面向初学者的网络安全（一）

原文：annas-archive.org/md5/8570b4b9b47974c7302ce023e1eb9bc8 译者：飞龙 协议：CC BY-NC-SA 4.0

序言

这是本书的第二版。 虽然网络安全问题不断增加，但关于网络安全的入门书籍仍然非常少。 原因很简单：

• 大多数网络安全专家拿得太多了，以至于没有时间写书。
• 我们中的大多数人确实很忙。
• 很少有人能够对自己所做的事情了解得足够透彻，以至于敢于写一本关于这个主题的书来冒险自己的声誉。

我们还必须保持更新。 这个主题领域正在迅速发展。

当我准备第二版时，全球仍然没有就如何书写“网络安全”一词达成共识。它是一个词还是两个词？在美国，国土安全部（DHS）、国家标准与技术研究所（NIST）和 ISACA（信息安全审计与控制协会）使用单个词版本。 这本书也是如此。在英国，他们仍然将该术语分成两个词：网络安全。

每年参加多次信息安全和网络安全会议，通常作为发言人，我开始意识到与成百上千的专业人士讨论时，公共领域中提供的简明可靠信息是多么少。 由于信息和网络安全专业人员不断努力跟上最新的威胁，以及如何有效地衡量、管理和监视它们，他们创建的书籍和其他资源往往面向其他信息技术（IT）专业人员。

但是现在科技和数字设备已经成为任何组织的核心部分，并且对大多数人在个人层面至关重要，我意识到几乎每个人都希望更好地了解这个主题。 由于网络安全现在影响着每个人，我看到了对非技术人员易于理解的基础信息的需求。

本书探讨了网络安全学科以及它在所有类型的企业中应该如何运作。 如果您只是寻求有关如何保护个人网络安全的指导-请尝试我的其他出版物“如何在线保护资料安全”。

我的目标是创造比其他可用文本更少技术性和更具信息性的东西，为您提供如何需要网络安全，其含义是什么以及如何有效控制和减轻相关问题的方法提供简单的洞见。

因此，本书旨在成为任何想要迅速全面了解该主题领域的人的一站式必读文本。 您不需要任何先前的技术知识来理解文本。 每当使用技术术语时，您通常会在其第一次使用下面找到一个简单的非技术英语定义（否则-您总是可以在书的末尾查找该术语）。

尽管我在安全和合规方面工作了十多年，但直到 2009 年我才开始需要专门审查和审核网络安全。我很幸运能够获得全球最大公司之一的赞助，以审查他们的内部控制和那些为他们最重要的供应商所需的控制。

我早期的一个任务之一是准备一份关于亚马逊网络服务、Salesforce 和其他基于互联网的平台的能力和限制的白皮书。赞助公司和主题的重要性使我能够接触到一些世界上最好的网络安全人才，并迅速而早期地了解网络风险以及如何减轻它们。

大约在同一时间，一家财富 50 强公司委托我编制了他们的第一个版本的一套同步的治理控制，以满足他们所有主要的全球安全、隐私和合规要求。这需要审查、组织、解构和重构超过 9,000 个控制。最终的库大小不到原始库的 5%（不到 400 个控制），但仍然满足了每一个相关的要求。

这种对控制的和谐性的练习，再加上我对操作环境的频繁实际审查，使我对已知的网络安全风险及其如何减轻或消除这些风险有了深入的了解。

快进到现在，任何组织现在都需要一个特定的网络安全政策文件。几年前没有人有这样的文件。

制定网络安全政策文档的目的是证明已充分考虑了与技术相关的所有适当的风险和控制因素。2012 年，令我惊讶的是，当我回顾 2009 年的治理控制时，几乎每个组成部分都需要一个网络安全政策所需的。几乎唯一缺少的细节是需要整合一个总体文档，以证明所有这些组成部分都存在。到了 2017 年，一个三年前的治理政策将会严重过时。不断演变的威胁现在经常导致新的和额外的安全要求。

尽管许多保护技术的主要方法保持不变，但攻击的复杂性正在推动安全控制的大幅扩展，以保护、检测、阻止、调查和恢复未经授权的访问尝试。

我们仍处于网络安全的黎明时期。仍然有许多防御不力的组织（和个人）继续受到更有经验的对手的威胁。现在技术发展的速度会使这种情况变得更糟而不是更好。如果无法安全地利用新技术，那么传统公司很容易落后。相反，更多你之前从未听说过的公司开始进入《财富》500 强、富时 100 和其他榜单，因为他们精通技术，并专注于安全地、更快速地利用和实施新技术。

全球范围内也有大量的网络安全工作机会 - 2016 年的专家估计大约有一百万个这样的工作岗位仍然空缺。几乎所有需要网络安全专业人员的组织都在努力寻找合适的候选人。事实上，直到 2013 年左右，很少有人专门从事这个领域的工作，合格专业人员的数量还没有跟上需求。

当组织在招聘岗位时，在必填部分写上‘必须至少有 10 年的网络安全经验’，这让网络安全人员感到好笑。这种经验水平很少存在，即使存在也几乎无关紧要。我们也不会申请这样的工作，除非我们‘喜欢受罪’（一种英国的讽刺表达，暗示这个人喜欢给自己带来痛苦和折磨）。谁愿意接受为一个连现代网络安全行业基本理解都缺乏的企业工作的挑战呢？没有人想成为一个替罪羊。

在接下来的几年里，我们将经常（目前几乎每天）看到一些真正引人注目的故事登上主流媒体，报道下一个因网络安全防御漏洞而受到影响的组织。自我写下这本书的第一版以来，这些数据泄露事件包括从美国人事管理办公室窃取的数百万个个人详细信息，以及从雅虎窃取的十亿个帐户详细信息。那么这是怎么发生的呢？

这种情况发生是因为，就像任何新事物一样，我们在使用数字设备方面还不够成熟和稳定。如果你想象一下汽车早期的情况，当时关于方向盘放在哪里都没有明确的想法，所以在许多车型上最初是放在车辆中心的。当时没有安全带、滚笼或气囊。人们只是惊讶于汽车在没有绑在前面的马的情况下移动，所以他们开始称之为‘无马马车’。

当前的数字时代很像汽车的早期时代。现在的技术世界就像是野蛮西部。一场新的淘金热。公司往往在不知不觉中把一切都押在他们连接到数字生态系统的每项新技术上。

大多数人在采用新技术方面所应用的速度和预算往往是一种以风险为基础的赌博。这本书将帮助你更好地了解这些风险以及如何控制它们。迅速使用正确的新技术，你可以获得巨大的好处。在使用技术及其安全性之前花费时间和金钱进行验证，你将更安全，但你可能会落后于竞争对手。

所以，如果你真的想要了解网络安全学科，包括其风险以及如何控制它们，请继续阅读。

引言

“如果你不关心网络安全，说明你对它了解不够。”

我以为那些话只是又一个基于恐惧的销售尝试——直到我沉浸在这个主题中，看到对数字设备的盲目信任正在超越大多数人和组织的安全技能。

低成本和高收益的诱惑鼓励我们所有人非常快速地采用新技术。我们了解风险吗？我们想了解风险吗？我们认识到可以真正告诉我们风险是什么的人吗？

你曾经下载过免费软件应用程序吗？你曾经考虑过这个应用程序并不是免费的——代价是让你的手机、平板电脑或计算机上的信息暴露？

如果你想用简单易懂的英语了解风险，而不受技术细节的干扰，那么这本书就适合你。它将为你提供一个广泛的视角，告诉我们我们现在在哪里，我们是如何到达这里的，我们将走向何方，以及如何在个人和组织层面上采取有效措施来确保你更好地受到保护。

这本书旨在构建一个完整的、综合的故事情节。如果你选择从头到尾阅读，你将从中获得最大的收益。如果你想采取更零散的方法，每一章也被设计为独立的，可以在不需要之前章节知识的情况下阅读。

这本书的背后还有一本简短的网络安全英语词典，让你可以查找网络安全中使用的关键技术术语，并将其翻译成日常英语。

网络安全这一话题对我们所有人都非常相关，不了解它会带来个人和专业风险。这本书为所有想了解这一主题的人提供了快速访问和理解。

人们倾向于喜欢简洁、基于事实的内容，所以这本书的建设是为了提供这种简练的格式。

无论你是商业人士、政客、普通人（也许是失去数据的人）还是想更新知识的现有安全专家，这本书都会令你眼前一亮，提高你对这一令人着迷和危险的主题领域的认识。

一、.网络安全及其起源

我们正在经历人类历史上最重要的变革时期 - 数字革命。

如果你能够回到 30 年前的时光，你会发现在那个世界里，如果所有的计算机和电子设备都被关闭，每个人和每件事物，包括我们依赖的产品和服务，都能够在没有灾难的情况下运作和恢复。

