再老练的专业人员也很难跟上IT安全领域的快速变化。从业人员每年平均面临5000到7000个新的软件漏洞。去年这个数字是令人吃惊的16555。这意味着企业的防御系统每天会出现13~45处新漏洞，而且是日复一日，年复一年。更重要的是，每年还有数千万个独特的恶意软件程序威胁着企业的IT环境，而犯罪分子还在不停地干着坏事。

在这不断涌现的威胁中，一次小小的失误就会让你损失惨重，企业曝光在媒体焦点下，也会导致收入下降，员工被解雇。

这并不是说你没有成功反击的机会。当然有，而且一定会有。

本文介绍了每一位计算机安全专业人士都应该知道的12个要点，以赢得这场安全战斗。

1

对手的动机

如果你不了解犯罪分子，不知道他们为什么盯上了你，你就不可能打赢他们。所有攻击者都有自己的动机和目标，这促使着他们去干坏事，以及怎样干。

今天，那些给企业带来威胁的黑客有着强烈的动机。大多数都属于以下类别之一：

● 金融

● 民族国家支持的网络战

● 商业间谍活动

● 黑客分子

● 资源盗窃

● 多人游戏作弊

即使是当今的犯罪分子，每次攻击都是不一样的。理解他们的动机是解决他们的关键所在。给自己的所作所为问个"为什么"。这是确定网络上被攻击目标类型的最佳方法。这还能提供怎样击败犯罪分子的线索。

2

恶意软件类型

有三类主要的恶意软件：计算机病毒、特洛伊木马和蠕虫。任何恶意软件程序都是这三类中的一个或者多个的组合。

计算机病毒是一种恶意软件程序，它把自己驻留在其他程序、文件和数字存储中进行复制。特洛伊木马是一种恶意软件程序，声称自己是合法的，欺骗人们去运行它。特洛伊木马不会自我复制；它借助于人类的好奇心来传播。蠕虫是一种自我复制的程序，使用代码来传播自己。它不需要其他主机程序或者文件。

了解这些恶意软件的基本类别是很重要的，这样，当你发现了一个恶意软件程序时，就可以分析出在哪些场景下，它最有可能进入你的系统。这将帮助你知道在哪里查找恶意软件的来源，并了解它能进一步传播到何处。

3

基本漏洞

每年IT安全专业人员都会面临数千个新的软件漏洞和数百万个独特的恶意软件程序，然而，某人的环境之所以被入侵还在于12种不同的基本漏洞。停止基本漏洞攻击，将能够阻止黑客和恶意软件。下面是10种类型的基本漏洞：

● 编程漏洞

● 社会工程攻击

● 身份验证攻击

● 人为错误

● 配置错误

● 窃听/中间人（MITM）

● 数据/网络数据流畸形

● 内部攻击

● 第三方依赖问题

● 物理攻击

这一切都不应该陌生，但并不意味着很容易防御。

4

加密和数据保护

数字密码学是一门保护信息不被未经授权访问和修改的艺术。每名IT安全专业人员都应该学习密码学的基础知识，包括不对称加密、对称加密、哈希以及密钥分发和保护等。

数据保护需要大量的密码学知识。全面的数据保护还要求合法地收集并使用数据，保护其隐私不被未经授权的访问，并安全地备份数据，以防止恶意修改，保证数据的可用性。法律对数据保护的要求越来越高。（极客们有一个很好的密码基础教程。）

阅读这本书的时候，你应该了解一些量子计算机的知识，知道其破解现代公共密钥加密的能力。在未来的10年甚至更短的时间里，你有可能被迫把自己使用的所有公钥密码（例如，RSA、Diffie-Hellman等）转移到称为后量子密码的密码技术中。包括美国国家标准与技术研究所在内，全世界都在为此举做好准备。不要对即将到来的巨变漠不关心。

5

网络和网络数据包分析

只有那些从数据包层面上理解网络的员工才是部门中真正优秀的IT安全专业人员。他们熟悉网络基础知识，例如，协议、端口号、网络地址、OSI模型的分层、路由器和交换机之间的差异，并且能够读取网络数据包的所有不同字段，知道这些字段是干什么用的。

理解了网络数据包分析才真正的理解网络以及网络上的计算机。Geeksforgeeks有一个关于网络基础的快速教程，Vice有一个关于网络数据包分析的快速入门课程。

6

基本的共同防御

几乎每台计算机都有共同的基本防御措施，这是IT专业人士考虑并加以应用的好方法。这些是计算机安全的"标准"。它们包括：

● 补丁管理

● 最终用户培训

● 防火墙

● 防病毒

● 安全配置

● 加密/密码

● 身份验证

● 入侵检测

● 日志记录

理解和使用基本的通用IT安全防御措施对于每个IT安全专业人员来说都是必须的。但不要停留在简单地理解这些措施。还要知道这些措施擅长阻止什么，不擅长干什么。

7

身份验证基础

最优秀的安全专业人员知道身份验证不仅仅是输入有效密码或者满足双重身份测试的过程。涉及的远不止这些。身份验证这一过程首先是为任何命名空间（例如电子邮件地址、用户主体名称和登录名）提供唯一、有效的身份标识。

