即使再複雜的職業也無法跟上IT安全的變化速度。據統計，相關從業人員每年平均會遇到5000至7000個新型軟件漏洞。去年的數據甚至達到了16555，讓人爲之驚歎。這意味着，在個人安全防禦中每天都會產生13-45個漏洞。日復一日，年復一年。其危害和成千上萬個獨特的惡意軟件程序相比更甚。這種威脅，持續不斷，氾濫如潮，帶來的後果就是影響公司信譽，被曝光在惡意媒體之下，造成公司財產損失。

然而，這並不是不可防範的，以下是每個計算機專業人員爲打贏這場保衛戰應該知道的12件事。

一、瞭解對手動機

知己知彼，尚能百戰百勝。首先要先了解對手是誰以及他們攻擊的原因。所有攻擊者都有他們自己的攻擊緣由和目標，這兩點是驅使他們做這件事以及怎麼做的根源。

當今大多數攻擊者的動機可以分爲一下幾類：

金融

國家支持的/網絡戰爭

黑客行動主義者

資源竊取

在多人遊戲中作弊

儘管如此，如今的攻擊者也不盡相同。瞭解其動機至關重要。只有如此，纔可以選擇當前網絡最佳的目標類型開展防禦，擊敗對手。

二、惡意軟件種類

如今有三種惡意軟件：電腦病毒、特洛伊木馬、蠕蟲。任何的惡意程序都是一種或者多種軟件的混合使用。

計算機病毒是一種惡意軟件程序，它依附於其他程序、文件和數字存儲中得以複製。特洛伊木馬是一種惡意軟件程序，其聲稱是一種合法的東西，可誘騙人們去運行它。特洛伊木馬不會自我複製，它依賴於人類的好奇心來幫助它傳播。蠕蟲是一種自我複製的程序，它使用代碼來傳播自己。它不需要依賴其他主機程序或文件。

瞭解這些惡意軟件的基本分類十分重要。當找到一種惡意程序的時候，能夠解析其進入電腦的最有可能的一種情況，這有助於人們理解惡意軟件的來源以及它們要傳向何處。

三、漏洞利用根源

IT安全專業人員每年面臨成百上千的新型軟件漏洞和獨特的惡意軟件程序，然而只有十二種不同的漏洞利用根源允許他們進入個人的安全防禦。阻止這些漏洞利用根源就可以組織黑客入侵和惡意軟件。以下是漏洞利用的十種根源：

編程bug

社會工程學

認證攻擊

人爲錯誤

配置錯誤

竊聽/中間人（MitM）

數據/網絡流量異常

內線攻擊

第三方依賴問題

物理攻擊

這些都是人們常見的根源，但是並不意味它們解決起來就是容易的。

四、密碼學和數據保護

數字加密技術是一門保護信息以防止未經授權的訪問和修改的技術。每個IT安全專業人員都應該學習加密的基礎知識，包括非對稱加密、對稱加密、散列以及密鑰分發和保護。

數據保護需要大量的加密。完整的數據保護還要求合法收集和使用數據，保護其隱私，阻止未經授權的訪問，並確保安全備份以防止惡意修改並確保可用性。（Geek Stuff有一本關於密碼學基礎知識的優秀教程。）

學完以上基礎知識時候，要確保跟上量子計算機的進展，學習破解現代公鑰加密的能力。在接下來的10年或更短的時間內，所有公共密鑰加密（例如RSA，Diffie-Hellman等）將用於稱爲後量子密碼的密碼技術。全世界都在爲此舉做準備，包括美國國家標準與技術研究院。

五、網絡和網絡數據包分析

優秀的IT安全專業人員瞭解數據包級別網絡，他們易於使用網絡基礎知識，例如協議，端口號、網絡地址、OSI模型的層、路由器和交換機之間的區別，並且能夠讀取和理解網絡數據包的各個字段用於什麼。

瞭解網絡數據包分析是爲了真正瞭解網絡和執行它們的計算機。 Geeksforgeeks有一個關於網絡基礎知識的快速教程，Vice有一個關於網絡數據包分析的快速入門課程。

