IT安全專業人員應該知道的12件事

組織業務的複雜性隨著安全而改變，如今很少有像IT這樣的行業。IT從業者每年將遭遇5000到7000個新的軟體漏洞，這就相當於每天在安全防禦系統中面臨15次新的資料洩漏。這是組織IT環境每年面臨數以千萬計的惡意軟體威脅的原因。

在這種持續不斷的威脅中，單一的漏洞就可能會破壞組織的業務，讓其遭受聲譽和收入的慘重損失，甚至破產倒閉。這並不是說IT團隊無法成功反擊。當然可以，而且也會實現。

以下是每個IT安全專業人員成功應對網路攻擊應該知道的12件事：

1.瞭解對手的動機

組織無法在不瞭解對手以及為什麼攻擊的情況下成功地反擊。每個攻擊者都有自己的起源和目標。威脅組織資料安全的駭客有著很多動機。大多數屬於以下類別：
  *金融
  *民族主義國家支援/網路戰
  *企業間諜活動
  *駭客主義者
  *盜取資源
  *在遊戲中作弊

如今的攻擊者每次攻擊的方式和動機都不一樣。瞭解他們的動機是應對攻擊的一個關鍵措施。組織考慮其原因以及其所做的事情。這是確定駭客目標型別的最佳方法，這也可能提供如何擊敗對手的線索。組織需要在駭客所做的事情中進行更徹底地分析：他們的動機和他們的惡意軟體。

2.惡意軟體的型別

惡意軟體有三種主要型別：計算機病毒、特洛伊木馬和蠕蟲。任何惡意軟體程式都是這些型別中的一個或多個的混合體。

計算機病毒是一種惡意軟體程式，它將自身放在其他程式、檔案和數字儲存中以進行復制。特洛伊木馬是一種惡意軟體程式，聲稱是合法的東西，可誘騙人們將其啟用。特洛伊木馬不會自我複製，它依賴於人類的好奇心來幫助傳播。蠕蟲是一種自我複製的惡意程式，它使用程式碼來傳播自己。它不需要其他主機程式或檔案。

瞭解這些基本類別的惡意軟體非常重要，這樣當組織查出惡意軟體程式時，就可以將最可能出現的惡意軟體方案進行解析。這將有助於組織瞭解在何處查詢惡意軟體程式的起源，並瞭解它可能會進一步傳播的位置。

3.根漏洞造成攻擊

每年，IT安全專業人員都面臨著數千個新的軟體漏洞和數百萬個獨特的惡意軟體程式，但只有12種不同的根（Root）漏洞可以進入IT環境。而組織成功阻止根攻擊，就能夠阻止駭客攻擊和惡意軟體的攻擊。以下是12種型別的根漏洞：
  *零日攻擊
  *未修補的軟體
  *惡意軟體
  *社交工程學
  *密碼攻擊
  *竊聽/MITM(中間人攻擊)
  *資料洩露
  *配置錯誤
  *拒絕服務
  *內部人士/合夥人/顧問/供應商/第三方
  *使用者錯誤
  *物理訪問

如果組織對任何一個根漏洞不熟悉，則需要進行一些研究。

4.密碼學和資料保護

數字密碼學是一種使資訊保安以防止未經授權的訪問和修改的技術。每個IT安全專業人員都應該學習加密技術的基礎知識，其中包括非對稱加密、對稱加密、雜湊，以及金鑰分發和保護。

資料保護需要大量的加密技術。完整的資料保護還要求合法收集和使用資料，保護其隱私免受未經授權的訪問，並確保安全備份以防止惡意修改，並確保可用性。

資料保護越來越需要法律的支援。

5.網路和網路資料包分析

組織需要團隊中真正優秀的IT安全專業人員提供幫助，因為他們瞭解資料包級別的網路。它們易於使用網路基礎知識，例如協議、埠號、網路地址、OSI模型的層、路由器和交換機之間的區別，並且能夠讀取和理解網路包的所有不同欄位的用途。

理解網路資料包分析是為了真正瞭解網路和使用它們的計算機。

6. 共同的基本防禦方法

幾乎每臺計算機都有共同的基本防禦方法，這是優秀的IT專業人員考慮和應用的方法。這些是電腦保安的“標準”。他們包括：
  *補丁管理
  *終端使用者培訓
  *防火牆
  *防病毒
  *安全配置
  *加密/解密
  *身份驗證
  *入侵檢測
  *記錄

