打补丁、安全培训计划和密码管理比任何方法都更能有效地阻止攻击。你已经在这么做了,但你可以做得更好,来看看吧。
每年,平均会宣布5000到7000个新的计算机安全威胁,这相当于每天有10个新的威胁。新威胁出现的速度如此之快,以至于很难决定哪个是你需要引起注意的。尽管你的竞争对手在高端的、昂贵的,有时是外来的防御手段上浪费了金钱,但只需专注于你已经在做的三件事上你就可以获取更多的价值,这一点你可能会感到吃惊。你可以花费更少的钱,否则你所做的是不能提供更好的防御的。
你需要更加努力做好的这三件事并不是什么秘密,因为你已经知道你需要去这样做了。根据你自己的经验,你知道我所说的是正确的,而且支持这样做的数据是压倒性的。但尽管如此,大多数公司都并没有很好地做到这一点。
转移你的安全焦点
大多数计算机安全防御者都关注了错误的事情。他们专注的是特定的威胁,以及黑客攻破以后他们所采取的举措,而不是黑客是如何攻破的。独特的软件漏洞可能多达数十万个,同独特的恶意软件家族可能多达数亿个,但它们最初在利用一个环境时都有数十个共同的方式,这包括:
- 未打补丁的软件
- 社交工程
- 错误配置
- 密码攻击
- 物理攻击
- 窃听
- 用户错误
- 拒绝式服务
专注并减少这些漏洞根源将能够帮助你有力打击黑客和恶意软件。
如果你想要尽快地最小化计算机安全风险,则识别公司中最大的漏洞根源,因为这些根源的存在会让威胁给你的环境带来最严重的损害。阻碍了最大的漏洞根源,那么你就阻碍了使用这些漏洞根源的威胁。
因此,大多数环境中最大的漏洞根源是什么?答案是未打补丁的软件、社交工程和密码管理。
毫无疑问,这些漏洞根源是大多数公司中成功进行的攻击的原因,而且它们已经存在有数十年的时间了。一直以来,这些漏洞根源方式中的其中一个可能就是任何大型攻击背后的原因,每当这些大型攻击发生时,都会占据主流媒体的各大板块。以我的经验来看,任何规模大小的公司,甚至是军方遭受了大型攻击时,都可以追溯到这些根源中的其中一个。
你的公司的情况可能有所不同,而如果确实有所不同,那么你可以忽略这篇文章。但对其他人来说,请继续往下看。
更好的软件补丁
黑客和恶意软件都在寻找未打补丁的软件,以将其看作是入侵环境的一种方式。他们更偏爱将未打补丁的软件看作攻击向量,因为它们对终端用户的介入要求的最小。黑客可能会攻击努力寻求未打补丁的软件的网络计算机和服务,攻击它们,然后如果有需要,再进一步对内部目标采取行动。或者,他们可以试图骗取用户打开邮件,或者访问试图利用未打补丁的漏洞的网站。
当然,攻击者有时会使用没有供应商补丁的软件漏洞(零日漏洞),但相比上万个公众已知的漏洞,在给定的一年里,已知的零日攻击只有几十个。任何情况下,阻止零日攻击都是很困难的,因此,将注意力集中在更大、更持久的威胁上会更好得多。你不知道你的公司是否会被零日攻击者所利用,但那些四处寻求利用未打补丁的软件的威胁将会对你的公司进行多次攻击。
降低安全风险的关键在于,关注风险性最高的计算机上的高风险软件项目。大多数公司都试图无差别地对待所有软件项目(而独特的项目有数十万个),为它们打补丁。但这种方式注定会失败,因为这是一场将所付出的努力乘以你必须修复的设备和软件项目数量的数字游戏。
在你的环境中,进行了最少修复的程序和最有可能被利用的软件程序之间存在很大的差异。如果你能理解其中的区别,那么你就能很好地理解这个建议。
例如,多年来,Microsoft Windows计算机上进行了最少修复的程序是Microsoft Visual C++ Runtime Library。它是一个与许多第三方程序一起进行了重新分发的程序库。即使它是进行了最少修复的程序,但它很少被攻击者或恶意软件利用。为什么?因为它不容易被利用。它可能位于数十万个不同的文件夹中,而且通常在自我宣传时也不会被利用。同样的道理也适用于95%的已安装的软件程序。它们可能尚未进行修复,但却并不经常被利用。
相反,Sun/Oracle Java、Adobe Acrobat和internet浏览器等其他流行的未打补丁的程序则处于相同的位置,很容易被利用,从而成为了攻击的首先目标。在服务器上,web服务器和数据库服务器软件成为了首选目标。因此,你最好在终端用户计算机上对与internet浏览器相关的软件和服务器计算机上的广告服务进行很好的修补。
查看一下你的补丁管理程序。它是否优先考虑风险最高的项目?对于高风险项目,你是否接受99%或者更低的补丁修复率?如果是的,为什么?你知道你的高风险项目是什么吗?为最多地攻击你的公司,最常利用的软件程序是什么?你的补丁管理程序包括硬件、固件和移动设备补丁吗?这些问题都需要给出答案,以提供更加强大的计算机安全防御体系。
更好和更多的社交工程培训
你能部署的另一个最佳防御措施不是软件或设备,而是培训。自从计算机出现以来,社交工程威胁(通常是通过internet浏览器或电子邮件)一直就是与未打补丁的软件进行竞争的主要根源。我经历过的大多数最严重的黑客攻击都涉及到社交工程,尤其是那些造成了最持久损害的。
社交工程黑客以骗取终端用户的密码和允许黑客或恶意软件获得对敏感资源的访问特权而闻名。用户经常错误地运行了Trojan木马程序,或给虚假的电子邮件和网站提供了登录凭证。社交工程是如此的成功,以至于许多计算机安全卫士都拒绝相信更多、更好的社交工程培训是解决之道,但事实确实如此!
