总结计算机安全专业人士必须了解的12项事实

各位看官，周日早上好。昨晚玩得可开心，我觉得周末里面，感觉最好的应该是周六的晚上，参加一场聚会，看一次新说唱，来一次约会，整个状态都是最好的，因为周五晚上有点上班的疲惫，周日晚上因为周一要上班而比较收敛。

很少有哪种职业需要像IT安全人士这样面临迅速变化的复杂状况。从业者每年平均遭遇5千到7千种新的软件漏洞，这意味着日常防御工作当中，您每天可能遇到15种新的安全隐患。此外，每年IT环境中还将出现数以千万计的不同恶意软件。

在这种持续不断的威胁压力之下，任何一项漏洞都有可能造成毁灭性的破坏——包括令企业身陷负面头条、危害收入，甚至导致从业者被迫离职。

但安全团队完全有理由、也有能力对此施以反击。

下面，我们将共同探讨每一位计算机安全专业人士所应了解的12项事实。希望这一切能够帮助大家更有把握地打响这场绝地反击战。

敌对方的动机

正所谓知己知彼方能百战百胜。每个攻击者都有着自己的动机与目标，而二者相结合就决定了他们要做什么以及如何实施。

当前，威胁我们的黑客大多拥有着严肃的动机，且主要分为以下几类：

经济因素

民族国家支持/网络战

企业间谍活动

黑客行动主义者

资源窃取

在多人游戏作弊

尽管攻击技术已经发展成熟，但每一次具体攻击活动仍然存在差别。因此，了解其中的动机就成了解决问题的关键。大家应当在采取任何行动之前，首先考虑“为什么”。这有可能为您带来挫败对手的重要线索。

恶意软件类型

恶意软件分为三大主要类型：计算机病毒、木马以及蠕虫病毒。任何恶意软件程序都可归属于这些分类中的一种或者多种结合体。

计算机病毒属于一种恶意软件程序，其将自身托管在其它程序、文件以及数字化存储介质内以待复制。其中，木马是一类自称合法的恶意软件，可能通过诱导方式令人们无意间将其激活。木马不会自我复制，其传播主要依赖于人们的好奇心。蠕虫则是一种能够自我复制的程序，其利用代码进行自我传播，而无需其它承载性程序或文件。

了解这些恶意软件基本类别非常重要。这样，当您在寻找恶意软件程序时，就可以将出现机率最高的恶意软件方案整合在一起，从而准确判断恶意软件的起源并推测其可能传播的目标位置。

攻击根源

每一年，IT安全专家们都面对着无数种新型软件漏洞以及上百万种不同恶意软件。然而，这些恶意因素的环境渗透实际上可以归结于12种根源。只有堵住这些攻击根源，才能真正阻扼黑客攻击与恶意软件。以下为这12种具体攻击根源：

零日漏洞

未修复的软件

恶意软件

社交工程

密码攻击

窃听/中间人攻击

数据泄露

配置错误

绝服务

内部人员/合作伙伴/顾问/供应商/第三方

用户错误

物理访问

如果您对其中一项或者多项根源不太熟悉，请马上进行研究学习。

密码学与数据保护

数字密码学是一种确保信息安全以防止未授权访问及篡改的艺术。每位IT安全专业人员都应掌握加密基础知识，包括非对称加密、对称加密、散列以及密钥分发与保护。数据保护需要使用大量加密技术，而数据完整性保护还要求以合法方式收集及使用数据，保护隐私内容免受未授权访问的侵扰，同时确保安全备份有能力防止恶意篡改并实现可用性。如今，法律对于数据保护的要求正变得越来越严格，从业者自然也有必要抓紧时间提升自我水平。

网络与网络数据包分析

其实判断团队中真正优秀的IT安全专业人员并不困难：观察他们是否有能力对网络进行数据包级分析即可。出色的安全专家应该熟悉网络基础知识——例如协议、端口编号、网络地址、OSI模型层、路由器与交换机间的区别，同时能够阅读并理解网络数据包内各个字段的实际含义。

