压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　你們?yōu)槭裁匆獩]完沒了地發(fā)布補(bǔ)丁？漏洞利用率那么低，大家回家洗洗睡吧。

　　思科公司在最近發(fā)布的年度安全報(bào)告中發(fā)現(xiàn)了一種常見但同時(shí)又呈現(xiàn)出新興趨勢(shì)的混合現(xiàn)象：人們的安全意識(shí)仍然非常幼稚，仍有大量未經(jīng)補(bǔ)丁修正的軟件散布于世，而且攻擊者們一直在針對(duì)防御措施構(gòu)建新的威脅類型。

　　這份報(bào)告指出，攻擊者們始終在認(rèn)真學(xué)習(xí)并了解當(dāng)前安全趨勢(shì)。舉例來說，面對(duì)垃圾郵件過濾器及其它一些能夠令惡意人士快速落網(wǎng)的方案，攻擊者們開始大規(guī)模使用所謂“雪鞋”攻擊：大量匯聚被突破的主機(jī)，但其中每一臺(tái)主機(jī)只發(fā)送數(shù)量很低的垃圾郵件。

　　除了曾經(jīng)發(fā)布過的研究結(jié)果之外，我們還與思科安全事務(wù)澳大利亞/新西蘭總經(jīng)理Anthony Stitt就此進(jìn)行過探討，并詢問他有哪些工作成果值得作為各位讀者朋友的參考與借鑒。

　　Stitt強(qiáng)調(diào)稱，“CSO與安全管理團(tuán)隊(duì)之間在保護(hù)級(jí)別問題上存在著顯著差異。”

　　CSO們往往對(duì)安全事務(wù)過度自信，Stitt解釋稱，這意味著安全體系的大腦與肢體之間存在著信息不對(duì)等問題。

　　“信息安全管理團(tuán)隊(duì)有機(jī)會(huì)進(jìn)一步提升其運(yùn)營安全工作的透明度，”他表示。

　　讓我們好奇的是，他為什么能夠肯定這種機(jī)會(huì)真實(shí)存在、而非僅僅是“似有實(shí)無”。無論如何，我們真的很難想象一位安全管理部門員工能夠在向老板強(qiáng)調(diào)“我們的安全水平根本沒你想象的那么強(qiáng)”之后還能保住工作——不知道Stitt對(duì)此會(huì)做何解釋。

　　“大家可能更贊賞市場(chǎng)營銷工作中的常用表達(dá)方式，即我們永遠(yuǎn)不可能達(dá)到100%的安全高度，”他回應(yīng)稱。“安全的核心在于適合性……當(dāng)前風(fēng)險(xiǎn)處于何等級(jí)別、威脅環(huán)境下又呈現(xiàn)出怎樣的趨勢(shì)。”

　　“要弄清這個(gè)問題，需要進(jìn)行一次詳盡而且深入的對(duì)話，”他指出，并強(qiáng)調(diào)稱需要“立足于企業(yè)運(yùn)營條款探討安全問題”。

　　“思科公司正在努力推動(dòng)與此相關(guān)的探討，希望讓客戶更清晰地了解我們所具備并且銷售的技術(shù)方案。”

　　“我們也一直倡導(dǎo)將安全理念分為‘前、中、后’三個(gè)執(zhí)行階段——即對(duì)攻擊活動(dòng)進(jìn)行預(yù)估、遏制以及事后整治，”他解釋道。

　　“安全管理團(tuán)隊(duì)不妨通過這樣的方式與CSO進(jìn)行溝通，‘我們面臨著安全攻擊威脅，但完全可以通過以下步驟應(yīng)對(duì)盯著問題，從而將原本需要數(shù)天、數(shù)周甚至數(shù)個(gè)月的處理工作壓縮到數(shù)小時(shí)之內(nèi)。’”

　　“我們從目前曝出的各知名攻擊事件中得到的經(jīng)驗(yàn)在于，攻擊者已經(jīng)在目前的安全環(huán)境下活動(dòng)了很長時(shí)間。我認(rèn)為企業(yè)需要正視問題、加強(qiáng)交通，承認(rèn)內(nèi)部環(huán)境下的安全漏洞，同時(shí)將相關(guān)工作視為前、中、后三階段全面覆蓋的完整處理體系。”

　　他進(jìn)一步指出，安全管理人員應(yīng)該向CSO建言：“我們需要某某工具、某某數(shù)額資金以及多少位相關(guān)員工，因?yàn)?hellip;…我們希望在12小時(shí)內(nèi)而非24或者48小時(shí)才解決問題，畢竟這是企業(yè)業(yè)務(wù)正常運(yùn)轉(zhuǎn)的重要窗口。”