这不再是真的。

如果今天有人能够关闭每一台数字和电子设备，飞机会从天空坠落，汽车会停止运行，超市会关闭，大公司将不知道谁在为他们工作，大多数银行可能不知道谁欠谁什么。

甚至有一种现象可以关闭所有这些设备。它被称为电磁脉冲，或 EMP。

任何暴露于 EMP 的电子设备最终都会导致每个组件被摧毁。这些脉冲极不可能自然发生，但可以人为制造，实际上构成了一些人造武器的工作部分。然而，除了军方人员外，以前没有人太担心 EMP 的潜在风险。

现在他们担心了。

大多数主要组织现在定期将他们最关键的数据副本放置在一个称为法拉第笼的 EMP 脉冲防护环境中，或者将他们的关键信息副本放置在遥远的地点。

你可能认为，无论在多大程度上，你已经摆脱了对数字时代的过度依赖，但几乎没有任何一项你使用的服务或产品不完全依赖于技术。

医院、交通工具、商店、你家里的电力和水，以及几乎每一种日常生活中的产品和服务，如果它们现在依赖的技术停止运作，都将停止工作。

你几乎可以肯定地依赖于网络世界，以一种经常甚至是持续地将你的生活置于技术手中的方式。

我们正在经历的变化速度也没有放缓；实际上正在加速。

人类的活动和行为在过去的 10 年里发生的变化比人类历史上的任何 10 年期间都要大。这一观点的证据之一来自我参加的几次演讲中不同演讲者使用的一个例子：

有两张照片涉及两位教皇的选举。

在 2005 年拍摄的第一张照片中，一大群人站在梵蒂冈城观看，当白烟出现时，宣布选举新教皇本笃。

仅仅八年后，从完全相同的位置拍摄的一张照片与 2013 年 3 月 13 日选举弗朗西斯教皇有关。人群中的人数大致相同，但这一次可以看到的只是一片被点亮的屏幕海，显示着几乎每个人手中的智能手机和平板电脑 - 望远镜升起，手高举着捕捉图像。

如果你环顾四周，不论是在任何咖啡店、火车站或机场，你都会注意到很多人正在使用某种设备；智能手机、平板电脑和耳机现在随处可见。然而，第一款 iPhone（可以说是第一款大规模流行的智能设备）直到 2007 年才发布。

在英国，2014 年的一份 Ofcom 报告发现，英国成年人平均花在使用媒体或设备上的时间比他们睡觉的时间还要多：

• 每天有8 hours 41 minutes使用某种类型的数字设备。
• 每天有8 hours 21 minutes睡眠。

简单的事实是，如果你有效地使用数字设备，它们会让你变得更强大。它们可以让你更富有，省钱，提高生活质量，更好地娱乐你，改善你的社交联系。

但是这些技术是否百分之百安全、可靠呢？这些通常不是我们大多数人在遇到问题之前考虑的问题。

正如在介绍中提到的，低成本、高收益和更直接的乐趣的诱惑使我们大多数人非常迅速地采用了新技术。但是，我们了解风险吗？我们想了解风险吗？我们认识到真正能告诉我们风险究竟是什么的人吗？

每当你下载一个“免费”的应用程序时，可以肯定会付出代价。即使是最普通的游戏或手电筒应用程序几乎肯定也会收集关于你的信息，包括你的位置和设备 ID，还有可能是你的电话号码、电话联系人等等。一些主流应用程序实际上有权限监视你的电话和电子邮件（尽管他们是否使用这些权限通常仍然不知道，仍然是一个模糊的辩论领域）。

也许你感到很自满，从未下载过这样的应用？那么，如果你有智能手机、平板电脑或笔记本电脑，几乎可以肯定，设备制造商或服务提供商已经加载了一些应用程序，并在你与他们的协议中加入了这些权限。

考虑 Windows 10 操作系统。最初版本附带了软件和默认权限，用于监视你的网络行为，根据你已知的偏好提供广告，甚至使用你自己的机器和网络带宽来帮助分发 Microsoft 更新到互联网上的其他机器。

我们生活在一个信息即权力的时代。

组织收集信息以建立他们的权力。他们想要了解如何改进他们的产品和服务。他们收集客户信息以更好地定位他们的客户并提高销售额。他们收集有关竞争对手的数据以了解威胁和机遇。他们还收集信息出售给其他公司。

但是当一个未经授权的个人或组织能够获取到他人的最敏感和最有价值的信息时会发生什么呢？

你还记得当一个孩子不得不忍受一些刻薄的孩子或侵入性父母窥探他或她的日记时所受的羞辱吗？ 嗯，让我们将这种情况放大到公司规模。 我们在 2016 年 4 月的莫萨克·方塞卡（一家巴拿马律师事务所，提供包括帮助富人进行有效的离岸投资在内的服务）和 2014 年 12 月的索尼，当他们的私人公司电子邮件被泄露时看到了后果。 我们也将在本书后面将索尼的泄露作为一个案例研究。

人们很容易认为网络安全只是关于人们试图入侵和窃取他人信息的。 确实，大多数网络安全工作都集中在保护数字设备及其信息免受持续发生的数字攻击的冲击上。 网络安全当然包括这些措施，但也是一个更广泛和更重要的学科，部分原因是试图未经授权访问的人员往往有除窃取信息或金钱之外的动机。

例如，在 2015 年 1 月，美国军方中央司令部（CENTCOM）的社交媒体账户被声称效忠伊斯兰国的攻击者访问。 他们的目的不是窃取数据，而是控制通信渠道并操纵它。 动机不是金钱，而是为了为他们的事业创建资料并在敌人中造成动荡。

这是一个精确定义网络安全的好地方。

注意：对于任何以粗斜体文字出现的术语，你也可以在书末的《网络安全英文词汇》部分找到定义。

*术语后面的星号表示该术语的更全面定义可在书后找到。

尽管网络安全在今天的世界中备受关注，但当我在 2015 年初为这本书进行部分研究时，我震惊地发现，即使是维基百科也还没有允许创建“网络安全”这一术语的具体词条 - 它只是重定向到“计算机安全”。

推广网络安全知识的延迟至少部分归因于网络安全迅速崭露头角并持续发展的速度。在网络安全需求变得明显几年后，行业专业人士现在意识到这一学科不仅仅是关于保护计算机。事实上，它不仅仅是关于保护任何和所有技术的。网络安全实际上是关于保护直接或间接依赖于任何电子设备的人们。

现在人们普遍认为网络安全还包括保持电子设备和数字服务的稳定性和可靠性的需求。具体来说，遵循仅依赖预防的网络安全策略已经不再有效。现代组织还必须有能力检测到意外或未经授权的中断，并迅速诊断问题并解决、处理，然后恢复受影响的服务。

大多数早期的网络安全工作主要关注对技术的恶意和有意的威胁的保护。然而，现在人们普遍认为系统可能因为流程漏洞、意外用户操作，甚至是内部人员的不当行为而被瘫痪，就像它们被外部的恶意攻击一样容易。例如，在 2017 年 2 月，由于一位员工在调试计费系统时发生了非常小的拼写错误，导致亚马逊网络服务部分中断。这次中断让诸如 Netflix、Tinder、Airbnb、Reddit 和 IMDb 等热门服务下线了几个小时。

美国国家安全局（NSA）及其深度防御战略文件已经帮助专家受众了解更广泛的威胁，包括人为因素。甚至有一整章专门讨论人为因素。NSA 与爱德华·斯诺登的问题突显出人员仍然通常是网络安全链中最薄弱的环节。

防范外部和恶意威胁被认为是优先考虑的，因为它们目前似乎造成了最严重的损害和成本。这是因为大多数（但不是所有）主要的网络安全事件都是由犯罪、国家或恐怖主义活动引起的。即使是内部威胁，当它们是（i）有意的，或者（ii）被定向用作环境的接入点时，它们也往往产生最大的影响。

恶意攻击通常包括未经授权的信息删除或复制。这些信息泄露往往会造成客户、品牌和股价的损失，同时还会带来高昂的补救和赔偿成本。

系统故障也会造成这些成本，但通常在不同且较低的范围内。也有偶尔的例外情况。2015 年 12 月英国空中交通管制系统的故障以及其他类似事件，可能仅仅是因为部署了未经充分测试的软件更新。

