你們?yōu)槭裁匆獩]完沒了地發(fā)布補?。柯┒蠢寐誓敲吹?,大家回家洗洗睡吧。
思科公司在最近發(fā)布的年度安全報告中發(fā)現(xiàn)了一種常見但同時又呈現(xiàn)出新興趨勢的混合現(xiàn)象:人們的安全意識仍然非常幼稚,仍有大量未經(jīng)補丁修正的軟件散布于世,而且攻擊者們一直在針對防御措施構(gòu)建新的威脅類型。
這份報告指出,攻擊者們始終在認真學(xué)習(xí)并了解當(dāng)前安全趨勢。舉例來說,面對垃圾郵件過濾器及其它一些能夠令惡意人士快速落網(wǎng)的方案,攻擊者們開始大規(guī)模使用所謂“雪鞋”攻擊:大量匯聚被突破的主機,但其中每一臺主機只發(fā)送數(shù)量很低的垃圾郵件。
除了曾經(jīng)發(fā)布過的研究結(jié)果之外,我們還與思科安全事務(wù)澳大利亞/新西蘭總經(jīng)理Anthony Stitt就此進行過探討,并詢問他有哪些工作成果值得作為各位讀者朋友的參考與借鑒。
Stitt強調(diào)稱,“CSO與安全管理團隊之間在保護級別問題上存在著顯著差異。”
CSO們往往對安全事務(wù)過度自信,Stitt解釋稱,這意味著安全體系的大腦與肢體之間存在著信息不對等問題。
“信息安全管理團隊有機會進一步提升其運營安全工作的透明度,”他表示。
讓我們好奇的是,他為什么能夠肯定這種機會真實存在、而非僅僅是“似有實無”。無論如何,我們真的很難想象一位安全管理部門員工能夠在向老板強調(diào)“我們的安全水平根本沒你想象的那么強”之后還能保住工作——不知道Stitt對此會做何解釋。
“大家可能更贊賞市場營銷工作中的常用表達方式,即我們永遠不可能達到100%的安全高度,”他回應(yīng)稱。“安全的核心在于適合性……當(dāng)前風(fēng)險處于何等級別、威脅環(huán)境下又呈現(xiàn)出怎樣的趨勢。”
“要弄清這個問題,需要進行一次詳盡而且深入的對話,”他指出,并強調(diào)稱需要“立足于企業(yè)運營條款探討安全問題”。
“思科公司正在努力推動與此相關(guān)的探討,希望讓客戶更清晰地了解我們所具備并且銷售的技術(shù)方案。”
“我們也一直倡導(dǎo)將安全理念分為‘前、中、后’三個執(zhí)行階段——即對攻擊活動進行預(yù)估、遏制以及事后整治,”他解釋道。
“安全管理團隊不妨通過這樣的方式與CSO進行溝通,‘我們面臨著安全攻擊威脅,但完全可以通過以下步驟應(yīng)對盯著問題,從而將原本需要數(shù)天、數(shù)周甚至數(shù)個月的處理工作壓縮到數(shù)小時之內(nèi)。’”
“我們從目前曝出的各知名攻擊事件中得到的經(jīng)驗在于,攻擊者已經(jīng)在目前的安全環(huán)境下活動了很長時間。我認為企業(yè)需要正視問題、加強交通,承認內(nèi)部環(huán)境下的安全漏洞,同時將相關(guān)工作視為前、中、后三階段全面覆蓋的完整處理體系。”
他進一步指出,安全管理人員應(yīng)該向CSO建言:“我們需要某某工具、某某數(shù)額資金以及多少位相關(guān)員工,因為……我們希望在12小時內(nèi)而非24或者48小時才解決問題,畢竟這是企業(yè)業(yè)務(wù)正常運轉(zhuǎn)的重要窗口。”