总而言之，理解网络数据包并对其进行分析，是为了真正理解网络本身以及使用网络资源的计算机。

基础性常规防御

几乎每台计算机都拥有常规的基础防御机制，优秀的IT专业人员当然会尽可能发挥其保护作用。以下是计算机安全中的基本“标准”，具体包括：

补丁管理

最终用户培训

防火墙

反病毒工具

安全配置

加密/密码

验证

入侵检测

日志记录

理解并运用基础性常规IT安全防御机制是每位IT安全专业人员的必备技能。但除了了解其功能之外，也应弄清其擅长执行哪些任务以及缺乏哪些重要保护能力。

验证基础

出色的安全专业人员会意识到，验证机制不仅仅是输入有效密码或者通过双因素ID测试，其中还涉及更多细节。验证以在任何命名空间当中提供有效身份标签为起点——例如电子邮件地址、用户主体名称或者登录名称。

验证的本质，是有效身份持有者及其验证数据库/服务提供一项或多项“秘密”信息的过程。当有效身份持有者输入正确的验证因素时，即证明经过验证的用户为身份的有效持有者。在成功完成身份验证之后，主体对受保护资源的访问尝试将由授权安全管理器进程负责检查。大家应将所有登录与访问尝试记录至日志文件当中。

移动威胁

如今全球移动设备数量已经超过人口总量，且大多数人通过移动设备获取大部分日常信息。由于移动能力只可能进一步增长，因此IT安全专业人员需要认真对待移动设备、移动威胁以及移动安全问题。目前最主要的移动威胁包括：

移动恶意软件

间谍软件

数据或凭证盗窃

图片窃取

勒索软件

钓鱼攻击

不安全无线连接

对于大多数移动威胁而言，其对移动设备的威胁方式与传统计算机威胁并无区别。当然，二者之间同样存在一些差异。了解这种差异，正是出色IT专业人员的本分所在。因此，任何不熟悉移动设备细节的安全人士都应尽快开始学习。

云安全

流行问答：哪四大因素使得云安全性比传统网络更为复杂？

每一位IT专家都应能够轻松通过这项测试。

答案是：

缺乏控制能力

始终暴露在互联网上

多租户（共享服务/服务器）

虚拟化/容器化/微服务

有趣的是，云所真正代表的实际是“其他人的计算机”以及由此带来的一切风险。传统企业管理人员无法控制在云端存储第三数据及用户服务的服务器、服务乃至基础架构。因此，我们必须寄希望于云服务供应商，相信他们的安全团队会切实履行职责。云基础设施几乎代表着多租户架构，通过虚拟化与新近兴起的微服务及容器化开发而来，因此我们很难将不同客户的数据进行区分。有些人认为，每一种新的开发形式都会令基础设施变得更加复杂，而复杂性与安全性通常存在相互冲突的关系。

事件记录

年复一年，安全研究一直在不断强调最易被忽视的安全事件其实一直存在于日志文件当中。而我们的任务，就是对日志内容进行查看。因此，一套出色的事件记录系统就变得非常重要。优秀的IT专业人员应当了解如何设置这类系统以及何时进行查询。

下面是事件记录的基本执行步骤，每位IT安全专业人员都应熟练掌握：

‍政策

配置

事件日志收集

规范化

索引

存储

关联

基准化

警报

报告

事件响应

最后，每套IT环境早晚都会遭遇防御失败问题。不知为什么，黑客或者由此创建的恶意软件总能找到可乘之机，而随之而来的就是严重的负面后果。因此，一位优秀的IT专业人员应当时刻做好准备，制定事件响应计划，并将该计划立即付诸实施。良好的事件响应能力至关重要，这可能最终决定着我们的企业形象甚至商业生命能否延续。事件响应的基础因素包括：

及时有效地做出响应

限制危害范围

进行取证分析

别威胁

沟通

限制后续危害

总结经验教训

威胁教育与沟通

大多数威胁都属于已知范畴，且经常重复发生。因此，从最终用户到高管团队甚至是董事会成员，每位相关者都应了解当前所在企业所面临的最大威胁以及应当采取的阻止性措施。当前我们面临的某些威胁，例如社交工程，只能通过员工教育的方式才能消除。因此，沟通能力也常常成为IT专业人员业务水平的重要指标之一。

沟通是一项重要的IT安全技能，但大家在这方面不应单纯依赖于自己的个人魅力。沟通有着多种具体方法，包括当面交谈、书面文件、电子邮件、在线学习模块、新闻 通讯、测试以及网络钓鱼模拟等等。

每一位优秀的IT专业人员都应有能力以口头及书面方式进行清晰有效的沟通。在适当时，您应了解如何创建或购买必要的教育及沟通工具。无论实际部署怎样的技术控制方案，每一年都会出现更新、更强大的新产品。因此，请确保利益相关者为此做好准备。