那么，是什么导致我们最近几年将我们的生活交到了数字设备的手中呢？

1990 年，我第一次得到了自己的手机。那时我还在大学，电话租金相当于一周房租。手机大小相当于半个砖头大小，重量也差不多。通话费用如此昂贵，只有最急需交谈的人才会打电话。接收信号如此之差，你必须在城市中心的某个地方才能打电话或接电话。人们总是对我拥有手机感到毫无意义。甚至到了 90 年代末，仍有许多人表示永远不会购买或拥有手机。然后，手机变得如此便宜、主流化，不拥有一部手机几乎是不划算的——现在几乎每个人都有了。

1995 年，我第一次连接到互联网。我早期的互联网连接与早期的手机时代并无二致。连接速度比今天慢数万倍。连接费用昂贵（按分钟计费），速度慢到甚至加载一个简单的基于文本的网页可能需要几分钟。下载一个简单的程序可能需要几小时甚至几天。

早期互联网上可用的服务非常基础且速度缓慢，几乎没有任何信息具有商业价值可供攻击。尽管这些早期用户周围有足够多的病毒，尤其是如果他们没有安装反病毒软件的话。然而，慢速连接意味着你必须非常努力，访问一些相当可疑的网站并且避免安装反病毒软件才会有风险。即使那时，最大的风险通常只是重新安装计算机文件所需的时间和费用。

导致网络安全威胁的转变主要是由一个关键因素驱动的：互联网连接速度变得更快、更便宜且更广泛地被采用，即使在经济不发达的国家也是如此。

这一变化，加上计算机处理速度的提高和更好的网络应用程序编程，逐渐使得通过互联网提供主流服务变得更加容易、更有效、更便宜，而不是使用传统的离线方式。像银行业务、购物、观看电影和收听广播等活动在线上变得更加方便。

直到最近，仍然有一些组织和人可以在不使用互联网连接设备的情况下蓬勃发展和生存。

但随着数字连接速度和源自使用“连接”技术的服务选项的增长，那些选择利用连接设备的人和组织发现这些设备提供了显著的优势。他们支付更少，成本更低，赚取更多甚至社交更多。

随着越来越多的组织和个人采用了连接技术，传统（断开连接的）服务由于成本较高和利益较低而变得更不具竞争力。

这产生了“达尔文”效应。那些适应了连接技术优势的人和组织正在（并且是）获得优势并蓬勃发展。那些没有（并且是）进化以利用连接技术的组织大多在萎缩或灭亡。

一个联网的人可以找到各种各样的金融和社交机会。任何没有连接到互联网的人都在支付更多的钱并经历更少的机会。

组织也处于类似的位置。如果他们没有充分利用互联技术的优势，那么他们就比其他充分利用这些技术的人和组织拥有更少的机会。

所有这些导致人们和组织将更多的可变现价值信息放入他们的“连接”电子设备中，以及连接速度使得信息能够快速流入和流出这些设备。

我们现在通常通过联网设备存储和交易非常敏感的信息和服务。我们的信用卡信息和医疗信息都在网上，甚至我们还把互联网作为主要的通讯方式。这意味着我们的联网设备中有大量关于我们的信息。

还有一点很重要，即即使是最早的电子计算机也被用于破解信息，更准确地说是通过使用密码分析来破译密码。

阿兰·图灵等人在第二次世界大战期间使用最早形式的电子计算来帮助破解纳粹的恩尼格码（用于德国的秘密通信），被广泛认为是盟军赢得战争的关键因素。

关于第一次计算机攻击发生的时间，意见不一，但应该清楚的是，只要人类使用计算能力，就会用于增强我们使用自己信息的方式，并且从竞争对手那里获得优势。

甚至我自己学校的计算机网络在 1985 年就有了一位非常懂电脑的朋友编写的病毒。这个病毒坚持要求人们在继续他们的真正工作之前‘吃块饼干’。

然而，大规模的威胁和盗窃花费了很长时间才引起公众的注意。在 80 年代和 90 年代，有关一些大银行的聪明程序员通过操纵计算机程序获取资金的吓人故事时有发生。

但直到大约 2005 年，大多数组织（和人们）才开始允许高价值内容在他们的安全网络内外流动，尽管这些组织和人们在此之前的数十年中广泛使用计算机。

直到 2005 年左右，几乎所有 IT（信息技术）部门都控制着组织中可以使用的设备和软件。'技术’通常是一个部分有效的部门，以极客为特色，选择并推出系统，这些系统通常（但并不总是）具有较低或没有商业价值。在那个时候，除了一些允许的网页浏览外，组织使用的技术几乎完全在受保护的内部网络中运行。

对于普通的技术部门来说，发布稳定、安全且运行良好的产品往往比理解这些产品面向的人或组织的实际业务需求更为重要。

并不是说这些由极客控制的部门不关心；相反，大多数公司的政策导致以技术为导向的人士而不是具有商业和沟通技能的人士担任领导职务。

组织倾向于提拔内向的程序员，他们在社交互动方面很吃力，升任项目、项目和高级技术经理。然后，这些经理与商业部门接触，这些部门的商业知识有限，每个人都惊讶于这些技术经理在沟通方面很差，并且一直在为技术满足而构建东西，而不是为高管设想的业务目的构建东西，尽管这些目的可能无法描述。

组织也允许这些部门以像冬天被电击过的蜗牛一样的速度运作和交付。我是从一个“我会立即处理”的领域进入技术领域的，在那里，这意味着你会在接下来的几分钟内完成某事。而在技术领域，往往很难让任何技术部门在交付日期上标注一个准确的年份。

无论这些内部 IT 部门的缺陷是什么，它们确实很擅长保护其组织的技术安全。毕竟，如果他们出现了严重失误，他们的职业生涯可能会受到威胁。因此，他们遵循了一个非常狭窄、固定的流程，将信息和技术保持在受限制和受保护的范围内。

那时，IT 部门面临的其他主要挑战包括：

• 在大公司中，几乎所有东西都是定制的。企业会要求其技术部门从零开始构建软件，通常基于对我们所需内容的非常有限的业务知识。
• 较小的公司通常无法负担某些任务的软件。他们只能通过手动流程或使用本地电子表格或数据库来管理。

随着互联网连接速度的提高，云计算应运而生。

云计算为软件市场开辟了前所未有的选择和价格。与支付数千或数百万美元购买软件，等待数月或数年才能到货，然后再花更多钱将其“托管”（安装在计算机上）相比，我们可以以更低的价格（有时甚至是免费）支付，并在几分钟内尝试软件。

这种思维方式的重大变革在很大程度上是由苹果、他们的 iPhone 和他们的应用商店所推广的。应用商店让普通人意识到愿意与其他人共享平台的价值。

很快，公司决策者（通常不在技术部门）意识到，如果他们将类似的理念应用于公司软件，他们将拥有更多选择、更大的灵活性和更低的成本，尤其是如果他们还让软件生产商托管和管理其产品的更新。

数字革命正在蓬勃发展。

商业软件（装箱即用，自行安装）已经存在几十年了。然而，购买和设置软件所需的时间和成本通常是希望尝试多种替代方案的人的障碍。

使用在线软件的能力也已经存在一段时间了。例如，自从互联网问世以来，我们一直在使用搜索引擎。甚至 salesforce.com 早在 1999 年就开始了（谷歌只成立于 1998 年）。重大变化发生在采用由外部公司创建、托管甚至远程维护的软件达到临界点时。没有一家公司能够承受落后。

早期采用云技术的人能够显著领先于竞争对手，削减成本，更重要的是，更有效地与客户联系。

一些 IT 专家警告的使用这种软件可能带来的风险在早期并没有以任何有意义的方式显现出来。事实上，大多数人发现使用云软件实际上更好、更便宜、更快，甚至提供了更可靠的体验。

现在，任何个人或企业都可以找到并选择适合其真实需求的软件，下载并在几分钟内尝试。此外，这些软件本身优于以前公司内部创建的软件，因为它们利用了比任何单一公司都更多样化的业务专业知识。

这些云机会使大部分关于技术选择的决定从 IT 部门手中拿走，但在决定做出后，他们仍然有责任确保这些由外部管理的工具的安全性。如今，大多数公司的决策权掌握在非 IT 人员手中，当涉及选择任何能够创造收入或降低运营成本的技术或软件时，技术部门现在只是一个咨询服务。