身份验证是提供一个或者多个仅由有效身份持有人及其处理器数据库/服务所知道的"秘密"的过程。当有效身份持有人输入正确的身份验证信息时，这就证明了经过身份验证的用户是该身份的有效所有者。经过了成功的身份验证之后，用户试图访问受保护资源时，被称为授权的安全管理器进程会对其进行检查。所有登录和访问尝试都应被记录在日志文件中。

与其他安全措施一样，身份验证也在不断发展。一种最新的概念，也是我认为最有可能被接受的概念之一，是连续用户身份验证，在这种验证中，都会按照既定的模式不断地重新评估登录用户所做的每一件事。

8

移动威胁

现在移动设备比地球上的人还多，很多人通过移动设备获取他们的大部分信息。由于人类的移动能力只会增加，因此IT安全专业人员应认真对待移动设备、移动威胁和移动安全。最主要的移动威胁包括：

● 移动领域的恶意软件

● 隐私侵犯/盗窃

● 勒索软件

● 网络钓鱼攻击

● 间谍软件

● 数据或者凭据盗窃

● 图片盗窃

● 不安全的无线

移动威胁和计算机威胁通常没有太大的区别，但也有一些不同。一名优秀的IT专业人员应该掌握以上这些。

9

云安全

流行问答：哪四种因素使得云安全比传统网络更复杂？

每名IT专业人员都应该能够轻松的通过这一测试。

答案是：

● 缺乏控制

●始终挂在网上

● 多租户（共享服务/服务器）

● 虚拟化/容器化/微服务

开玩笑的是，云实际上意味着"其他人的计算机"以及由此带来的所有风险。传统的企业管理员不再控制用于存储敏感数据和服务于用户的服务器、服务和基础设施。你不得不相信云供应商的安全部门能够尽职尽责。云基础设施几乎总是多租户架构，虚拟化以及最近的容器化和微服务开发使得不同客户的数据分离变得更加复杂。一些人宣称这是一种更易于实施安全措施的方法，而每一次发展通常都会使基础设施变得更加复杂。而且，复杂性和安全性一般不会两全其美。

10

事件日志记录

年复一年，研究表明，最容易被漏掉的安全事件其实一直都在日志文件中，就在那里等着被发现，你所要做的就是仔细查看。一个好的事件日志系统是物超所值的，一名优秀的IT专业人员知道怎样设置以及何时查看它。

以下是事件日志记录的基本步骤，每名IT安全专业人员都应该知道：

● 政策

●配置

● 事件日志收集

● 归一化

● 索引

● 存储

● 相关

● 基线

● 报警

● 报告

11

事件响应

最终，每一IT环境都会遭遇防御失败。总之，黑客或者他们创新的恶意软件最后还是攻破了防御。自然的，灾难随之而来。优秀的IT专业人员对此准备好了事件响应计划，会立即付诸行动。良好的事件响应至关重要。这可能是一件毁了你一天的事情，也可能是一件让你的企业名誉扫地的事情。基本的事件响应包括：

● 及时有效地作出反应

●限制损害

● 进行取证分析

● 识别威胁

● 通信

● 限制未来的损害

● 承认经验教训

12

威胁教育与沟通

大部分威胁都是众所周知的，并且经常出现。从最终用户到高级管理层和董事会的每一位相关者都需要了解当前对自己公司的最大威胁，以及怎样阻止这些威胁。你面临的一些威胁，比如社会工程攻击，只能通过加强对公司员工的教育来阻止。因此，沟通能力往往是优秀的IT专业人员不同于平庸的IT专业人员的关键因素。

无论部署什么技术控制措施，每年总会有破例。所以，一定要让公司的相关者都做好准备。至少，你的教育计划应包括以下项目：

● 对企业最有可能、最重要的威胁和风险

●可接受的应用

● 安全策略

● 怎样进行身份验证，应避免什么

● 数据保护

● 了解社会工程攻击

● 怎样以及何时报告可疑的安全事件

作者：Roger Grimes自2005年以来一直担任安全专栏作家，持有40多个计算机证书，并撰写了10本计算机安全方面的书籍。

编译：Charles

原文网址：https://www.csoonline.com/article/3429823/12-things-every-computer-security-pro-should-know.html

责任编辑：周星如