摘要：组织业务的复杂性随着安全而改变，如今很少有像IT这样的行业。IT从业者每年将遭遇5000到7000个新的软件漏洞，这就相当于每天在安全防御系统中面临15次新的数据泄漏。这是组织IT环境每年面临数以千万计的恶意软件威胁的原因。

组织业务的复杂性随着安全而改变，如今很少有像IT这样的行业。IT从业者每年将遭遇5000到7000个新的软件漏洞，这就相当于每天在安全防御系统中面临15次新的数据泄漏。这是组织IT环境每年面临数以千万计的恶意软件威胁的原因。
　　
　　在这种持续不断的威胁中，单一的漏洞就可能会破坏组织的业务，让其遭受声誉和收入的惨重损失，甚至破产倒闭。这并不是说IT团队无法成功反击。当然可以，而且也会实现。
　　
　　以下是每个IT安全专业人员成功应对网络攻击应该知道的事：
　　
　　1.了解对手的动机
　　
　　组织无法在不了解对手以及为什么攻击的情况下成功地反击。每个攻击者都有自己的起源和目标。威胁组织数据安全的黑客有着很多动机。大多数属于以下类别：
　　
　　*金融
　　
　　*民族主义国家支持/网络战
　　
　　*企业间谍活动
　　
　　*黑客主义者
　　
　　*盗取资源
　　
　　*在游戏中作弊
　　
　　如今的攻击者每次攻击的方式和动机都不一样。了解他们的动机是应对攻击的一个关键措施。组织考虑其原因以及其所做的事情。这是确定黑客目标类型的最佳方法，这也可能提供如何击败对手的线索。组织需要在黑客所做的事情中进行更彻底地分析：他们的动机和他们的恶意软件。
　　
　　2.恶意软件的类型
　　
　　恶意软件有三种主要类型：计算机病毒、特洛伊木马和蠕虫。任何恶意软件程序都是这些类型中的一个或多个的混合体。
　　
　　计算机病毒是一种恶意软件程序，它将自身放在其他程序、文件和数字存储中以进行复制。特洛伊木马是一种恶意软件程序，声称是合法的东西，可诱骗人们将其激活。特洛伊木马不会自我复制，它依赖于人类的好奇心来帮助传播。蠕虫是一种自我复制的恶意程序，它使用代码来传播自己。它不需要其他主机程序或文件。
　　
　　了解这些基本类别的恶意软件非常重要，这样当组织查出恶意软件程序时，就可以将最可能出现的恶意软件方案进行解析。这将有助于组织了解在何处查找恶意软件程序的起源，并了解它可能会进一步传播的位置。
　　
　　3.根漏洞造成攻击
　　
　　每年，IT安全专业人员都面临着数千个新的软件漏洞和数百万个独特的恶意软件程序，但只有12种不同的根（Root）漏洞可以进入IT环境。而组织成功阻止根攻击，就能够阻止黑客攻击和恶意软件的攻击。以下是12种类型的根漏洞：
　　
　　*零日攻击
　　
　　*未修补的软件
　　
　　*恶意软件
　　
　　*社交工程学
　　
　　*密码攻击
　　
　　*窃听/MITM(中间人攻击)
　　
　　*数据泄露
　　
　　*配置错误
　　
　　*拒绝服务
　　
　　*内部人士/合伙人/顾问/供应商/第三方
　　
　　*用户错误
　　
　　*物理访问
　　
　　如果组织对任何一个根漏洞不熟悉，则需要进行一些研究。通过阅读相关资料，可以了解更多关于关注根漏洞的重要性。
　　
　　4.密码学和数据保护
　　
　　数字密码学是一种使信息安全以防止未经授权的访问和修改的技术。每个IT安全专业人员都应该学习加密技术的基础知识，其中包括非对称加密、对称加密、散列，以及密钥分发和保护。
　　
　　数据保护需要大量的加密技术。完整的数据保护还要求合法收集和使用数据，保护其隐私免受未经授权的访问，并确保安全备份以防止恶意修改，并确保可用性。
　　
　　5.网络和网络数据包分析
　　
　　组织需要团队中真正优秀的IT安全专业人员提供帮助，因为他们了解数据包级别的网络。它们易于使用网络基础知识，例如协议、端口号、网络地址、OSI模型的层、路由器和交换机之间的区别，并且能够读取和理解网络包的所有不同字段的用途。
　　
　　6.共同的基本防御方法
　　
　　几乎每台计算机都有共同的基本防御方法，这是优秀的IT专业人员考虑和应用的方法。这些是计算机安全的“标准”。他们包括：
　　
　　*补丁管理
　　
　　*终端用户培训
　　
　　*防火墙
　　
　　*防病毒
　　
　　*安全配置
　　
　　*加密/解密
　　
　　*身份验证
　　
　　*入侵检测
　　
　　*记录
　　
　　理解和使用基本的通用IT安全防御方法是每个IT安全专业人员必须的技能，但不要只是简单地了解它们，也要知道他们擅长什么以及没有做什么。如果想知道哪些防御系统有助于减少最多风险，需要了解这些。
　　
　　7.认证基础知识
　　