技术部门不再决定公司将使用哪种软件；相反，业务高管告诉 IT 部门需要为整个公司的利益集成和支持什么。对于了解公司业务需求的人员来说，做出这些决定以跟上竞争步伐变得越来越重要。因此，与特定公司相关的每个人都有义务采用可以提升公司产品或服务价值的新技术。

这彻底改变了技术部门的角色和技能要求。任何在 2009 年停止工作并今天回到这个领域的信息安全人员几乎无法认出 IT 或网络安全部门的功能。

硬事实是，过去 10 年来技术领域发生了如此巨大的变化，以至于很多在这个领域工作的人实际上并不了解当前的技术。即使是一个保持更新的优秀技术人员也必须退后一步进行研究和重新培训，然后才能回答关于全新技术的具体问题。

（每当我在会议上发表这一观点时，我看到一片点头表示我的同事们的认同。）

然而，这并不意味着技术人员的角色已经减弱；事实上，技术部门已经从扮演边缘角色发展为全球每个组织都依赖的关键基础。

现在坐在某些政府组织和网络社区的顶层的网络安全专家自信地预测，在 2018 年底之前，首席信息安全官（CISO）或 CISO 等价人员将在所有主要组织的执行董事会上担任职位将成为常规。由 CISO 领导的网络安全部门现在在控制这些组织及其领导者的命运中发挥着核心作用，因为毕竟，任何首席执行官无法不情愿失去工作的方式只有两种：（i）股价表现不佳或（ii）由于组织网络安全存在重大漏洞而导致敏感信息的大量丢失。只有项目（ii）似乎会在一夜之间发生。

现代“商业技术”部门的主要角色是建立和管理组织可以顺利和安全地使用内部和外部技术的方法。为了做到这一点，部门领导必须建立一个集中的安全架构，并与每个内部和外部供应商合作，建立角色、责任、边界、标准和其他控制措施。

简单来说，这很像一组天平。除非使用外部技术的便利和节省金钱的优势与对安全性的相应投资相平衡，否则会发生糟糕的事情。公司和个人通过选择使用他人的软件节省了金钱，但最终不得不投资金钱来恢复可接受的安全性、稳定性和技术集成水平。当这种投资没有进行时，可能会产生导致网络安全漏洞的潜在漏洞。

然而，说服决策者重视用投资于安全来平衡新技术并不是一个容易谈判的过程，过去也不是，现在也不是。以下是早期关于确保新技术安全性的对话的一个例子：

客户群体：我们与一家供应商达成了一项很棒的新协议。他们提出分析我们最敏感信息的副本。我们想知道批准所有安全安排将花费多少钱？

技术部门：（分析后）检查安全性可能需要大约 11,000 美元，根据已有信息，可能需要额外至少 30,000 美元来提供所需的额外安全性。

客户群体：（面露难色）。那太荒谬了；我们只支付了首年 2,000 美元的服务费。

技术部门：是的，但你正在将价值至少数千万美元的数据副本放在他们那里…（也许价格之所以如此之低是因为他们想要访问你的数据，以便以某种方式使用和转售…）

客户群体和技术部门在安全价值观方面存在差异的根源在于 3 个基本因素：

• 信息具有价值
• 风险控制需要花钱
• 在组织受到重大风险打击之前，它往往会试图通过尽可能简化其控制措施来节省资金。

这些风险不仅来自外部供应商。任何直接或间接用于帮助我们管理生活和业务的数字设备都是潜在的漏洞点。

在网络安全领域，任何可能被利用的潜在漏洞都被称为攻击向量。

我们在数字设备选择和上面安装的软件中允许的多样性越大，我们就会有更多潜在的漏洞和攻击方法。

以移动电子邮件为例。有一段时间，Blackberry 是许多组织在移动电子邮件方面的首选。许多组织采购并提供这些特定设备来帮助控制员工的使用。作为有权使用移动电子邮件的员工，你可能有 2 个选择：

1）拥有移动电子邮件和一部黑莓手机或

2）不要有移动电子邮件，使用任何你喜欢的手机。

在这种情况下，网络安全变得更容易。只需要担心一组向量。

现在考虑“自带设备上班”（BYOD）的趋势。这是一种常见的政策，公司允许员工从任何地方购买任何手机或平板电脑，然后将其用于与公司相关的工作，可能包括公司电子邮件。如何确保安全？如果你口袋里真的很大，有方法可以减轻这种危险，但毫无疑问，相关的安全成本开始超过设备的价值和便利性。因此，许多最初采用 BYOD 的公司已经开始限制可用于处理公司信息的设备范围和配置。

尽管存在潜在威胁，许多公司确实允许员工和一些承包商在其网络内部使用自己的个人设备和/或访问特权或敏感信息。毫无疑问，BYOD 的采用在对公司信息安全态度更为宽松的贫穷国家中更为普遍。

组织从未像现在这样危险。每个人都听说过“尖端”技术。这是一个用来描述最新和最令人向往的创新的术语。但今天许多组织和个人正在使用“ bleeding edge”技术。

BYOD 是使用 bleeding edge 技术的一个例子。

在降低成本和提高收入的战斗中，即使是一些全球主要公司，对最新机会的接受有时也是惊人的短视。简单来说，技术或设备的即时商业价值通常是孤立呈现和决定的，而没有对组织更广泛的安全和稳定风险有准确的理解。

例如 - BYOD 的商业案例利益通常被呈现为这样一种看法，即让员工购买自己的设备可以节省公司的钱，并增加员工的生产力，因为许多员工似乎更喜欢使用自己的设备进行个人和工作相关任务。另一方面，有数十亿种免费应用程序和软件可以加载到人们的个人设备上。这意味着存在比可能被考虑或减轻的更多的漏洞组合（再次是向量）。

BYOD 将在几年内变得稳定并发挥作用，但我们目前尚未完全开发必要的控制和安全机制。对于每位建议提出新解决方案以保护人们个人设备的专家，我可以找到 4 或 5 位提出不同方式来击败所提出保护的其他专家。这清楚地表明存在重大且持续的风险。

也可以说，由单个移动设备提出的漏洞风险太小，不值得关注。毕竟，黑客可以从连接到网络的单个设备中偷取什么呢？

上面的例子只是部分考虑的风险的一个例子。这些小的个体风险是可以汇聚在一起（请参阅第十二章“堆叠风险”）导致通常被称为重大网络安全漏洞的情况。或者，正如英国信息专员办公室（ICO）在 2014 年所称的那样 - 一个“非微不足道的数据泄露”。

控制对数字设备的访问以及它们存储和交易的信息是网络安全中最重要的两个要素之一。

如果你需要一个设备完全安全，那么将电子信息视为数字设备中的水一样简单。你不希望水泄漏出来；你只想在想倒出水时能倒出来。同样的事情也适用于任何数字设备。你（和其他人）打孔倒水越多，设备泄漏的可能性就越大。

就像在管道系统中一样，你也必须担心信息流动的任何地方的访问、泄漏和弱点。你的网络管道越多样化、选项越多，保持其安全性就越困难。

当你考虑一个大型组织的网络管道有多广泛时，你开始理解实现和维持安全环境所涉及的巨大困难。出于这个非常原因，组织通常有不同的安全“区域”，只有在保存和交易最敏感信息的地方才应用最高级别的安全性。

例如，考虑一下现代飞机的飞行控制系统。它由计算机控制，但也被设计为完全封闭的。如果你在一架提供互联网连接的飞机上使用电子设备，这将使用与飞行控制完全不同的系统。它们唯一可能共享的连接是使用飞机的电力系统。或者至少在 2015 年之前是我认为的。

我自己是一名私人飞行员，所以对波音在 2003 年申请的专利文章很感兴趣。他们称之为波音霍尼韦尔不间断自动驾驶系统（BHUAP）。它本质上是一种反劫持系统，可以从飞行舱中移除所有的动力和控制权，而飞机仍然能够运行和飞行。其专利可以在公开记录中找到。

在 BHUAP 检测到与预期飞行参数有显著偏差的情况下，系统可以从飞行员手中转移飞机的控制权，并转而遵循预先编程的紧急飞行计划，或者它可以通过一个称为“Mode S Transponder”的标准飞机设备打开无线电频率链接，接受远程飞行管理。

或许你认为这些系统将来会被安装吗？或许它们已经安装好了？也许你认为测试这些系统的人能够考虑到每一种可能的情景和故障保护？BHUAP 四处都是谜，但有一点是十分明确的——远程飞行管理的能力为错误的人获取控制权打开了大门。

