黑客并非想像中的神出鬼没

黑客从来没有高明到不留任何蛛丝马迹的地步，采取基本的安全措施就能保护你的公司。

我所知道的几乎每家公司都遭到过黑客攻击—而且许多情况下是严重的黑客攻击。虽然这番话有夸大之嫌，但也并非完全不靠谱。不过，这番话让一些读者误以为检测黑客、预防攻击是不可能完成的任务。而事实并非如此。

尽管黑客在电影上被拍得神乎其神，但事实上，即使是职业黑客也休想不露破绽地藏匿起来，只是大多数管理员根本没注意罢了。

Verizon公司在2008年发布的数据泄密调查报告迅速成为人们了解计算机犯罪现实情况的最权威来源之一，它概括得很精辟：“在受害组织实际受到危害之前，表明攻击事件的证据已摆在那里，只是没有引起注意罢了，82%的数据泄密事件是这样的。不管使用哪一种类型的事件监测机制，结果都一样：有关攻击的信息不是没有引起注意，就是注意后没有采取行动。”

检测恶意活动的第一个工具就是你的日志文件。大多数管理员并不打开日志文件；就算打开了，通常也不监测它们。另外，许多公司只是在服务器上打开日志功能，尽管大多数恶意入侵事件发生在用户的工作站上。每家公司都应该制定一项面向全企业的日志管理计划。简而言之，你需要在一个地方把所有日志事件都集中起来，对于需要响应的异常事件发出警报。千万不要成为这样的公司：启用的事件日志管理系统每天都发出少则几十条、多则几百条的“警报信息”，这么多警报信息保证没有一条会有相应的后续行动。精心设计的事件管理系统只会要求针对理应加以调查的事件采取行动。

另一个检测黑客的有效方法就是扫描查找常见的黑客工具：密码破解程序、中间人攻击工具、探测程序，诸如此类。大多数反恶意软件扫描工具会检测出通常使用的黑客工具。虽然不是所有黑客都使用同样的工具，但通常是这样。

我还竭力主张为网络流量情况建立基准线。大多数数据应该从服务器流向工作站及从工作站流向服务器。从服务器到服务器的意外流量应该进行调查，从工作站到工作站的意外流量同样要进行调查。另外，如果你有一台工作站在频频访问贵公司环境中的每台服务器，也要调查一下。许多内部攻击之所以被拦截下来，就是因为目光敏锐的网络流量分析人员注意到数量非常多的数据流向某一个员工的机器。

预防黑客攻击的首要方法就是阻止最终用户无意中执行特洛伊木马程序。有几个办法可以做到这点：你可以取消最终用户的过高权限、使用应用程序控制软件，或者单单加强教育，让用户清楚如今各种狡猾的安全威胁。

其次，确保所有软件（包括操作系统和应用程序）都打上了补丁，特别是浏览器插件。大多数软件都带自动更新例行程序，但不是全部都有。知名安全厂商Secunia刚宣布了面向家庭消费者的免费软件，有助于及时打上最新补丁。

第三，使用反恶意软件工具，包括基于主机的防火墙、反病毒软件、反网络钓鱼软件和反垃圾邮件软件。

第四，清楚自己的数据在哪里，那样才能保护数据。

第五，确保你拥有良好的安全控制机制和政策，确保员工在切实遵守，谁不遵守，就给予处罚。凡是可以用来提供更有效的深层防御机制的各种措施，都应当考虑，但也别让过多的精力和过多的产品使你无法更好地关注会带来实际成效的简单措施。

没有哪一招妙方挫败得了所有黑客， 但并不是说只有一些防御水平特别高超的人才能挫败黑客，你只要把精力花在少数几项最有可能带来防御效果的措施上。

Verizon的报告概括得很精辟：“如果借助合理的控制手段，得逞的黑客攻击中87%是可以避免的。”

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友