可以以每年的小时数来衡量。这些时间不必一次全部完成,培训应定期重复,并根据企业面临的真实社交工程攻击类型进行量身定制。
加强密码管理
在很长的一段时间里,我一直建议关注前两个主要的攻击途径。不过,现在是时候增加第三个了,那就是密码管理。在过去,我说过担心密码安全完全是浪费时间,因为社交工程和未修补的软件具有令人难以置信的统治地位。
如今密码黑客已经从密码猜测和破解升级到了哈希传递(PtH)攻击,攻击者可以访问密码哈希数据库。在Hernan Ochoa发布了他的PtH工具包之后,2008年PtH攻击从理论攻击转变成了一个严重且现实的全球性问题。在一两年内,PtH攻击就从无到有发展到了完全占据统治地位。近十年来,在我参加的企业被攻击事件的调查取证中,没有一起不涉及到PtH攻击。
由于PtH属于“后漏洞时期”攻击技术,攻击者已经拥有了对环境的本地或域管理控制权,因此我们不能为阻止了PtH攻击而感到兴奋。问题不在于PtH攻击。事实上,黑客已经窃取了全面的管理控制权。与“后漏洞时期”攻击技术相比,我更感兴趣的是找到最初的漏洞攻击的原因。因为如果你找不到黑客第一次入侵成功的原因,那么你将永远无法阻止这些坏人。这就是为什么必须将密码管理添加到企业需要重点关注的列表当中的确切原因。
你的企业密码可能被泄露到了每一个角落。这一事实改变了我原来的态度。如果密码遭泄露,那么所有的黑客都可以看到它们,这使得它们变成了一个初期漏洞问题。唯一安全的做法是创建真正独特的密码,而不是所有的网站都使用一个密码。要做到这一点,就需要将这些密码都记下来(每次需要使用时再查找)或是使用密码管理器程序。
密码管理器也存在一些问题,其中最大的问题是,如果计算机被入侵,那么攻击者可以立即窃取所有站点的密码。随着密码管理器越来越受欢迎,它们只会更加频繁地成为黑客们的目标。
唯一的解决方案是摆脱密码,如今全球正在努力解决这一问题。目前替代密码最可行的方案是多因素身份验证(MFA)和多变量行为分析,虽然它们也有着自身的问题,但是黑客再也不能简单地通过在数据库中进行查找就能成功发起攻击。
以下是关于如何处理密码的建议:
● 将过去几个月未改动过的所有密码修改为不规律的密码。
● 如果可以,请在最重要的账户上开启MFA。
● 确保每个网站的密码都是唯一的。
● 主动使用密码数据泄露检查服务(如Troy Hunt的HaveIBeenPwned或BreachAlarm),或是使用免费的企业工具,如使用KnowBe4的密码暴露测试立即检查所有的密码。
● 考虑使用密码管理工具,自动检查是否有任何在用密码与存储在已知密码数据库中的密码相匹配。
如果密码有被泄露的风险,请立即更改密码。如果它们已被泄露,请查清楚它们为什么会被泄露。是完全由你无法控制的因素造成的,还是因为网络钓鱼导致密码被骗取?
让他人无法获得自己的密码是主要防范措施中的第三个。社交工程和未修补的软件目前依然是数据泄露的最主要途径。尽管未来情况仍然如此,但是每个人的密码都应当严格保密,因为即使黑客无法通过社交工程和未修补的软件展开攻击,他们也可以通过密码轻松入侵。
作者:Roger Grimes 自2005年起担任 csoonline.com 安全专栏作家,拥有40多项计算机资格认证,并撰写了10本关于计算机安全的书籍。
编译:陈琳华
原文网址:https://www.csoonline.com/article/3253331/patch-management/the-two-most-important-ways-to-defend-against-security-threats.html