自本书第一版出版以来，也已经有一些飞行控制系统通过机载娱乐系统可访问的成功演示。

这些事实以及适用于其他数字系统的类似事实应该让你初步了解网络安全是什么以及它为何如此重要…以及为许多网络安全专业人员带来压力的原因。

你晚上睡得香吗？

从事网络安全工作的人并不多。

这是因为我们知道，大多数组织和个人对技术的采用和依赖远远超过了他们完全保护它的能力。

如果来自他人技术选择的损害仅损害到这些个人，那么网络安全对你和我就不会有影响。不幸的是，损害远不止应该负责保护这些技术的人。

增长和权力机会鼓励组织和个人，甚至是那些在关键产品和服务领域的人，采用并依赖于数字设备生态系统，这些数字设备往往只在一定程度上受到他们自己的控制。

每当发现一种全新类型的漏洞或攻击方法时，你通常仍然能闻到用于缓解问题的控制措施上的油漆味。

在我们更深入地了解当前网络安全概念和实践之前，现在是时候看看会发生哪些事情导致网络安全漏洞。

请记住，网络安全仍然涉及人类攻击人类。网络安全与传统的防范攻击方法之间唯一的区别在于，用来伤害我们的武器是我们的数字设备及其所包含的敏感信息。

自该书第一版发布以来最深刻的变化之一是网络犯罪行业的巨大增长。由于网络安全普遍管理不善，许多环境，甚至是存在于大型组织中的环境，通常存在足够的防御漏洞，以至于犯罪分子可以轻易利用这些不足之处。

现在，网络犯罪产业每年产生数千亿美元的收入。让我们看一些真实网络安全事件的案例研究以及导致它们发生的因素。

二、关于案例研究

在本章中，我们将看到我们的第一个网络安全入侵案例，以及有关该事件的一些关键信息。

在每个案例研究中，我都使用了标准格式来帮助更容易地审查和比较事件。每个案例研究中的内容都基于公共领域中免费提供的信息。

从 2007 年到 2013 年左右，许多行业内部人士认为迅速采用新技术的风险被其带来的好处和/或收益所抵消。甚至政府机构也被发现对其安全状况感到满不在乎。现在他们不再那么漫不经心了，但仍然被抓住。

一个巨大的问题就是有多少事情发生在企业直接控制之外，但仍在他们的责任范围内。正如我们在上一章中所讨论的，信息通过和进入数字设备的流动类似于水通过管道系统的流动。

随着企业开始使用越来越多的供应商，他们实质上开始将他们的管道系统连接到许多其他他们没有直接维护并且通常没有检查安全弱点的管道系统上。

因此，在竞相外包任何不被认为绝对核心的企业运营活动的过程中，信息不再保留在一个封闭和受控的环境中。

由于许多网络安全漏洞源于这些外包连接，每当我被委托审计一个新环境时，我会查看信息流向何处以确定需要进行审计的内容。不仅仅是设备及其路径；还有参与构建、交付、管理和使用这些设备的人类过程。

并非所有网络安全风险都来自供应商；然而，供应商是一个例子，说明在寻求降低成本或增加收益时，人们更倾向于引入潜在的新风险。

每一个未知或未减轻的风险都会开启可以成为网络安全漏洞目标的漏洞。

随着越来越多的企业因为非常公开的技术故障而失去品牌信誉，每个人开始更加认真地对待风险。

真正改变主流企业董事会思维的时刻是在 2013 年末，当美国零售商 Target 发现超过 4000 万客户详细信息，包括信用卡号码，被盗。这种转变在 2014 年进一步加剧，当时另一家美国主要零售商 Home Depot 遭受了非常相似的事件。

在 Target 事件之前（以及之后）已经发生过大规模数据泄露；然而，这是第一个具有公众关注度、财务规模和整体企业损害影响的事件，一些网络安全专家早已预测到。

真正改变了主要政府对网络安全投资的时刻还发生在 2013 年，当时一名叫做爱德华·斯诺登的雇员泄露了超过一百万份机密文件的内容。在斯诺登获取这些文件的时间里，他并不直接为国家安全局工作；他为一个分包商工作。我们稍后将对这个案例进行深入探讨。

在这些案例研究中，这些组织对其问题根本原因的透明度帮助我们理解问题是如何产生的以及如何解决它们。

这些事件还揭示了一个事实，即遭受过重大、广为人知的数据泄露的组织的网络安全代表，比从未受到过攻击的公司中的同行更有可能意识到网络安全风险和对策。

遭受过重大、公开的数据泄露的组织，在评估和解决了他们的漏洞之后，未来遭受攻击的可能性大大降低。直到 2014 年，大多数企业只是在遭受一次或多次重大事件之后才进行被动投资。但由于这些事件的发生，情况已经改变。

尽管最大的网络安全事件受到最多的关注，但每天实际上都有成千上万个重要的事件发生。每小时，大型企业的网络都会遭受数百万次次小的、机会主义的、感知间隙的事件。

本书中选择的案例研究因为它们在全世界范围内广为人知，并展示了由于未经识别和/或未经减轻的风险而导致的损害潜力的良好混合。这些个别根本原因在孤立情况下通常似乎造成较小的风险，但当这些个别风险中的几个联合在一起时，它们具有严重损害组织的力量。

对于 Target 来说，出了问题并不只是一件事。实际上，在我们将要研究的所有案例中，你将看到一些被称为“控制失效”的问题存在，并相互叠加以导致数据泄露。我把这称为“叠加控制失效”，是由于未经减轻的“叠加风险”所导致的，并且在本书的后面专门有一章来探讨这个问题。

更近期的大规模数据泄露事件，包括 2016 年 4 月的莫萨克·冯塞卡公司、2016 年 5 月的 MySpace，以及雅虎，继续证明最大的妥协源自安全防御的多个漏洞。如果你的所有安全控制都是足够的，那么要偷走几亿个容易解密的密码是困难的。

在我们研究 Target 案例之前，为了理解发生了什么，我们需要定义一些与网络安全相关的术语：

人造设备和软件不会通过自己的自由意志相互攻击。在任何网络攻击背后都有人，试图利用防御漏洞。这些人可能是黑客，也可能不是，但肯定会利用这种专业知识作为攻击的一部分。

任何网络攻击的主要目的是获得金钱和/或政治权力优势。黑客和数字设备只是使用的一些武器。因此，任何网络攻击的基本原则可以总结如下：

敌对方（威胁行为者）

寻求

漏洞（安全漏洞）

为了

利用（利用）

为了

财政或政治利益。

如果或当有人进入您的数字设备时，他或她造成的干扰和/或他或她窃取的信息只是次要目标。真正的目标是攻击者窃取金钱或通过窃取或破坏受害者的财产来获得杠杆。

例如，当信用卡数据被盗时，这并不会为盗窃者（网络犯罪分子）带来即时的金钱。信息必须被出售才能使攻击对犯罪者有利。盗窃并不是终点；信息的转售和收到现金才是。

如果有人闯入你的汽车并从内部偷走物品，修复由盗窃造成的损坏往往会远远大于被盗物品的价值。在网络世界中也是如此。攻击者只对自己的利润和成本感兴趣。他们只在有意为你制造高成本以执行某种赎金或勒索时才关心你的成本。

近期还有一些直接由网络攻击导致的物理破坏的例子。例如，2015 年 1 月，知名科技新闻网站《连线》报道了对一家德国钢铁厂的网络攻击，导致高炉无法关闭和随后的损坏。

www.wired.com/2015/01/german-steel-mill-hack-destruction/

黑客用于发动网络攻击的工具包括一种叫做恶意软件的东西。

然而，并非所有网络安全问题都涉及外部威胁或内部技术缺陷。通过案例研究的描述，您将注意到所有网络安全漏洞都有一个非常强大的人类成分。

所有数字设备和用于设计、构建、操作和修复它们的过程都由人类控制。人类也最终设计、构建和操作用于攻击的所有恶意软件。

在我们看第一个案例研究——Target 公司的数据泄露之前，我们需要定义另外两个术语。当发现已知或怀疑的网络安全漏洞时会发生什么？

一旦发生任何重大的已知或怀疑的网络安全漏洞，应该启动一个名为事件响应的主要手动过程。

与本书的其余部分一样，以下案例研究中的信息完全基于公开领域中公开的信息。

这些案例研究是事件的故意简化版本。目的是理解主要事件及其原因。我们的目标是理解为什么存在安全漏洞，而不是分析攻击的每个阶段使用了哪些特定软件的具体版本。

三、案例研究 - 2013 年的 Target

总结：

一个供暖、通风和空调（HVAC）分包商获得了远程访问 Target 网络的权限，目的是远程监控其店内的 HVAC 系统。

供应商的准入凭证的副本被盗。 分析人员认为，窃贼使用了一个僵尸网络（一种恶意软件）来获取这些身份和密码凭证。

没有人立即发现了这次盗窃。

黑客使用被盗的凭证访问了 Target 网络。

然后，他们利用供应商凭证提供的网络访问权限来访问包含对销售点付款系统的访问权限的网络部分（网络段）。

在被攻击之后，darkreading.com 披露微软曾经发布了一份关于 Target IT 基础设施的案例研究，可在互联网上获得，包括命名该公司正在使用的微软设备管理软件。 没有人知道黑客是否参考了这项研究来帮助策划攻击。 但调查人员认为，黑客使用了这种设备管理软件在处理信用卡支付的某些销售点设备上分发另一种类型的恶意软件。

