防禦系統之正確評估安全威脅(轉)

防禦系統之正確評估安全威脅[@more@]

　　正確評估安全威脅

　　當得知網路正在遭受利用漏洞的蠕蟲的攻擊時，網管員應該怎麼辦？是不必理睬還是立即測試並安裝補丁？無論怎樣，正確做出判斷是及時阻斷攻擊的前提。

　　

　　在企業網面臨危險時，企業使用者需要藉助一種流程來評估新威脅是否值得大動干戈，在不予理睬還是立即行動之間做出選擇。弄清以下問題，可以幫助網管員正確評估威脅的嚴重程度，以採取適當的安全措施。

　　

　　新威脅影響使用的軟體嗎？

　　對於這一問題，最好不要太快做出回答，而是仔細研究後再做定論。企業的安全策略通常禁止使用某些應用（如即時通訊），但這並不意味著企業網中沒有執行這些應用。有些員工總是喜歡自行安裝一些被安全策略所禁止的應用程式，如對等檔案共享、即時訊息應用、媒體播放器和IRC。網管員要善於發現這些應用使用了哪些埠，然後檢查防火牆日誌尋找這些埠的傳輸流。提醒網管員仔細閱讀各類廠商釋出的安全公告。

　　

　　威脅來自內部還是外部？

　　來自企業網內部的攻擊比較容易跟蹤，因為這些攻擊者使用網管員熟悉的IP地址和MAC地址。來自外部的威脅比較難對付，因為整個Internet都是外部攻擊者的藏身之地，很難發現和阻止這些攻擊。當網管員閱讀新的安全漏洞公告時，請留意像“遠端執行”、“遠端root”和“外部”等關鍵字眼。如果攻擊是外部威脅，就需要網管員緊急處理它。

　　

　　利用安全漏洞的困難有多大？

　　一些廣泛報導的安全漏洞利用起來十分複雜，這種威脅與其說是實際的威脅不如說是理論上的威脅，這會減少試圖利用這種漏洞的駭客數量，並會降低攻擊得逞的機會。最具侵略性的攻擊通常是沒有多少知識含量的簡單攻擊。如果攻擊十分簡單，提醒網管員要認真對待。

　　

　　攻擊得逞會造成什麼樣的影響？

　　假設攻擊得逞，攻擊者會做出哪些動作？回答這一問題可以告訴網管員應當採取哪種緊急程度的響應。提醒網管員特別注意從以下幾點加以考慮。

　　

　　何時進行的最後一次備份：如果攻擊得逞，公司一週的工作成果就會遭受損失，如果網管員昨天沒有備份系統，就請認真對待這個威脅。

　　

　　是否做好應對威脅的準備：大多數外部攻擊是已知威脅的變種，不過也會出現新的攻擊方式。如果企業的安全策略沒有包括針對這種威脅的響應措施，提醒網管員認真對待。

　　

　　當前企業網路的安全狀況：與人體的健康狀況一樣，企業網路的健康狀態也在不斷變化。當企業網路到達衰弱期時（伺服器頻繁當機，網路不穩定），攻擊造成的影響可能比網路穩定時要糟糕得多。這也意味著修補會造成企業網路更加不穩定。當網路變得難以捉摸時，提醒網管員謹慎行事。

　　

　　威脅是針對個人還是非個人：攻擊分為針對個人和針對非個人兩種。發動非針對個人的攻擊是為了滿足攻擊者的虛榮，為攻擊者提供額外的頻寬或處理能力，或為攻擊者提供在真正攻擊中隱藏身份的中繼點。針對個人的攻擊是針對個人所從事的工作而發起的。如果早期威脅報告表明攻擊是針對個人所在的領域或相關領域，提醒網管員認真對待這種威脅。

　　

　　採取措施的副作用是否比不採取措施更壞：實現百分之百的安全是不可能的。採取措施的目標是提高企業網路的安全性，使企業業務得以正常進行。保障基本業務要求是推動網管員做出安全響應的動力。對於一些威脅來說，合適的響應就是注意可能發生的情況並保持警惕，這需要網管員培養自己的判斷能力，以做出適當反應。