会出现许多其她地黑客热心地帮助您测试与调试,按照漏洞被人掌握的情况

Posted by

1:,作为一个黑客,在找到系统漏洞并侵入时,常常都会很小心地避免造成琐事,并且好心地提醒系统管理员,但是在这进程中会出现许多要素都是未知地,没有人能肯定最终会是什么结果,因而一个好地黑客是不会随意攻击个人用户及站点地。
2:,这些软件都是免费地,但又和通常地共享软件有所不同,因为这些软件地源代码同时也是公开地。
3:,没有人能写出完全没有一点错误或是不需要改良地完美软件,因而对软件地测试与调试是十分重要地,测试与调试软件以致会比编写软件更消耗精力,但在黑客地世界中,这大概并算不啦什么地,因为在您编写出一个软件后,会出现许多其她地黑客热心地帮助您测试与调试。
4:,黑客们都以探索漏洞与编写程序为乐,但在黑客地圈子里,除啦探索漏洞与编写程序外,还有许多其她地杂事,如维护和管理相关地黑客论坛、新闻组以及邮件列表,保持大地软件供给站点,推动RFC和其她技术规范等等,这些事情都需要人来做,但或许并不都是那么令人感到有趣。所以,那些破费大量精力,义务地为网友们整理FAQ、写教程地黑客,以及各黑客站点地站长,在网络上都是令人尊敬地。
第 1 页
5:,真正地黑客通常耻于与“骇客”为伍,黑客不会随意破解商业软件并将其普遍流传,也不会恶意侵入她人地网站并造成损失,黑客地所作所为应当更象是对于网络安全地监督。

按照漏洞的形成原因,漏洞大体上可以分为程序逻辑结构漏洞、程序设计错误漏洞、开放式协议造成的漏洞和人为因素造成的漏洞。

修补程序、安全培训程序和密码管理比其他任何方式更能有效地阻止攻击。你已经采取了这些举措,但是我们可以帮助你如何做得更好。

按照漏洞被人掌握的情况,漏洞又可以分为已知漏洞、未知漏洞和0day等几种类型。

每年公布的新计算机安全威胁平均在5000至7000个,相当于每天19个。新威胁出现的速度使得我们难以确定自己到底需要关注哪些威胁。尽管你的竞争对手在防御上投入了大量资金,这些防御举措有的属于高科技,有的是外部帮助,但是只要你专注于之前已经做过的三件事就可以花更少的钱和精力,实现更好的防御,并获得比竞争对手更好的效果。

 程序逻辑结构漏洞

这种类型的漏洞有可能是编程人员在编写程序时,因为程序的逻辑设计不合理或者错误而造成的程序逻辑漏洞。这种类型的漏洞最典型的要数微软的Windows 2000用户登录的中文输入法漏洞。非授权人员可以通过登录界面的输入法的帮助文件绕过Windows的用户名和密码验证而取的计算机的最高权限。

这种类型的漏洞也有可能是合法的程序用途被黑客利用去做不正当的用途。这种类型的漏洞最典型的就是后面案例中提到的Winrar的自解压功能,程序设计者的本意是为了方便用户的使用,使得没有安装Winrar的用户也可以解压经过这种方式压缩的文件。但是这种功能被黑客用到了不正当的用途上。

会出现许多其她地黑客热心地帮助您测试与调试,按照漏洞被人掌握的情况。这种漏洞用一个比喻可能更容易理解。打一个比方来说,你开了一扇门,在门上开了一个狗洞,专门为了狗方便出入。正常情况下,人应该用钥匙打开锁才能进来。可是有个家伙他发现利用某个窍门人也可以从狗洞进出,那么这个从狗洞进出的方法就可以看着是一个安全漏洞。

需要做的这三件事情并不是什么秘密,之前你就早已知道需要做这些工作。你自己的经验会告诉你我所说的是真的。虽然赞成这样做的数据是压倒性的,但是大多数企业做得并不够好。

 程序设计错误漏洞

还有一种类型的漏洞是编程人员在编写程序时由于技术上的疏忽造成的漏洞。这种类型的漏洞最典型的是缓冲区溢出漏洞,它也是被黑客利用得最多的一种类型的漏洞。下面的章节我们会详细介绍这种缓冲区溢出漏洞。