这种恶意软件隐藏在一旁，同时使用伪装的文件将信用卡数据详细信息记录并传递出 Target 网络。

Target 最近安装的 FireEye 恶意软件检测系统在 11 月底就引发了安全警报，并通知了 Target 总部。 但由于某种原因，当时没有立即采取行动。 这在安全圈中被称为未能触发足够的事件响应。

黑客使用了在 Target 网络之外的劫持服务器从外部交接点检索被窃取的数据。

被盗的信用卡详细信息出现在黑市上出售，出现在专门出售被盗信息的网站上。

美国司法部于 12 月 15 日通知了 Target 关于违规事件的情况，并且 Target 立即采取了纠正措施。

黑客的访问点在同一天被关闭，一旦 Target 能够评估影响并确认问题已得到解决，就于 12 月 18 日向公众通报。

根本原因：

在这一系列事件中，存在许多控制措施，这些控制措施要么缺失，要么不足够。 列举这些控制措施是我可以做的事情，但是对于我们的目的，我们应该专注于主要的根本原因。

1. 每个人都期望并依赖于别人的控制措施在自己的措施失败时起作用。这是‘深度防御’实施不当的一个缺点；您可能认为自己的安全层或‘部分’不足以成为重大故障点。当警报被触发时，没有触发有效的响应流程。
2. 安全、风险和预算文化是以资产和独立视角为重点的；没有人充分考虑到所有这些‘小’风险如何堆叠在一起形成这样规模的问题的大（企业）图景。（请参阅本书后面关于‘堆叠风险’的章节。）
3. 存在的安全控制和流程通常被设置为满足当前的最低安全需求和标准。这些标准通常没有及时更新以应对不断发展的威胁。它们通常只能防范几年来一直存在的问题。例如，Target 通过了一些针对支付卡行业数据安全标准（PCI DSS）的评估并不意味着安全姿态足够。

这些因素汇聚在一起，形成了一个包含大量潜在漏洞的安全姿态。

感谢 Target，他们实施了有效的反恶意软件措施。如果反恶意软件团队的警报报告得到正确响应，可能就能阻止入侵。

可能有大约 50 种不同的安全控制措施可以阻止或大幅减少这次入侵的持续时间和规模。其中一些安全控制选项不存在，而那些存在的（例如，事件响应）未能充分运作。

值得注意的是，每次重大网络入侵并非瞬间发生。通常，今天发生的入侵是在一段时间内发生的。这一点可以从大多数入侵并非发生在特定日期、特定时间这一事实得到证明；相反，它们被报告为发生在某个特定月份或跨越数个月甚至数年。Target、Home Depot、NSA（爱德华·斯诺登）、索尼、莫萨克·方塞卡、Myspace、雅虎 - 你可以列举出入侵事件并查看持续时间，你会发现这些事件都涉及一段时间。

正确理解这一点非常重要。在我的经验中，当您的网络安全遭到侵犯时，以下情况总是成立：

1. 许多防御控制措施（不仅仅是一个）未能到位或未能有效。
2. 一个或多个人错误估计了涉及的风险。
3. 一个或多个人要么没有迅速响应警报，要么不知道如何触发警报流程。

通常也会有第四类情况（但并非总是如此）：

如果遭遇的入侵是组织的首次重大网络入侵，高级管理团队可能会错误地选择不报告事件并且不迅速采取正确的对策。这是一个严重的错误，会导致更大的损失。这种第四个错误在 Target 公司并没有发生。一旦 Target 公司的高级管理人员被告知，事件就得到了正确处理。

如果在恶意软件被首次检测到时就开始应急响应，分析人员认为网络犯罪分子就不可能成功外泄信息。

四、网络安全中的学科

作为我们下一个案例研究的基础，现在是一个好时机来看看网络安全中的学科。

一个常见的误解是，黑客的能力，或者说入侵计算机系统的能力，等同于进行网络安全的能力。尽管进行道德黑客攻击的能力是一种有价值的技能，但单凭这一点并不能等同于保护环境的能力。

犯罪黑客只需要找到一个弱点就能成功。另一方面，有效的网络安全需要确保每一个重要的潜在弱点都得到解决。

不同的数字系统需要不同类型和数量的网络安全措施。对于一个想要保护自己账户和设备的私人个体来说，网络安全相对简单，可以包括简单的步骤，比如：

• 始终为每个有价值的账户保持不同、复杂的密码，每个密码超过 12 个字符。
• 保持设备更新到最新的软件补丁。
• 安装最有效的反恶意软件。
• 将安装软件的能力限制在一个单独的账户上。（这样当大多数类型的意外或恶意软件尝试安装时，会提供一个可拒绝的密码提示）。
• 避免浏览未知网站或打开未知链接和附件。
• …

然而，随着需要保护的环境规模增加，资产的多样性和规模也在增加。因此，需要具有不同技能的专家来保护这些多样化的资产。需要保护的环境越复杂，所需的技能清单就越长。这就是为什么像大型组织中发现的那样复杂的数字环境需要一系列网络安全专家。

如果你想设计、建造和装修一座大型新房子，并且想做得很好，那么你很可能需要使用一组具有不同技能的人。如果你使用合适的专业人员组合，你更有可能得到最好的房子。

例如，一位建筑师可以设计一座伟大的房子，但如果让他或她在建筑工地上当建筑工人，那么投资的任何资金都可能得不到真正的价值。

同样，如果让一名电工设计你的房子，最终的产品可能不会那么出色。

网络安全比建筑更复杂。它也是一个更新的学科领域，发展速度比任何其他学科都快。

至少在建筑方面，我们有着几千年的共同经验。

但在网络安全领域，跟上去年的问题可能意味着你的知识仍然过时。想象一下如果建筑方法变化得那么快会导致的混乱和成长痛苦。

网络安全领域的变化速度在生活的许多方面都是一个真正的问题。多年前，人们期望成年人对生活了解更多。但是如今，在许多家庭中，当涉及到技术时，这种关系已经颠倒过来了。在许多家庭中，孩子掌控技术，因为他们更能够理解和跟上变化，胜过他们的父母。

技术变化的惊人速度甚至导致了新的与数字技术相关的智力测量方法的出现。长期以来，智力一直是根据一个称为智商（IQ）的标尺来衡量的。现在出现了一种称为数字商数（DQ）的测量方法，用于衡量与技术相关的智力。

你可以在网上找到测试来衡量你的 DQ。

2014 年由英国通信监管机构 Ofcom 进行的一项关于数字智力的研究发现，平均中年成年人在 DQ 测试中得分约为 96 分。而平均六岁的孩子得分为 98 分。

他们可能还在学习左右，但现在一般孩子对技术的了解可能比一般成年人更多。

这种变化速度在一定程度上促使人们认识到网络安全需要被认定为一个独立的学科。由于网络安全是一个复杂的主题领域，处于不断变化之中，需要从业者具备各种不同技能的混合，并且需要经常进行创新和修改，因此网络安全确实符合被广泛接受的定义中对于什么构成一门学科的标准——即专业人士将这一知识体系应用于他们的工作中。

像其他学科一样，网络安全不能仅靠一个人或一个角色来实现。你不会期望进入一家医院只看到一个人能做所有的事情。外科医生、医院管理人员、护士和清洁工是非常不同的角色，但是对于一个正常运作的医院来说，它们都是至关重要的。即使在外科领域内，一个心脏外科医生也不太可能对复杂的脑部手术了解很多。