理解和使用基本的通用IT安全防禦方法是每個IT安全專業人員必須的技能，但不要只是簡單地瞭解它們，也要知道他們擅長什麼以及沒有做什麼。

7.認證基礎知識

安全專業人員都知道，身份驗證不僅僅是輸入有效密碼或滿足雙因素ID測試的過程。它將涉及更多事項。身份驗證從為任何名稱空間提供唯一有效身份標籤的過程開始，例如電子郵件地址、使用者主體名稱或登入名。

認證是提供僅由有效身份持有者及其認證資料庫/服務所知的一個或多個“秘密”的過程。當有效身份證持有者鍵入正確的身份驗證因素時，這證明透過身份驗證的使用者是身份的有效所有者。然後，在成功進行身份驗證之後，嘗試訪問受保護資源將由稱為授權的安全管理器進行檢查。所有登入和訪問嘗試應記錄到日誌檔案中。

8.移動裝置的威脅

如今，移動裝置比全球的人口還要多，而且大多數人透過移動裝置獲取大部分資訊。因為人類的行動通訊能力將不斷提高，IT安全專業人員需要認真對待移動裝置、移動威脅和移動安全性。最大的移動威脅包括：

 *移動惡意軟體
  *間諜軟體
  *資料或憑證被盜
  *圖片被盜
  *勒索軟體
  *網路釣魚攻擊
  *不安全的無線網路

對於許多移動裝置的威脅來說，威脅移動裝置或計算機沒有太大區別。但還是有一些不同之處，並且需要知道是什麼。任何不熟悉移動裝置細節的IT專業人員應儘快瞭解。企業首席安全官需要致力於移動裝置安全。

9.雲端計算安全

流行測試：有哪四個因素使雲端計算安全性比傳統網路更復雜？每位IT專業人員都應該能夠輕鬆透過此測試。

 其答案是：
  *缺乏控制
  *始終在網際網路上提供
  *多租戶（共享服務/伺服器）
  *虛擬化/容器化/微服務

雲端計算並不會為組織的計算機和業務帶來風險。傳統的企業管理員不再控制用於在雲中儲存敏感資料和服務使用者的伺服器、服務和基礎設施。組織必須相信雲端計算供應商的安全團隊正在履行其職責。雲端計算基礎設施幾乎都是多租戶架構，透過虛擬化和最近的微服務的容器化和開發，將不同客戶的資料分開可能會變得複雜。一些人認為，這樣做有助於使安全性更容易實現，但每一項開發通常都會使基礎設施更加複雜，其複雜性和安全性通常不是齊頭並進的。

10.事件記錄

研究表明，最常發生的安全事件一直存在於日誌檔案中，等待被發現。組織所要做的就是檢視事件記錄。良好的事件日誌系統是具有價值的，優秀的IT專業人員應該知道如何設定以及何時進行諮詢。

以下是事件記錄的基本步驟，每個IT安全專業人員都應該知道：
  *政策
  *配置
  *事件日誌收集
  *規範化
  *索引
  *儲存
  *相關性
  *基線
  *警報
  *報告

11.事件響應

最終，每個IT環境都會遭遇安全防禦失敗。優秀的IT專業人員需要對此準備就緒，並制定了事件響應計劃，該計劃應立即付諸實施。良好的事件響應至關重要，因為事件可能對組織帶來嚴重的影響。事件響應的基礎包括：
  *及時有效地回應
  *限制傷害
  *進行法醫分析
  *識別威脅
  *溝通
  *限制未來的傷害
  *承認經驗教訓

12．威脅教育和溝通

大多數威脅都是眾所周知的，並經常發生。從終端使用者到高階管理層和董事會的每個利益相關者都需要知道當前針對組織的最大威脅以及為阻止他們所採取的措施。組織面臨的一些威脅，這隻能透過教育員工來阻止攻擊。因此，溝通成為了優秀的IT專業人員必備技能。

溝通是一項重要的IT安全專業技能。但是，不能簡單地依靠員工自己的個性和魅力，因為溝通是透過各種方法進行的，其中包括：面對面交談、書面文件、電子郵件、線上學習模組、新聞通訊、測試和模擬網路釣魚。

每個優秀的IT專業人員都需要能夠使用口頭和書面方法進行清晰有效的溝通。在適當的時候，應該知道如何建立或購買所需的教育和溝通工具。因此，請確保利益相關者為此做好準備。至少，組織的教育計劃應涵蓋以下專案：

  *針對組織的最可能、重要的威脅和風險
  *可接受的使用
  *安全政策
  *如何驗證和避免什麼
  *資料保護
  *社交工程意識
  *如何以及何時報告可疑的安全事件