　　討厭的瀏覽器

　　在某些環(huán)境下，瀏覽器補(bǔ)丁似乎成為最令人頭痛的疑難雜癥，Stitt表示。根據(jù)思科方面的觀察，目前有64%的瀏覽器訪問操作源自經(jīng)過補(bǔ)丁修復(fù)的瀏覽器——但這一比例僅限于Chrome瀏覽器范疇。如果將著眼點(diǎn)放得更遠(yuǎn)、例如立足于IE，那么只有10%的瀏覽活動(dòng)來自經(jīng)過補(bǔ)丁修復(fù)的瀏覽器。

　　“因此，有90%的IE事務(wù)操作面臨著不同程度的安全風(fēng)險(xiǎn)，”他總結(jié)稱。

　　下面我們?cè)賮韺?duì)補(bǔ)丁作出一番審視：Heartbleed仍然存在，Stitt強(qiáng)調(diào)稱，而且“根據(jù)我們的觀察，大約56%比例的SSL實(shí)例仍然未能得到修復(fù)……也就是說56%左右的OpenSSL仍然屬于四年半甚至更陳舊的老版本。”

　　在大多數(shù)情況下，上述問題的“真兇”是那些已經(jīng)被持有者遺忘、因而從未得到修復(fù)的廢棄網(wǎng)站。

　　作為評(píng)判僵尸站點(diǎn)的有力證據(jù)，Stitt表示，“大家只需要看看惡意人士們?nèi)绾卫媚切╆惻f、遭棄且未經(jīng)補(bǔ)丁修復(fù)的WordPress站點(diǎn)就能明白”。

　　選擇自己的CVE

　　另一項(xiàng)引發(fā)了我們深厚興趣的統(tǒng)計(jì)結(jié)果是，在每一年所曝光的大量安全漏洞當(dāng)中，思科認(rèn)為其中只有1%比例會(huì)被攻擊者們所切實(shí)利用。

　　“這項(xiàng)統(tǒng)計(jì)結(jié)果既是好事也是壞事，”Stitt指出。“從好的方面講，如果我能夠找哪些CVE（即通用漏洞披露）屬于這被利用的1%，那么補(bǔ)丁修復(fù)工作將變得更為簡(jiǎn)便。”

　　“但如果我做不到這一點(diǎn)，那么恐怕只能選擇‘修復(fù)一切’這種有效但卻毫無效率可言的辦法了。”

　　在就這一問題作出評(píng)估時(shí)，Stitt指出，安全管理團(tuán)隊(duì)的最佳戰(zhàn)略在于“尋求安全專家們的幫助，了解目前有哪些安全漏洞已經(jīng)受到利用……同時(shí)優(yōu)先修復(fù)那些被廣泛利用的CVE。”

　　這項(xiàng)統(tǒng)計(jì)結(jié)論“……強(qiáng)調(diào)稱絕大多數(shù)安全漏洞——其中包括我們自己產(chǎn)品內(nèi)的漏洞——并不一定會(huì)成為惡意人士手中的兇器。它們往往只是一些存在于少部分解決方案當(dāng)中的CVE，根本不足以構(gòu)成真正的遠(yuǎn)程安全威脅。”

　　另外一大不可忽視的因素就是用戶……

　　用戶行為是個(gè)長期存在的問題，而且安全意識(shí)培訓(xùn)并不足以徹底解決這個(gè)老大難問題。

　　“在我們的內(nèi)部研究工作當(dāng)中，一部分用戶就是會(huì)在自己收到的任意內(nèi)容上隨便亂點(diǎn)，”他指出。“單單依靠安全意識(shí)培訓(xùn)確實(shí)還遠(yuǎn)遠(yuǎn)不夠。”

　　“這個(gè)問題對(duì)于每一家企業(yè)及機(jī)構(gòu)都真實(shí)存在……如果大家觀察IE與Chrome兩種瀏覽器的補(bǔ)丁安裝水平差異，就會(huì)明顯發(fā)現(xiàn)將決定權(quán)從用戶處轉(zhuǎn)移到自己手中、相當(dāng)于給安全工作幫了一個(gè)大忙。”

　　“如果大家能夠?qū)崿F(xiàn)自動(dòng)化補(bǔ)丁安裝，那么至少能夠在一定程度上顯著降低安全風(fēng)險(xiǎn)可能帶來的損失，”Stitt表示。

　　“培訓(xùn)用戶的同時(shí)也要假設(shè)出最糟糕的狀況，即他們還是會(huì)點(diǎn)擊那些本不該點(diǎn)擊的鏈接。大家需要對(duì)客戶所具備的現(xiàn)有架構(gòu)及業(yè)務(wù)環(huán)境作出調(diào)整，其中包括那些有可能點(diǎn)擊惡意鏈接的用戶自身。”

　　“這是一個(gè)人為性難題，而且糟糕程度仍在不斷深化——我們必須采取上述應(yīng)對(duì)措施。”