一项又一项的研究表明,为员工提供意识培训,无论你怎么做,都会降低他们被社交工程欺骗的可能性。遗憾的是,大多数公司很少进行安全培训,通常每年不到半个小时。
我之前参与的一个案例研究就有两组员工接受了社交工程培训。第一个“控制”组被强制要求观看了30分钟的标准视频。第二组则接受了两个小时的培训,重点是该公司实际面临的最常见的社交工程攻击。之后,在一年时间里,每两个月对这两组人进行一次虚假社交工程活动测试。
结果怎么样?还差得远呢。接受过更多培训的那组员工学习得如此好,以至于在长达半年的时间里,没有一名员工被虚假的社交工程活动所欺骗,他们比对照组更有可能报告真实的社交工程企图。
我不确定应该为员工提供多少社交工程培训,但我确定每年培训应超过30分钟,并且很可能是以小时为单位计算的。这些培训不必是一次性的,而是应该定期重复进行,并根据公司所看到的实际社交工程活动类型进行自定义。
加强密码管理
在很长一段时间内,我建议将重点放在前两种流行的攻击方式上。现在是时候添加第三种了:密码管理。在过去,我说,担心密码卫生是浪费时间,因为社交工程和未打补丁的软件占据了令人难以置信的主导地位,而它们确实是。
密码黑客从密码猜测和破解转移到了攻击者可以对密码哈希数据库进行访问的哈希传递(pass-the-hash, PtH)攻击。2008年,在Hernan Ochoa发表了他的PtH工具包之后,PtH攻击就从理论上的一个攻击演变成了一个严重的现实问题,因为在一两年内,PtH攻击从闻所未闻变成了完全的统治。近十年来,我所涉及到的有关组织黑客的司法调查中,没有一项是与PtH攻击无关的。
我不会因阻止了PtH攻击而感到兴奋,因为PtH是一种后开发技术,攻击者已经对环境进行了本地或域名管理控制。问题不在于PtH攻击,而是黑客已经掌握了全部的管理控制权。我更感兴趣的是阻止最初的开发原因而不是后开发技术,因为如果你不关注它们最初是如何进入的,你就永远无法阻止坏人。
这正是必须将密码管理添加到你的组织需要担心的问题列表中的确切原因。
你的组织的密码可能无处不在。我甚至不是在谈论上周Troy Hunt 网站所披露的7.73亿份数据泄露记录。该Privacy Rights数据泄露数据库表示,已知被盗的记录超过110亿份。
对这一事实的认识改变了我。如果你的密码无处不在,任何黑客都可以看到它,那么它就成为了一个初始的开发问题。唯一安全的做法是创建真正独特的密码,而不是为每个网站创建一个整体模式。为此,你需要将它们写下来(并在每次需要使用它们时查找它们)或使用密码管理器程序。
密码管理器存在一些问题,其中最大的问题是,如果你的计算机受到攻击(这不是你应该打赌的事情),那么攻击者一次就可以获得所有网站的密码。随着密码管理器越来越受欢迎,黑客将会更频繁地攻击它们。
唯一解决方案就是摆脱它们,这也是全世界正在努力的方向。最可行的密码替代品,多因素身份验证(MFA)和多变量行为分析,都有自己的问题,但黑客不能简单地在数据库中围绕它们寻找一种方法。
下面是我对如何处理你的密码的建议:
- 将过去几个月未更改的所有密码更改为非模式密码。
- 如果可以的话,在最重要的账户上实现MFA。
- 确保每个网站的密码都是唯一的。
- 主动检查密码数据泄露服务,如Troy Hunt的HaveIBeenPwned或BreachAlarm,或使用免费的企业工具,如KnowBe4的Password Exposure Test 来检查一次所有的组织密码。
- 考虑采用一个密码管理工具,因为它可以自动检查你的活动密码是否与存储在已知密码数据库中的密码相匹配。
如果你的密码遭到了攻击,请立即更改它。如果它之前遭到了攻击,请弄清楚它遭到了攻击。这是完全超出你的控制,还是你掉进了某个钓鱼骗局,骗了你?
理解和表现得像世界上大多数密码都在那里,其他人都可以看到,这是第三个重要的行为,应该添加到每一个顶级的防御中。社交工程和未修补的软件仍然是最成功的数据泄露方式。请继续专注于这些,但是世界上所有人的密码只有在其他两种防范方式关闭的情况下才能让黑客更容易地访问。