好看的课外书,官场小说排行榜,有声小说下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

為什么黑客總能夠“魔高一丈”?

自去年史上最大的用戶信息泄露事件(塔吉特)以來(lái)，又接連發(fā)生了多起信息泄露的安全事件。僅從8月到現(xiàn)在，就有UPS快遞、CHS(社區(qū)醫(yī)療系統(tǒng))、火狐開(kāi)源、蘋(píng)果iCloud、家得寶等信息泄露事件相繼爆發(fā)。

我們提供的服務(wù)有：網(wǎng)站制作、成都網(wǎng)站建設(shè)、微信公眾號(hào)開(kāi)發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、光澤ssl等。為上千家企事業(yè)單位解決了網(wǎng)站和推廣的問(wèn)題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的光澤網(wǎng)站制作公司

以至于國(guó)家信息系統(tǒng)安全認(rèn)證協(xié)會(huì)(ISC)的執(zhí)行董事W. Hord Tipton認(rèn)為：“壞人在贏得勝利……在黑客與安全人員之間有著技術(shù)方面的差距，除非這個(gè)差距得到彌補(bǔ)，否則成功的入侵事件會(huì)越來(lái)越多?！?/p>

“進(jìn)攻要比防守容易得多”

[[120009]]

黑客學(xué)院(Hacker Academy)的聯(lián)合創(chuàng)始人兼首席運(yùn)營(yíng)官Aaron Cohen認(rèn)為，現(xiàn)在系統(tǒng)可以攻擊的路徑太多，了解系統(tǒng)要比如何防守系統(tǒng)容易的多，黑客總是能找到系統(tǒng)最脆弱的短板。

FireEye的首席安全戰(zhàn)略官Richard Bejtlich同意這個(gè)觀點(diǎn)，他表示：“在網(wǎng)絡(luò)空間里進(jìn)攻方占著先手，防守方處于被動(dòng)?！钡獴ejtlich認(rèn)為，即使攻擊者獲得未授權(quán)的訪問(wèn)，也不代表著他就“贏”了。因?yàn)樵L問(wèn)的最終目的是盜取數(shù)據(jù)和破壞系統(tǒng)，在這之前還不能稱之為贏，而防守方所要做就是阻止這種情況的發(fā)生。太多的安全人員把精力浪費(fèi)到戰(zhàn)略上并不重要的事務(wù)中，這才是最大的問(wèn)題。

Cohen表示，之所以壞人顯得比好人聰明，是因?yàn)槟切┦〉陌踩婪?，并不是專業(yè)人員在做，而是一些傳統(tǒng)的IT人員，一些被網(wǎng)絡(luò)釣魚(yú)或社會(huì)工程手段欺騙的其他部門(mén)的職員，甚至還有第三方承包商，為攻擊者打開(kāi)了方便之門(mén)。

“人們的愚蠢沒(méi)有補(bǔ)丁可打”

不過(guò)安全專家都一致同意，防護(hù)能力應(yīng)該能夠提高，但要做到這一點(diǎn)，良好的安全培訓(xùn)是必不可少的。

[[120010]]

“從大學(xué)教育的水平統(tǒng)計(jì)，已經(jīng)有一段時(shí)間沒(méi)有培育出足夠的信息安全專業(yè)人員?！辟愰T(mén)鐵克網(wǎng)絡(luò)安全組的高級(jí)經(jīng)理Michael Garvin表示。然而這還只是開(kāi)始，未來(lái)需要的安全人員不只是信息安全專業(yè)的大學(xué)生，還需要具有實(shí)際操作、現(xiàn)實(shí)經(jīng)驗(yàn)的職業(yè)人員。如同飛行員在真正上機(jī)前要在模擬環(huán)境試飛上千小時(shí)，才能通過(guò)不斷的重復(fù)形成安全環(huán)境中的肌肉記憶。

Bejtlich對(duì)此表示贊同：“我不會(huì)聽(tīng)一個(gè)沒(méi)有時(shí)間做企業(yè)安全工作的教授講信息安全課。”Cohen則表示：“中學(xué)和大學(xué)教育在信息安全方面比較落后，從書(shū)本上無(wú)法得到真正的培訓(xùn)”。Cohen建議，網(wǎng)絡(luò)安全培訓(xùn)必需更加注重實(shí)際操作，有點(diǎn)類似于職業(yè)學(xué)校?！?/p>

然而，如果學(xué)院或大學(xué)想要提升信息安全課程的教學(xué)質(zhì)量，則需要專業(yè)人員的合作。Avecto職業(yè)服務(wù)副總裁Andrew Avanessian認(rèn)為：“大學(xué)院校與職業(yè)服務(wù)機(jī)構(gòu)和信息安全圈的關(guān)系需要加強(qiáng)，信息安全業(yè)界要聯(lián)合大學(xué)院校并在技術(shù)與技能方面給予指導(dǎo)和建議，這是不斷變化的信息安全環(huán)境的需要。”

[[120011]]

Avanessian認(rèn)為，除了獲得計(jì)算機(jī)學(xué)位以外，在安全事業(yè)的道路上還有很多途徑。比如攻讀數(shù)學(xué)，或工程和管理。Bejtlich則認(rèn)為，除了學(xué)術(shù)培訓(xùn)和技術(shù)能力，還需要戰(zhàn)略性的思考，把運(yùn)營(yíng)、政策和戰(zhàn)略結(jié)合起來(lái)。而后者正是大多數(shù)技術(shù)人員所缺乏的。

“戰(zhàn)略思想比技能缺口更加重要，太多的安全人員把精力浪費(fèi)到戰(zhàn)略上并不重要的事務(wù)中，這才是最大的問(wèn)題?！?/p>

Kellermann也對(duì)此表示贊同。他表示俄羅斯黑客的聰明之處就在于“他們戰(zhàn)略性的思考所采取的每一步行動(dòng)，如同下國(guó)際象棋，無(wú)論是進(jìn)攻方還是防守方，都會(huì)考慮8步到12步之多?！?/p>

所有的安全專家都同意，僅僅給予安全工作人員更好的培訓(xùn)是不夠的，企業(yè)中的所有員工都需要加強(qiáng)安全技術(shù)和安全意識(shí)的培訓(xùn)。

[[120012]]

Avanessian表示：“防范攻擊的主要障礙之一就是難于操作和管理的安全戰(zhàn)略，這些戰(zhàn)略依賴于被動(dòng)的檢測(cè)。因此，各機(jī)構(gòu)需要簡(jiǎn)化戰(zhàn)略方法，提高主動(dòng)性。經(jīng)常碰到一些IT部門(mén)，他們的關(guān)注點(diǎn)不在安全，而在實(shí)施最新的技術(shù)或更廣泛的解決方案上。這就迫使他們不斷的改變他們的安全部署，而安全從來(lái)就不應(yīng)該是后知后覺(jué)的?！?/p>

Cohen表示，終端用戶也是重要的安全因素，要給予終端用戶更多實(shí)際的技術(shù)培訓(xùn)，包括模擬攻擊，而不僅僅是理論上的學(xué)習(xí)。

“這是一個(gè)即容易又節(jié)省成本的方法，幫助員工提高安全防范水平，杜絕系統(tǒng)中最脆弱的短板”Cohen如是說(shuō)。

原文地址：http://www.aqniu.com/neo-points/4436.html

網(wǎng)頁(yè)標(biāo)題：為什么黑客總能夠“魔高一丈”?
文章地址：http://m.fisionsoft.com.cn/article/ccesegj.html

新聞中心

其他資訊