改变自己的安全关注点

 开放式协议造成的漏洞

目前,国际互联网的通信采用的是具有开放性的TCP/IP协议。因为TCP/IP协议的最初设计者在设计该通信协议时,只考虑到了协议的实用性,而没有考虑到协议的安全性,所以在TCP/IP协议中存在着很多漏洞。比如说,利用TCP/IP协议的开放和透明性嗅探网络数据包,窃取数据包里面的用户口令和密码信息;TCP协议三次握手的潜在缺陷所导致的拒绝服务攻击等。在下面的章节中会介绍一些利用TCP/IP协议的漏洞进行攻击的一些案例。

大多数计算机安全防御人员都没能将注意力放在正确的事情上。他们只专注于特定威胁以及在黑客入侵后自己要做的工作,而不是关注黑客是如何入侵的。目前全球可能有数十万个不同的软件漏洞和数以亿计的恶意软件,不过它们在初次入侵时使用的方式也就那么十几种,主要为:

 人为因素造成的漏洞

   
一个系统如果本身设计得很完善,安全性也很高,但管理人员安全意识淡薄,同样的会给系统留下漏洞。譬如说,系统本身非常完备安全,但系统登录所需要的管理
员帐户或口令,可是因为设置过于得简单而被黑客猜解出来了,那么其他的环节再安全也没有丝毫意义;再或者虽然管理员设置了很复杂的密码,可是他把密码写在
一张纸上,并随手扔到废纸篓里,那么也同样有可能造成密码泄露而导致系统被黑客入侵。

● 未修补的软件 ● 社交工程

 已知漏洞

已知漏洞是指已经被人们发现,并被人们广为传播的公开漏洞。这种类型的特点是漏洞形成的原因和利用方法已经被众多的安全组织、黑客和黑客组织所掌握。安全
组织或厂商按照公布的漏洞形成原因和利用方法,在他们的安全防护产品中或安全服务项目加入针对相应类型漏洞的防护方法。黑客和黑客组织利用公布的漏洞形成
原因,写出专门的具有针对性的漏洞利用程序文件,并能绕过安全防护软件。比如说针对某个IE浏览器版本的IE漏洞利用文件,或者他们干脆利用一些漏洞公布站点上提供的漏洞利用程序文件并不加任何修改地去攻击互联网上的计算机。

产生漏洞的软件的开发商则会针对被公开的漏洞的信息,修补他们开发的程序以供他们的用户修补已经存在漏洞的软件。

● 错误配置软件 ● 密码攻击

未知漏洞

未知的漏洞则是指那些已经存在但还没有被人发现的漏洞,这种类型漏洞的特征是虽然它们没有被发现,但它们在客观上已经存在了,它们带给计算机网络安全的是隐蔽的威胁。如果它们哪一天被黑客有意或无意的找出来后就会对计算机网络安全构成巨大的威胁。

所以软件开发商、安全组织、黑客和黑客组织都在努力的发现漏洞,可以说谁先发现了漏洞,谁就可以掌握主动权。如果是软件开发商和安全组织先发现了漏洞,他们就可以在安全防护上取得主动权;如果是黑客或黑客组织先发现了漏洞,他们就可以在攻击上取得主动权。

● 物理攻击软件 ● 窃听

 0day漏洞

     
所谓0day漏
洞是指已经被发掘出来,但还没有大范围传播开的漏洞,也就是说,这种类型的漏洞有可能掌握在极少数人的手里。黑客有可能在这种类型的漏洞的信息还没有大范
围的传播开的时候,利用这段时间差攻击他们想要攻击的目标机器,因为绝大多数用户还没有获取到相关的漏洞信息,也无从防御,黑客要想得手还是很容易的

● 用户错误软件 ● 拒绝服务

专注这些根本性原因并减少其数量将有助于我们击败黑客和恶意软件。如果你希望以最快的速度最大限度地降低计算机安全风险,那么就需要找出导致出现威胁的几个主要的根本性原因。消除这些原因就可以抵御那些利用这些漏洞的安全威胁。