在网络安全领域内也是如此。

还有一些组织希望能够招募一人来负责所有的网络安全职能。我的建议是网络安全专业人士应避免这些职位。那些尝试的人通常因雇主的不切实际期望而遭受高度压力，接着几乎肯定会失败。

对于像建筑这样的事物，一个人可能需要多年时间才能获得多种技能的融合，使他或她能够建造一座良好的房屋。

然而，对于网络安全来说，信息和必要的技能变化和更新得如此迅速，以至于要跟上单一角色的最新信息是一个挑战。

例如，尽管我很欣赏与网络安全相关的所有角色，并且在其中的一些角色中工作过，但我最新的知识是作为一个网络安全经理。如果我回到执行不同的角色，我需要接受培训并了解要做什么。

如果我在某个特定的网络安全角色中停止工作超过 5 年，那么我的以前的知识很可能已经过时，这实际上可能会在专业上造成不利影响。

那么网络安全中的主要职能和角色是什么？

组织仍在决定什么是网络安全以及网络安全部门应该包含哪些角色。在这一部分可能会列出 30 多种不同的角色，但为了清晰起见，我们将看一些应该存在于任何大型企业的网络安全团队内，或者通过安全服务公司可以访问到的一些主要职能。

在本章中，网络安全职能以粗体文本显示。任何可以属于某个职能的角色都显示为下划线文本。有六个主要的网络安全任务和技能（职能）组需要考虑，下面是一些角色的示例：

1. 管理

首席信息安全官/首席网络安全官

网络风险经理

网络安全架构师

1. 网络安全审计与评估

审计经理、审计员、评估专家，…

1. 事件监视和警报（被动操作）

安全事件和事件管理人员

安全事件响应者

网络安全和入侵分析师

1. 主动操作

访问管理员

安全设备管理员（防火墙等）

加密/密码顾问

安全风险顾问

网络安全分析师

1. 环境测试

攻击和渗透测试员（道德黑客）

弱点评估员

1. 专家

安全控件设计师

外部安全专家

数字取证专家

密码学家

密码分析员

反恶意软件/防病毒专家

软件安全专家

总的来说，这些角色允许进行积极和反应性的安全管理。

积极的安全比应对性措施更有益且成本更低。 部署正确的安全措施比在后续阶段修复问题要便宜得多，特别是如果任何安全漏洞导致大量信息丢失或干扰客户或业务活动。

然而，随着可以识别和解决任何开放性安全问题的速度，对应对性安全能力的需求也变得越来越重要，这有助于最大程度地减少其影响和成本。

一些角色仅致力于积极的安全工作；一些关注于应对性安全，而一些则致力于这两种网络安全措施。

这些角色如何适应积极或应对性方法将在第六章《基本网络安全概念》中介绍。

管理

长期以来关于管理职能的一个问题是：管理到底应该做什么？

简单的答案是，该职能负责并承担确立正确治理的责任。

首席信息安全官（CISO）/首席网络安全官

任何管理结构中的一个关键原则是在顶层设立一个单一的问责点。

在 2017 年，依然有太少的首席网络安全官或其等同物首席信息安全官（CISOs），他们在每个组织的主要执行董事会中担任职务。 如果没有这个角色在主要董事会上，组织将无法证明主要董事会有能力理解和管理安全。 几年内，任何一家重要组织没有首席信息安全官或首席网络安全官入驻主要董事会将成为不寻常的现象。

首席信息安全官应该具有执行战略的焦点和确保组织拥有适当的安全流程和资源的最终责任。 由于数字故障可能导致执行董事会的终止，首席信息安全官必须入驻该董事会并得到首席执行官和首席财务官的充分信任。

CISO 不会直接做出业务技术决策，但他或她会管理过程和报告，帮助每个组织理解和减轻任何安全风险。如果首席技术官（CTO）想要实施特定技术，CISO 不会决定是否可以实施；相反，CISO 将确保可用的流程识别出风险，并在此之前应采取适当的安全措施。

如果一项新技术具有不可接受的风险，CISO 设定的流程应允许相关决策者了解风险，并根据组织风险自行决定是否继续进行。

一个成功的 CISO 首先必须是一个商业人士，具有出色的政治和沟通能力，以及对网络安全治理（如何管理数字化领域）、不断关注新兴技术和敏锐的风险和风险管理意识的广泛理解。CISO 还需要擅长组建一个强大的下属安全管理团队。

CISO 必须始终对所有安全治理事项（包括政策和流程）负有最终责任。

首席信息安全官（Chief Information Security Officer，CISO）为整个组织定义安全和风险文化，对所有与网络安全相关的政策和流程负有最终责任。这个角色负责确保正确的控制结构存在，以保持风险在可接受的水平，同时这些控制尽可能为新兴技术的安全使用提供灵活性。

简单地思考 CISO 的工作是将他或她视为技术领域的首席财务官对公司资金的角色。每个人都行使全面控制和责任，外部审慎检查偶尔进行。

还有一个密切相关的角色被称为首席信息官，或 CIO。这个角色对安全性很重要（因为信息是新的安全边界）；然而，CIO 的角色是看如何优化和利用信息价值，而 CISO 的角色是确保这些信息交易在安全流程下受到管理。

网络风险管理人员

CISO 需要直接下属负责收集和监控数字领域中一系列未解决的安全风险。

网络风险管理人员通常会建立最低的“重要性”水平（潜在的概率和影响阈值），确定何时应将事件和可能的威胁升级，供高级管理层或更有经验的专家考虑。

有效的网络风险管理不仅仅需要记录有关个别风险的信息。每个风险条目都必须捕捉和解释哪些数字组件和业务流程可能受到影响；否则，累积风险暴露就无法进行相关、分析和理解。

需要注意的是，大多数网络安全漏洞发生是因为累积风险。当风险仅仅被单独看待，而没有评估其潜在的集体影响时，会给组织真实风险暴露水平提供一个误导性的看法。（见关于叠加风险的章节。）

网络风险管理人员不仅确保适当的风险被一贯地捕捉，还确保集体风险信息画面可以被分析和理解。

这种风险分析是帮助每个组织了解哪些安全行动应该被赋予最高优先级的关键工具。

网络安全架构师

任何网络安全控制和流程都需要成为一个连贯的整体计划的一部分才能发挥作用；正如一句著名的谚语警告：“不计划，就是计划失败。”这句格言最初被归因于美国开国元勋本杰明·富兰克林，但许多其他历史人物，包括温斯顿·丘吉尔，也以类似的言论而闻名。

在现代世界中，设计一个强大的整体计划的重要性与富兰克林和丘吉尔的一生中一样重要。尽管您可能使用来自各地的技术选择，但除非您希望在每次选择时重新发明轮子的费用和风险，否则您需要一个安全架构，而该计划需要一个网络安全架构师来构建。

安全架构师不是在选择技术后花费时间设计安全功能，而是创建一个带有标准安全组件的主计划，该计划可以在需要添加新技术时有效快速地使用。

网络安全架构师的角色是确保清楚地了解允许的方法，以安全地集成和扩展组织的数字生态系统以与其他人交互。这包括考虑任何设备中的个人移动应用程序的安全性。它还包括远程技术（如云服务和关键供应商系统）的安全标准和要求。

例如，使用大量密码实际上并不安全。安全架构师可以设计一个框架，通过该框架，可以使用完全相同的身份和密码访问许多不同的内部和外部技术，而不会将密码暴露或透露给任何其他软件。

架构师还可以设计设备之间信息流的安全、标准选项。每当请求新的信息流方法时，安全架构师应该是参与审查、批准或升级问题的人员。

应强调的是，尤其是对于大型组织来说，创建有效的网络安全架构是运行有效网络安全的最（如果不是最）重要组成部分之一。

如果没有一种有效且适当的网络安全架构模型可供首席信息官和组织中任何正在采购或开发新应用程序和技术的人使用，那么将存在大量安全漏洞。这将导致后期安全事件管理和安全漏洞的反应性解决的成本循环，如果规格已提供并嵌入到设计和发布过程中，则这些成本本可以避免。

网络安全机构估计，解决安全漏洞的成本后期可能是初始包含正确安全控制和架构的成本的数千倍。

作为嵌入式规范价值的一个例子，请考虑一个这样的情况：组织的网络安全架构明确规定了用户登录系统的可接受安全方法。 在每项技术的建设或采购过程中，所需的登录方法将成为标准要求。 任何例外都需要经过适当的风险和成本的合理理由批准。 未来的登录技术升级可以在中央进行，而且简单且经济实惠。 如果没有这个规范，那么在每个活动技术上重新访问和修复身份和访问管理组件的成本可能会非常高。

