瞭解IT安全原則最薄弱的一環

任何有效的企業IT安全計劃都必須基於某些核心原則。這些安全原則已經經過數十年的嘗試和測試。它們包括深度防禦，最低特權訪問，角色分離和安全故障。IT安全最重要的基本原則之一就是確保最薄弱的環節。

組織的IT安全基礎架構不是一個整體。它由多個部分組成，這些部分必須協同工作，以最大程度地降低組織防禦遭到破壞的可能性。這些不同的部分具有不同的複雜程度以及不同的漏洞級別。

最薄弱環節的吸引力

為了更好地理解最薄弱環節原理，讓我們來看一個假設的場景。想象一下，你的任務是將一件珍貴的藝術收藏品從一個破舊的偏遠倉庫轉移到城市中心一個高度安全的銀行保險庫。你簽了一個裝甲運輸服務來運輸物品。

現在，假設有一個罪犯剛剛抓住這一迫在眉睫的舉動，並打算竊取藝術品。他們戰略的核心將是確定最佳的攻擊地點和時間。在這種情況下，他們可能不願冒險抵抗銀行保險庫或裝甲運輸服務。遠端倉庫可能是他們的最佳選擇。這是最薄弱的環節。

網路犯罪分子的資源有限

駭客沒有無限的資源和時間可支配。他們希望將精力用在他們工作中最容易獲得最快收益的領域。攻擊者會直奔阻力最小的路徑。他們會攻擊看起來最弱的安全控制，而不是看起來最強的安全控制。

無論是一個躲在地下室的少年駭客，還是一個由國家支援的複雜駭客組織，其原理都是一樣的。他們將尋找最薄弱的環節，並試圖從這一點突破組織的防禦。當有更容易進入的方法時，沒有人會故意花費時間和金錢試圖滲透IT基礎設施中戒備森嚴的部分。只有當他們無法突破最薄弱的環節時，他們才會去探索更具挑戰性的選擇。

最弱的環節不一定能獲取最大收益

即使這樣的連結比您組織的安全基礎結構中的高度安全元素所獲得的回報更少，也會出現最弱連結的優先順序。想一想。銀行持有的現金比當地的便利店多得多。搶劫銀行肯定會在財務上更有利可圖。但是，與便利店的保護措施較弱相比，普通搶劫者很難滲透到銀行的先進安全技術上。便利店是更容易受到攻擊併成功逃脫的目標。

人並不總是最薄弱的環節

從安全形度來看，終端使用者，技術支援人員或基礎架構管理員等通常被認為是最薄弱的環節，這個論點是有道理的。然而，人類由於決策的不可預測性和易受社會工程的影響而變得脆弱，最薄弱的環節也可能是安全功能或特徵。

找出最薄弱的環節並降低風險

那麼，如何識別IT安全設計中最薄弱的環節?您需要進行全面的風險分析。由此，您應該看到哪些風險是最容易利用的。但是僅僅找出最薄弱的環節是不夠的。有了大量的風險資料，您可以按嚴重程度對風險進行排序，並首先專注於減輕最嚴重的風險，而不是那些最容易處理的風險。

安全資源應該根據風險的嚴重程度來分配。考慮到資源不是無限的，解決所有風險是不可能的。必須有一個終點，這是透過衡量可接受風險的引數來確定的。什麼樣的風險是可接受的，因人而異。

解決最薄弱的環節是根本

如果您打算為您的IT基礎設施進行安全設計，那麼識別和保護最薄弱的環節是至關重要的。解決最薄弱的環節意味著你可以避免一種類似於設定大門並期待攻擊者直接跑向它的策略，而大門周圍並沒有限制他們的訪問。

透過關注最薄弱的環節，您可以將時間和精力花費在最重要的風險上。只有在確定了自己的弱點之後，才能為您的系統提供一定的舒適度，使其免受攻擊。