那么在大多数环境中,最大的根本性原因是什么?答案是未修补的软件、社交工程和密码管理。

毫无疑问,这些根本性原因在数十年内导致了大量企业被攻击。在媒体报道的所有重大攻击中,几乎都可以看到这些重大漏洞的影子。根据我的经验,所有企业甚至是军方遭到重大攻击时,都可以追溯到这些根本性原因中的一条。

更好的软件修补

黑客和恶意软件都将寻找未修补的软件作为入侵的一种方式。他们更喜欢将未打补丁的软件作为攻击媒介,因为这种方式需要涉及的最终用户最少。黑客可以攻击网络计算机和服务以寻找未修补的软件并入侵它们,然后在必要时继续向内部目标进一步渗透。或者他们也可以尝试诱骗用户打开电子邮件或访问网站,这些邮件和网络都可以利用目标自身未修补的漏洞。

当然,攻击者有时会利用软件厂商未及时发布补丁的软件漏洞,但是与一年成千上万的漏洞相比,一年的零日漏洞只有几十个。在任何情况下,要防止零日攻击是非常困难的,因此你应当将精力放在更大且更持久的威胁上。你无法知道自己的企业是否被零日攻击者攻击,但是攻击者利用未修补软件进行攻击的威胁显然要比发起零日攻击多了很多。

以最快的速度降低安全风险的关键,是要专注于风险最高的计算机上风险最高的软件程序。大多数企业都想通过一种方法来修补每个软件程序。这种方法必将失败,因为特殊程序的数量很庞大,不是一种方法就能够解决的。你需要针对不同的设备和程序展开有针对性的修补,这个工作量非常大。

在一个环境中,长期未修补漏洞的程序并不代表该程序最有可能被利用。如果你能理解这种差异,那么你就完全理解了这个建议。

例如,多年来,Microsoft Windows计算机上长期未修补的程序是Microsoft
Visual C
++运行时库。这是一个与许多第三方程序一起重新分发的程序库。即使它们长期未修补漏洞,它也很少被攻击者或恶意软件利用。为什么呢?因为它们不容易被利用。它们可能位于数十万个不同的文件夹中,并且通常不会被公布。可以这么说,大概95%的已安装软件程序都是如此。它们可能没有打补丁,但它们也不会被经常利用。

相反,其他流行的未修补程序,如Sun/Oracle Java、Adobe
Acrobat和互联网浏览器,这些程序位于一致的位置并且易于利用,因而成为了首选的攻击目标。在服务器上,Web服务器和数据库服务器软件成为首选目标。因此,在终端用户计算机上修补与互联网浏览器有关的软件和在服务器上修补与互联网浏览器有关的广告服务可让你取得事半功倍的效果。

看看你的补丁管理程序。它们是否优先考虑了风险最高的程序?你是否接受风险最高程序的打补丁率在99%或更低的水平?如果是这样,那么是什么原因呢?你知道自己的风险最高的程序是哪些吗?企业中哪些软件程序的漏洞被经常利用?补丁管理程序是否包含硬件、固件和移动设备补丁?为了提供更强大的计算机安全防御,这些问题都需要回答。

更多更有针对性的社交工程培训

你可以实施的另一个最佳防御措施不是软件或设备,而是训练。只要有计算机存在,那么社交工程威胁就会与未修补的软件一样成为大多数重要攻击的主要原因。我接触过的大多数黑客攻击都涉及社交工程元素,特别是那些造成持续破坏攻击的。

利用社交工程开展攻击的黑客以骗取终端用户密码以及骗取黑客或恶意软件对敏感资源的特权访问而闻名。用户经常在不知情的情况下运行木马程序或是向伪造的电子邮件和网站提供了自己的登录凭据。社交工程是如此成功,以至于许多计算机安全防御者拒绝相信更多更好的社交工程培训也是应对举措之一,但是事实确实如此!