　　安全专业人员都知道，身份验证不仅仅是输入有效密码或满足双因素ID测试的过程。它将涉及更多事项。身份验证从为任何命名空间提供唯一有效身份标签的过程开始，例如电子邮件地址、用户主体名称或登录名。
　　
　　认证是提供仅由有效身份持有者及其认证数据库/服务所知的一个或多个“秘密”的过程。当有效身份证持有者键入正确的身份验证因素时，这证明通过身份验证的用户是身份的有效所有者。然后，在成功进行身份验证之后，尝试访问受保护资源将由称为授权的安全管理器进行检查。
　　
　　所有登录和访问尝试应记录到日志文件中。要了解未来最有可能的身份验证更改，请查看关于此主题的故事：“什么是连续用户身份验证？”
　　
　　8.移动设备的威胁
　　
　　如今，移动设备比全球的人口还要多，而且大多数人通过移动设备获取大部分信息。因为人类的移动通信能力将不断提高，IT安全专业人员需要认真对待移动设备、移动威胁和移动安全性。最大的移动威胁包括：
　　
　　*移动恶意软件
　　
　　*间谍软件
　　
　　*数据或凭证被盗
　　
　　*图片被盗
　　
　　*勒索软件
　　
　　*网络钓鱼攻击
　　
　　*不安全的无线网络
　　
　　对于许多移动设备的威胁来说，威胁移动设备或计算机没有太大区别。但还是有一些不同之处，并且需要知道是什么。任何不熟悉移动设备细节的IT专业人员应尽快了解。企业首席安全官需要致力于移动设备安全。特别是StacyCollett撰写的一篇关于移动设备威胁的相关文章，值得一读。
　　
　　9.云计算安全
　　
　　流行测试：有哪四个因素使云计算安全性比传统网络更复杂？每位IT专业人员都应该能够轻松通过此测试。
　　
　　其答案是：
　　
　　*缺乏控制
　　
　　*始终在互联网上提供
　　
　　*多租户（共享服务/服务器）
　　
　　*虚拟化/容器化/微服务
　　
　　云计算并不会为组织的计算机和业务带来风险。传统的企业管理员不再控制用于在云中存储敏感数据和服务用户的服务器、服务和基础设施。组织必须相信云计算供应商的安全团队正在履行其职责。云计算基础设施几乎都是多租户架构，通过虚拟化和最近的微服务的容器化和开发，将不同客户的数据分开可能会变得复杂。一些人认为，这样做有助于使安全性更容易实现，但每一项开发通常都会使基础设施更加复杂，其复杂性和安全性通常不是齐头并进的。想深入研究这个话题？建议从这篇关于云计算安全的文章开始。
　　
　　10.事件记录
　　
　　研究表明，最常发生的安全事件一直存在于日志文件中，等待被发现。组织所要做的就是查看事件记录。良好的事件日志系统是具有价值的，优秀的IT专业人员应该知道如何设置以及何时进行咨询。
　　
　　以下是事件记录的基本步骤，每个IT安全专业人员都应该知道：
　　
　　*政策
　　
　　*配置
　　
　　*事件日志收集
　　
　　*规范化
　　
　　*索引
　　
　　*存储
　　
　　*相关性
　　
　　*基线
　　
　　*警报
　　
　　*报告
　　
　　11.事件响应
　　
　　最终，每个IT环境都会遭遇安全防御失败。优秀的IT专业人员需要对此准备就绪，并制定了事件响应计划，该计划应立即付诸实施。良好的事件响应至关重要，因为事件可能对组织带来严重的影响。事件响应的基础包括：
　　
　　*及时有效地回应
　　
　　*限制伤害
　　
　　*进行法医分析
　　
　　*识别威胁
　　
　　*沟通
　　
　　*限制未来的伤害
　　
　　*承认经验教训
　　
　　12．威胁教育和沟通
　　
　　大多数威胁都是众所周知的，并经常发生。从最终用户到高级管理层和董事会的每个利益相关者都需要知道当前针对组织的最大威胁以及为阻止他们所采取的措施。组织面临的一些威胁，这只能通过教育员工来阻止攻击。因此，沟通成为了优秀的IT专业人员必备技能。
　　
　　沟通是一项重要的IT安全专业技能。但是，不能简单地依靠员工自己的个性和魅力，因为沟通是通过各种方法进行的，其中包括：面对面交谈、书面文档、电子邮件、在线学习模块、新闻通讯、测试和模拟网络钓鱼。
　　
　　每个优秀的IT专业人员都需要能够使用口头和书面方法进行清晰有效的沟通。在适当的时候，应该知道如何创建或购买所需的教育和沟通工具。因此，请确保利益相关者为此做好准备。至少，组织的教育计划应涵盖以下项目：
　　
　　*针对组织的最可能、重要的威胁和风险
　　
　　*可接受的使用
　　
　　*安全政策
　　
　　*如何验证和避免什么
　　
　　*数据保护
　　
　　*社交工程意识
　　
　　*如何以及何时报告可疑的安全事件
　　
　　编辑：Harris