正确评估安全威胁
当得知网络正在遭受利用漏洞的蠕虫的攻击时,网管员应该怎么办?是不必理睬还是立即测试并安装补丁?无论怎样,正确做出判断是及时阻断攻击的前提。
在企业网面临危险时,企业用户需要借助一种流程来评估新威胁是否值得大动干戈,在不予理睬还是立即行动之间做出选择。弄清以下问题,可以帮助网管员正确评估威胁的严重程度,以采取适当的安全措施。
新威胁影响使用的软件吗?
对于这一问题,最好不要太快做出回答,而是仔细研究后再做定论。企业的安全策略通常禁止使用某些应用(如即时通讯),但这并不意味着企业网中没有运行这些应用。有些员工总是喜欢自行安装一些被安全策略所禁止的应用程序,如对等文件共享、即时消息应用、媒体播放器和IRC。网管员要善于发现这些应用使用了哪些端口,然后检查防火墙日志寻找这些端口的传输流。提醒网管员仔细阅读各类厂商发布的安全公告。
威胁来自内部还是外部?
来自企业网内部的攻击比较容易跟踪,因为这些攻击者使用网管员熟悉的IP地址和MAC地址。来自外部的威胁比较难对付,因为整个Internet都是外部攻击者的藏身之地,很难发现和阻止这些攻击。当网管员阅读新的安全漏洞公告时,请留意像“远程执行”、“远程root”和“外部”等关键字眼。如果攻击是外部威胁,就需要网管员紧急处理它。
利用安全漏洞的困难有多大?
一些广泛报道的安全漏洞利用起来十分复杂,这种威胁与其说是实际的威胁不如说是理论上的威胁,这会减少试图利用这种漏洞的黑客数量,并会降低攻击得逞的机会。最具侵略性的攻击通常是没有多少知识含量的简单攻击。如果攻击十分简单,提醒网管员要认真对待。
攻击得逞会造成什么样的影响?
假设攻击得逞,攻击者会做出哪些动作?回答这一问题可以告诉网管员应当采取哪种紧急程度的响应。提醒网管员特别注意从以下几点加以考虑。
何时进行的最后一次备份:如果攻击得逞,公司一周的工作成果就会遭受损失,如果网管员昨天没有备份系统,就请认真对待这个威胁。
是否做好应对威胁的准备:大多数外部攻击是已知威胁的变种,不过也会出现新的攻击方式。如果企业的安全策略没有包括针对这种威胁的响应措施,提醒网管员认真对待。
当前企业网络的安全状况:与人体的健康状况一样,企业网络的健康状态也在不断变化。当企业网络到达衰弱期时(服务器频繁死机,网络不稳定),攻击造成的影响可能比网络稳定时要糟糕得多。这也意味着修补会造成企业网络更加不稳定。当网络变得难以捉摸时,提醒网管员谨慎行事。
威胁是针对个人还是非个人:攻击分为针对个人和针对非个人两种。发动非针对个人的攻击是为了满足攻击者的虚荣,为攻击者提供额外的带宽或处理能力,或为攻击者提供在真正攻击中隐藏身份的中继点。针对个人的攻击是针对个人所从事的工作而发起的。如果早期威胁报告表明攻击是针对个人所在的领域或相关领域,提醒网管员认真对待这种威胁。
采取措施的副作用是否比不采取措施更坏:实现百分之百的安全是不可能的。采取措施的目标是提高企业网络的安全性,使企业业务得以正常进行。保障基本业务要求是推动网管员做出安全响应的动力。对于一些威胁来说,合适的响应就是注意可能发生的情况并保持警惕,这需要网管员培养自己的判断能力,以做出适当反应。