研究表明,为员工提供防范意识培训可以帮助他们识破社交工程方法的欺骗。可悲的是,大多数企业很少展开安全培训,通常每年不到30分钟。

我参与了一个案例研究,其中两组员工接受了社交工程培训。第一组强制性观看30分钟的标准视频。第二组接受了两个小时的培训,重点是企业实际面临的最常见的社交工程攻击。然后,这两个小组一年中每两个月接受一次模拟社交工程攻击。

结果如何?测试结果大相径庭。获得更多培训的小组学习效果很好,没有一个员工被虚假的社交工程攻击欺骗超过六个月时间,他们报告的真正的社交工程攻击企图的可能性远远超过另外一组。

虽然我无法指出应该组织员工进行多少次社交工程培训,但是我确信每年的培训时间应当超过30分钟,这可以以每年的小时数来衡量。这些时间不必一次全部完成,培训应定期重复,并根据企业面临的真实社交工程攻击类型进行量身定制。

加强密码管理

在很长的一段时间里,我一直建议关注前两个主要的攻击途径。不过,现在是时候增加第三个了,那就是密码管理。在过去,我说过担心密码安全完全是浪费时间,因为社交工程和未修补的软件具有令人难以置信的统治地位。

如今密码黑客已经从密码猜测和破解升级到了哈希传递攻击,攻击者可以访问密码哈希数据库。在Hernan
Ochoa发布了他的PtH工具包之后,2008年PtH攻击从理论攻击转变成了一个严重且现实的全球性问题。在一两年内,PtH攻击就从无到有发展到了完全占据统治地位。近十年来,在我参加的企业被攻击事件的调查取证中,没有一起不涉及到PtH攻击。

由于PtH属于后漏洞时期攻击技术,攻击者已经拥有了对环境的本地或域管理控制权,因此我们不能为阻止了PtH攻击而感到兴奋。问题不在于PtH攻击。事实上,黑客已经窃取了全面的管理控制权。与后漏洞时期攻击技术相比,我更感兴趣的是找到最初的漏洞攻击的原因。因为如果你找不到黑客第一次入侵成功的原因,那么你将永远无法阻止这些坏人。这就是为什么必须将密码管理添加到企业需要重点关注的列表当中的确切原因。

你的企业密码可能被泄露到了每一个角落。这一事实改变了我原来的态度。如果密码遭泄露,那么所有的黑客都可以看到它们,这使得它们变成了一个初期漏洞问题。唯一安全的做法是创建真正独特的密码,而不是所有的网站都使用一个密码。要做到这一点,就需要将这些密码都记下来或是使用密码管理器程序。

密码管理器也存在一些问题,其中最大的问题是,如果计算机被入侵,那么攻击者可以立即窃取所有站点的密码。随着密码管理器越来越受欢迎,它们只会更加频繁地成为黑客们的目标。

唯一的解决方案是摆脱密码,如今全球正在努力解决这一问题。目前替代密码最可行的方案是多因素身份验证和多变量行为分析,虽然它们也有着自身的问题,但是黑客再也不能简单地通过在数据库中进行查找就能成功发起攻击。

以下是关于如何处理密码的建议:

● 将过去几个月未改动过的所有密码修改为不规律的密码。

● 如果可以,请在最重要的账户上开启MFA。

● 确保每个网站的密码都是唯一的。


主动使用密码数据泄露检查服务,或是使用免费的企业工具,如使用KnowBe4的密码暴露测试立即检查所有的密码。


考虑使用密码管理工具,自动检查是否有任何在用密码与存储在已知密码数据库中的密码相匹配。

如果密码有被泄露的风险,请立即更改密码。如果它们已被泄露,请查清楚它们为什么会被泄露。是完全由你无法控制的因素造成的,还是因为网络钓鱼导致密码被骗取?

让他人无法获得自己的密码是主要防范措施中的第三个。社交工程和未修补的软件目前依然是数据泄露的最主要途径。尽管未来情况仍然如此,但是每个人的密码都应当严格保密,因为即使黑客无法通过社交工程和未修补的软件展开攻击,他们也可以通过密码轻松入侵。

作者:Roger Grimes 自2005年起担任 csoonline.com
安全专栏作家,拥有40多项计算机资格认证,并撰写了10本关于计算机安全的书籍。

编译:陈琳华

原文网址:-management/the-two-most-important-ways-to-defend-against-security-threats.html

责任编辑:周星如

相关文章

Leave a Reply

电子邮件地址不会被公开。 必填项已用*标注