六、基本共同防禦

幾乎每個計算機都有共同的基本防禦，優秀的IT專業人員會考量並應用它們。以下是計算機安全的標準：

補丁管理

最終用戶培訓

防火牆

殺毒軟件

安全配置

加密/密碼

認證

入侵檢測

記錄

每個IT安全專業人員都必須瞭解和使用基本的常見IT安全防禦措施。但僅瞭解是不夠的，也要知道他們擅長防禦什麼以及他們不能防禦什麼。

七、身份認證基礎知識

最好的安全專業人員知道身份認證不僅是輸入有效密碼或滿足雙因素ID測試的過程。它比這更重要。身份認證從爲任何命名空間提供唯一有效身份標籤的過程開始，例如電子郵件地址、用戶主體名稱或登錄名。

身份認證是提供僅由有效身份持有者及其認證數據庫/服務所知的一個或多個“祕密”（密碼）的過程。當有效身份證持有者鍵入正確的身份認證因素時，這證明經過身份認證的用戶是身份的有效所有者。然後，在任何成功的身份認證之後，受試者嘗試訪問受保護資源將由稱爲授權的安全管理器進程檢查。應將所有登錄和訪問嘗試記錄到日誌文件中。

與安全方面的其他所有內容一樣，身份認證是其中一個較新的概念，也就是最有可能保留的概念之一是持續用戶身份驗證，其中登錄用戶執行的所有操作都會根據已建立的模式不斷進行重新評估。

八、可移動的威脅

世界上移動設備的數量遠比人類數量要來得多，而人們獲取大多數信息只通過一部移動設備。因爲人類的移動能力只可能會增加，所以IT安全專業人員需要嚴肅對待移動設備、可移動威脅和移動安全等問題。以下是主要的移動威脅：

移動惡意軟件

隱私入侵/盜竊

勒索軟件

網絡釣魚攻擊

間諜軟件

數據或憑證被盜

圖片盜竊

不安全的無線網絡

可移動威脅和計算機威脅之間沒有太多的不同，但是也稍有差別。這是一個優秀的IT專業人員應該要知道的。

九、雲安全

相比於傳統安全來說，讓雲安全更復雜的四個因素是什麼？每個IT專業人員都應該能夠回答得出來。

缺乏控制

只能在互聯網上使用

多租戶（共享服務/服務器）

虛擬化/集裝箱/微服務

傳統的企業管理員不再控制用於存儲敏感數據和服務用戶的服務器、服務和基礎架構。 人們必須相信雲供應商的安全團隊真的可以提供安全服務。 雲基礎架構幾乎總是多租戶架構。在這個架構中，通過虛擬化以及最近集裝箱化和微服務開發，將不同客戶的數據分開可能會變得複雜。 有些人認爲這是一種更容易營造安全環境的方法，可是每次開發通常會使基礎架構變得更加複雜。複雜性和安全性通常不是齊頭並進的。

十、事件記錄

研究表明，最常丟失的安全事件一直存在於日誌文件中，等待被發現。一個好的事件日誌系統非常重要。一位優秀的IT專業人員知道如何設置以及何時進行諮詢。以下是事件記錄的基本步驟，每個IT安全專業人員都應該知道：

政策

組態

事件日誌集合

正常化

索引

存儲

關聯

基線

警報

報告

事實上，每個IT環境防禦都會被突破。黑客或他們的惡意軟件不知以何種方式通過防禦。一個優秀的IT專業人員應爲此做好準備，制定事件響應計劃，該計劃可立即付諸實施。 良好的事件響應至關重要。 事件響應的基礎包括：

及時有效地回應

限制損失

進行取證分析

識別威脅

通訊

限制潛在損失

承認經驗教訓

大多數威脅都是衆所周知並反覆出現的。 從最終用戶到高級管理層和董事會的每個利益相關者都需要了解當前針對貴公司的最大威脅以及爲阻止威脅所採取的措施。有些威脅，比如社會工程，只能通過公司員工教育來防範。 因此，優秀的溝通能力通常是將優秀的IT專業人員與平庸的人員分開的標準。

因此，培訓計劃應涵蓋以下項目：

對組織最可能、最重要的威脅和風險

可接受的用途

安全政策

如何進行認證以及要避免什麼

數據保護

社會工程意識

如何以及何時報告可疑的安全事件

相關文章