几乎每个公司在全球有成千上万的漏洞,黑客可以轻易利用的。对于任何人在IT行业工作,这是不是一个重磅炸弹公告。这是一切照旧。
现实情况是,IT刀枪不入不惜任何代价点是不可能的。相反,企业花费在计算机安全防护的IT预算的主要部分,以阻止黑客那些相同的日常漏洞的优势。这个理论很简单:随着安全性的足够层,坏人将别处寻找更容易的目标。
它在行业中的肮脏的小秘密,没有计算机安全解决方案确实有效,以及标榜。每一个“保证对站,先进的安全系统”是注定要失败的。承诺的目标由供应商共享和IT都不过是白日梦。我们最大的努力是我们所能做的。
IT安全呈现出以下六个硬盘的真理不仅为什么今天的安全解决方案功亏一篑,但如何我们作为IT专业人员和行业,可以减轻至少一些不完美的安全解决方案的必然后果的。
防御不完全分布
这是很难放下一个可靠的防守时,你不能把你的软件在每个设备上在您的环境。安全解决方案,根据需要,只的平台和版本的一个子集,而这个子集的作品总是不到什么顾客了。一些解决方案不支持传统的设备和操作系统。其他未能跟上最新的操作系统和设备。
如果有一件事对当今复杂的世界BYOD可以说,它是保障网络安全的工作,他从强硬到不可能的。忘了安全厂商并不支持所有的平台。该基地的事实是,没有人,甚至没有IT,了解所有用于连接到网络的设备。那是手机,平板,平板电脑或小型笔记本电脑设备?它运行在Windows,Linux,OS X,或者没有一个员工曾经听说过的私用OS?它是一个物理或虚拟资产?如果它是一个虚拟机,将它明天存在吗?难道是运行一个企业主或某人的便携式设备上?它是否属于我们还是承包商?
即使是支持的设备和平台,设备发现和部署是不完善的。你永远不会得到你的安全解决方案范围的器件100%,这要归功于问题,包括网络或站点连接问题,阻止防火墙,离线资产,破坏注册表或本地数据库,独立的安全域,以及操作系统版本变化万千。
再加上在什么政治和管理的障碍通常被称为OSI模型的第八层。管理孤岛,业务单位,部门,并得到默认豁免系统 - 即使你有用于保护公司资产的一个绝妙的主意,你可能不能够部署它。
其结果是,IT安全必须与硬真理永远不会安装的设备的一定比例的安全软件生活。在最低的限度,这是任何安全解决方案能告诉你哪些设备已经成功安装了该软件,并且有问题是很重要的。然后,你可以寻找共同点,并试图让安装在尽可能多的设备尽可能的软件。
但在安装软件仅是第一个挑战。
人员配备不足,部署和监控
很多时候,企业购买一个伟大的计算机安全解决方案,则不能适当部署,如果他们在所有部署。个月都花在评估和吵了一大安全限购令结束了在一个角落里含情脉脉的地方拆箱。或者一些不幸,孤独的员工被告知要部署新的解决方案,尽管已经在与被认为是他们的关键任务超负荷工作“真正的工作”。
员工放在一个英雄的努力,部署什么,他们可以在几天之内。他们成为设备中,但应该防止威胁的伪专家。他们尽自己所能配置的设备,并在未来几天或几周内,他们把监控它的一个差强人意的工作。
然后,他们的其他关键任务的优先级接管。很快很酷的新安全工具越来越少了监测。没有人有时间去追踪误报,更不用说跟进警报。没过多久,该设备警报后蹬出警报,所有这些在其他监测不良安全设备的噪音会丢失。该Verizon的数据泄露调查报告认定,所有的恶意事件的70%到90%可能被防止或发现,如果现有的日志和警报已监测越快。这一点也不奇怪给出这个盛行,几乎是不可避免的周期,从部署到淘汰。
计算机安全设备是从来没有自我维护。他们需要合适的团队,资源和重点,甚至接近了自己的诺言。公司正以购买固定资产很大,但他们害怕增加运营费用和员工人数。这意味着,内置的故障。不要为自己设定了它。获取代替合理的人员配置解决方案,您购买任何安全技术之前。
黑客需要找到只有一个弱点
假设某公司拥有1000台Web服务器,而其中999完全修补和完美的配置。所有的黑客所要做的就是火了一个漏洞扫描器,它指向正确的域名或IP地址范围 - 游戏结束。扫描1000台电脑只需要比扫描一个稍微长。
一个典型的漏洞扫描会带回一个或多个漏洞的每个服务器上,如果不是几十个漏洞。当扫描完成后,所有的黑客需要做的是通过多汁结果挑来决定在哪里先利用。
这一个弱链接和 - 您 - 大清洗的格言是无处比通过电子邮件的恶意软件活动更明显。发送包含恶意软件的消息到一大组的员工,以及至少一个人,无论多么聪明,将打开电子邮件和盲从每个建议的命令。我已经参与了数十多年来反钓鱼教育测试,并在任何情况下,相当多 - 25%和50%之间 - 员工可以在第一轮钓他们的证书出来。虽然转化率(我们所说的),每个后续的一轮发送另一个测试那些谁已通过审前滴,总会有用户来响应每一个钓鱼攻击的某些部分。
人员配置结构变得越复杂,就越难是支撑你的防御。一些近年来最大的黑客都来自开发承包商。其中最具破坏性的黑客,在目标零售商店在2013年,从利用HVAC承包商来。
有时候,攻击者可以通过您最值得信赖的保护后右转。在有史以来最复杂的攻击之一,先进的黑客团体受损长称赞计算机安全公司RSA使用集中于几件旧的,未打补丁的软件的攻击。于是他们派出一个恶意电子表格文件,帮助他们打断他。
取证透露,用户将被提示不下五个消息警告内容他们即将开放可能是恶意的。在每一个警告情况下,他们只好选择了非默认的答案绕过警告,并在任何情况下他们做到了。一旦攻击者在得到了,他们偷走了数字秘密RSA备受信赖的安全ID钥匙,并用他们学会利用自己的终极目标,其中包括美国军事巨头诺思罗普·格鲁曼公司和洛克希德 - 马丁。即使您有您的安全拍下来,攻击者会利用你的商业伙伴,并使用他们发现什么对你不利。
Even if you’re perfect at detecting and remediating vulnerabilities, all an attacker has to do is use vulnerability analysis tools to “fingerprint” each of your operating systems and applications exposed to the Internet, then wait until one of those software vendors releases a critical patch. No matter how great a company is at patching, they aren’t likely to patch assets faster than the attacker can make use of tools available within hours of the announced vulnerability.