討厭的瀏覽器在某些環(huán)境下,瀏覽器補丁似乎成為最令人頭痛的疑難雜癥,Stitt表示。根據(jù)思科方面的觀察,目前有64%的瀏覽器訪問操作源自經(jīng)過補丁修復(fù)的瀏覽器——但這一比例僅限于Chrome瀏覽器范疇。如果將著眼點放得更遠、例如立足于IE,那么只有10%的瀏覽活動來自經(jīng)過補丁修復(fù)的瀏覽器。
“因此,有90%的IE事務(wù)操作面臨著不同程度的安全風(fēng)險,”他總結(jié)稱。
下面我們再來對補丁作出一番審視:Heartbleed仍然存在,Stitt強調(diào)稱,而且“根據(jù)我們的觀察,大約56%比例的SSL實例仍然未能得到修復(fù)……也就是說56%左右的OpenSSL仍然屬于四年半甚至更陳舊的老版本。”
在大多數(shù)情況下,上述問題的“真兇”是那些已經(jīng)被持有者遺忘、因而從未得到修復(fù)的廢棄網(wǎng)站。
作為評判僵尸站點的有力證據(jù),Stitt表示,“大家只需要看看惡意人士們?nèi)绾卫媚切╆惻f、遭棄且未經(jīng)補丁修復(fù)的WordPress站點就能明白”。
選擇自己的CVE另一項引發(fā)了我們深厚興趣的統(tǒng)計結(jié)果是,在每一年所曝光的大量安全漏洞當(dāng)中,思科認為其中只有1%比例會被攻擊者們所切實利用。
“這項統(tǒng)計結(jié)果既是好事也是壞事,”Stitt指出。“從好的方面講,如果我能夠找哪些CVE(即通用漏洞披露)屬于這被利用的1%,那么補丁修復(fù)工作將變得更為簡便。”
“但如果我做不到這一點,那么恐怕只能選擇‘修復(fù)一切’這種有效但卻毫無效率可言的辦法了。”
在就這一問題作出評估時,Stitt指出,安全管理團隊的最佳戰(zhàn)略在于“尋求安全專家們的幫助,了解目前有哪些安全漏洞已經(jīng)受到利用……同時優(yōu)先修復(fù)那些被廣泛利用的CVE。”
這項統(tǒng)計結(jié)論“……強調(diào)稱絕大多數(shù)安全漏洞——其中包括我們自己產(chǎn)品內(nèi)的漏洞——并不一定會成為惡意人士手中的兇器。它們往往只是一些存在于少部分解決方案當(dāng)中的CVE,根本不足以構(gòu)成真正的遠程安全威脅。”
另外一大不可忽視的因素就是用戶……用戶行為是個長期存在的問題,而且安全意識培訓(xùn)并不足以徹底解決這個老大難問題。
“在我們的內(nèi)部研究工作當(dāng)中,一部分用戶就是會在自己收到的任意內(nèi)容上隨便亂點,”他指出。“單單依靠安全意識培訓(xùn)確實還遠遠不夠。”
“這個問題對于每一家企業(yè)及機構(gòu)都真實存在……如果大家觀察IE與Chrome兩種瀏覽器的補丁安裝水平差異,就會明顯發(fā)現(xiàn)將決定權(quán)從用戶處轉(zhuǎn)移到自己手中、相當(dāng)于給安全工作幫了一個大忙。”
“如果大家能夠?qū)崿F(xiàn)自動化補丁安裝,那么至少能夠在一定程度上顯著降低安全風(fēng)險可能帶來的損失,”Stitt表示。
“培訓(xùn)用戶的同時也要假設(shè)出最糟糕的狀況,即他們還是會點擊那些本不該點擊的鏈接。大家需要對客戶所具備的現(xiàn)有架構(gòu)及業(yè)務(wù)環(huán)境作出調(diào)整,其中包括那些有可能點擊惡意鏈接的用戶自身。”
“這是一個人為性難題,而且糟糕程度仍在不斷深化——我們必須采取上述應(yīng)對措施。”