為什么黑客總能夠“魔高一丈”?
責編:admin |2014-09-18 14:59:27自去年史上最大的用戶信息泄露事件(塔吉特)以來,又接連發生了多起信息泄露的安全事件。僅從8月到現在,就有UPS快遞、CHS(社區醫療系統)、火狐開源、蘋果iCloud、家得寶等信息泄露事件相繼爆發。
以至于國家信息系統安全認證協會(ISC)的執行董事W. Hord Tipton認為:“壞人在贏得勝利……在黑客與安全人員之間有著技術方面的差距,除非這個差距得到彌補,否則成功的入侵事件會越來越多。”
“進攻要比防守容易得多”
黑客學院(Hacker Academy)的聯合創始人兼首席運營官Aaron Cohen認為,現在系統可以攻擊的路徑太多,了解系統要比如何防守系統容易的多,黑客總是能找到系統最脆弱的短板。
FireEye的首席安全戰略官Richard Bejtlich同意這個觀點,他表示:“在網絡空間里進攻方占著先手,防守方處于被動。”但Bejtlich認為,即使攻擊者獲得未授權的訪問,也不代表著他就“贏”了。因為訪問的最終目的是盜取數據和破壞系統,在這之前還不能稱之為贏,而防守方所要做就是阻止這種情況的發生。太多的安全人員把精力浪費到戰略上并不重要的事務中,這才是最大的問題。
Cohen表示,之所以壞人顯得比好人聰明,是因為那些失敗的安全防范,并不是專業人員在做,而是一些傳統的IT人員,一些被網絡釣魚或社會工程手段欺騙的其他部門的職員,甚至還有第三方承包商,為攻擊者打開了方便之門。
“人們的愚蠢沒有補丁可打”
不過安全專家都一致同意,防護能力應該能夠提高,但要做到這一點,良好的安全培訓是必不可少的。
“從大學教育的水平統計,已經有一段時間沒有培育出足夠的信息安全專業人員。”賽門鐵克網絡安全組的高級經理Michael Garvin表示。然而這還只是開始,未來需要的安全人員不只是信息安全專業的大學生,還需要具有實際操作、現實經驗的職業人員。如同飛行員在真正上機前要在模擬環境試飛上千小時,才能通過不斷的重復形成安全環境中的肌肉記憶。
Bejtlich對此表示贊同:“我不會聽一個沒有時間做企業安全工作的教授講信息安全課。”Cohen則表示:“中學和大學教育在信息安全方面比較落后,從書本上無法得到真正的培訓”。Cohen建議,網絡安全培訓必需更加注重實際操作,有點類似于職業學校。”
然而,如果學院或大學想要提升信息安全課程的教學質量,則需要專業人員的合作。Avecto職業服務副總裁Andrew Avanessian認為:“大學院校與職業服務機構和信息安全圈的關系需要加強,信息安全業界要聯合大學院校并在技術與技能方面給予指導和建議,這是不斷變化的信息安全環境的需要。”
Avanessian認為,除了獲得計算機學位以外,在安全事業的道路上還有很多途徑。比如攻讀數學,或工程和管理。Bejtlich則認為,除了學術培訓和技術能力,還需要戰略性的思考,把運營、政策和戰略結合起來。而后者正是大多數技術人員所缺乏的。
“戰略思想比技能缺口更加重要,太多的安全人員把精力浪費到戰略上并不重要的事務中,這才是最大的問題。”
Kellermann也對此表示贊同。他表示俄羅斯黑客的聰明之處就在于“他們戰略性的思考所采取的每一步行動,如同下國際象棋,無論是進攻方還是防守方,都會考慮8步到12步之多。”
所有的安全專家都同意,僅僅給予安全工作人員更好的培訓是不夠的,企業中的所有員工都需要加強安全技術和安全意識的培訓。
Avanessian表示:“防范攻擊的主要障礙之一就是難于操作和管理的安全戰略,這些戰略依賴于被動的檢測。因此,各機構需要簡化戰略方法,提高主動性。經常碰到一些IT部門,他們的關注點不在安全,而在實施最新的技術或更廣泛的解決方案上。這就迫使他們不斷的改變他們的安全部署,而安全從來就不應該是后知后覺的。”
Cohen表示,終端用戶也是重要的安全因素,要給予終端用戶更多實際的技術培訓,包括模擬攻擊,而不僅僅是理論上的學習。
“這是一個即容易又節省成本的方法,幫助員工提高安全防范水平,杜絕系統中最脆弱的短板”Cohen如是說。