对于应该根据设计纳入的所有安全标准，情况也是如此。 如果它们被充分整合到网络安全架构中，并以可访问和易于理解的格式提供给适当的业务所有者和采购部门，那么安全漏洞将较少，未来的修复管理成本将大大降低。

网络审计与评估

有必要定期交叉检查所有关键技术、供应商和流程的安全性和完整性。

网络审计和保障功能的存在是为了检查操作的样本，以验证它们是否安全和正确执行，并确定任何重大差距和需要采取的任何纠正措施。

审计和保障是基于公司管理层设定的政策和程序中出现的关键控制进行的。 这些政策和程序通常被调整以满足任何法律要求或行业标准。

对安全管理员活动的持续跟踪和报告也可以成为此功能的一部分。

必须跟踪任何确定的重大控制差距，直至关闭。 任何即时的关键风险项目必须上升到网络风险登记册（活动风险的主列表）或根据需要直接上升到首席信息安全官。

事件监控与警报（被动操作）

数字景观不断受到攻击。 这意味着大型组织需要技术和人员不断监视有关尝试入侵网络的实时信息和警报。

安全事件和事件管理

拥有能够随时做好准备并能够应对任何网络安全问题的熟练人员非常重要。 还记得当 Target 的反恶意软件程序发出警报时未能发生的事情吗？ 安全事件和事件管理是最后的防线，可以及时响应以挽救局面。

大型组织通常有专人负责应对事件。较小的组织在发生事件时通常依赖于从其他领域借用人力资源。专门的资源更擅长事件响应，因为他们更有可能具有精细的技能、知识和工具，能够快速进行根本原因分析和所需的纠正措施。专门的资源也更有可能快速做出响应。

通常，将有一名安全事件响应人员随时待命，以确保对任何事件（如拒绝服务（DoS）或恶意软件攻击）立即作出响应。

网络安全和网络入侵分析师

该角色负责测量、监控和管理直接受组织控制或问责的所有资产和信息流的运营状态。这包括所有软件、硬件、网络设备、通信渠道和可能成为潜在漏洞来源的第三方（外部）景观项目。

通常通过设备和网络监控软件的组合以及其他调查工具来协调。这些信息通常被收集起来形成状态仪表板和全天候运行的自动警报。

较大的组织通常会设有一个安全运营中心（SOC），这个中心基本上包含一个或多个办公室，用于监控和管理实时威胁。

控制水平的规范由网络安全管理团队制定的政策、流程和基准标准确定，包括 CISO 和网络安全架构师。

任何日常运营中的差距或不足也由安全运营团队解决（追踪到解决方案）。政策和程序中存在的任何重大差距或不足都会向网络安全保证功能报告，并提出改进建议。

这些分析人员还执行安全监控，包括分析日志以帮助检测和报告事件。

网络入侵分析人员检测到的任何重大事件必须立即触发事件响应程序。

这个团队的分析人员通常也是事件响应团队的一部分，在安全事件和事件管理职能的指导下。他们通常最适合在发生任何事件时帮助评估损害和影响。

这个团队的成员也是创建新安全解决方案和加强现有安全标准的宝贵咨询资产。

积极的运营

除了帮助检测和响应已知或疑似事件的安全事件和安全监控人员之外，还有许多其他角色可能有助于维持有效和安全的数字环境。

这是一份关于日常积极管理安全的主要角色的简要且高层次的列表。

访问管理员

此角色执行设置和管理访问组织的设备和系统的操作。

大多数组织密切监控这些管理员，并禁止他们对系统进行任何操作，除非这些操作对于他们的工作——添加或删除其他人的访问权限是必要的。

例如，如果一个人管理财务系统的访问权限，禁止该管理员执行任何操作性交易，如提出或批准采购订单，将是重要的。

访问管理角色应定期轮换，并且在高度敏感系统上实施的任何访问更改都应需要至少 2 个访问管理员进行处理（一个提议者和一个批准者）。

访问管理角色的活动通常会被记录在电子审计轨迹中，并且任何可疑的活动模式会自动引发警报。例如，如果在同一天授予然后撤销访问权限，就知道这是潜在欺诈的指标。

安全设备管理员

任何中型或大型组织都使用各种广泛且不断增长的安全技术来运行。

任何配置或管理用于检测、阻止或允许数字流量的技术的人都处于一个特权位置，是任何网络攻击的主要目标。因此，管理防火墙、网络设备和安全专用技术（如数据丢失预防软件）的人被认为具有特权访问，受益于监督其特权访问的流程。

标准的良好的网络安全实践包括提供对这些角色进行有效监督的流程和技术。这些措施通常利用特权账户管理系统（PAMS）。

安全管理员操作的许多技术，如果被错误使用或被任何敌对方访问，都有可能造成严重的业务中断。一些安全技术有能力阻止它们正在保护的整个环境工作。

配置和维护数字网关、安全性、数据库和通信渠道的角色通常会受到密切监控、跟踪其行动的审计记录、次级批准以及自动软件的影响，该软件会发出警报或阻止任何可疑或未经授权的行动。

加密/密码学专家

这一角色充当安全密钥管理流程的顾问或管理员，并就适当的加密/密码学标准提供建议。

随着现在加密的信息量增加（将明文转换为秘密格式），大型组织现在必须设计和操作所谓的密码学密钥架构。这种架构使他们能够确保用于加密和解密信息的密钥在需要时何时何地都能够及时获得。

密码学密钥架构是安全架构的一部分，由密码学专家提供意见设计。

安全风险顾问

每当考虑使用新类型的技术、设备或通信渠道时，都应该在决定是否实施之前评估风险。

这可能是来自新技术、新供应商、新云服务或任何其他“新”活动的风险，这些活动将导致任何有价值的信息被传输。

安全风险顾问就安全风险过程设计提供建议，并在每次运行风险评估过程时为业务提供咨询帮助。这将在后续章节中进一步讨论。

环境测试

大多数人对网络安全的一个领域感到兴奋的是伦理黑客和红队流程。

“红队演练”是一项旨在验证环境安全中的任何漏洞如何可能被利用的演练。在这个演练中，红队由伦理黑客提供资源，而一个蓝队（防御组）的安全人员组则试图识别和阻止他们的尝试。

虽然这是测试环境网络安全性的一种形式，但它有几个缺点。

• 这是非常昂贵的。
• 除非在环境投入运行之前进行，否则它在潜在更昂贵的修复时期将会被反应性地揭示问题。
• 这需要环境所有者的许可，这通常排除了最大风险的环境（如供应商系统）。

虽然红队演习非常有趣，但往往只占网络安全预算支出的一小部分。

然而，有一个非常有价值的版本更加一贯地使用，并且更加积极主动。渗透测试。

渗透测试人员（有时也称为伦理黑客）

渗透测试人员在新系统或网站投入运行之前以及组织程序和安全态势定义的周期性（重复）基础上进行潜在漏洞的检查和扫描。发现的任何漏洞（漏洞）通常会被分配一个重要性级别，并且如果其重要性级别高于组织的可接受标准，则会被解决。

渗透测试几乎总是在现场系统的副本上执行，而不是在实际系统上执行。这是为了防止任何意外的运营中断。

渗透测试被认为是具有安全设计的任何软件或系统的实现和发布的必要成分。 它通过验证是否已实现所有预期的安全性来帮助。

漏洞评估员

通常使用专业软件运行称为漏洞评估的过程。

这些检查通常在活动的操作环境中执行，故意 passives（非侵略性），以防止意外的运营中断。

漏洞评估员负责管理漏洞评估和过程产生的结果的管理。 这些评估可以定期进行，但越来越多地在实时连续进行。

其他角色

这不是一个完整而全面的列表。 这些附加角色仅是其他更专业角色的示例，这些角色也可能对网络安全团队至关重要，这取决于其大小和目的。

安全控制设计师

这个人可以通过分析任何新安全控制的确切要求（目的和意图），并提出最高效、最有效且最不影响其他设计来支持网络安全领域。

外部安全专家

这些专家在帮助内部网络安全团队就任何对他们来说陌生或时间分配不足的事项或主题提供建议、补充或教育方面非常有用。外部专家也可以在临时或兼职角色中发挥作用。选择这些附加团队成员的主要标准是首先验证他们确实具有团队所需的缺失技能。

数字取证

在网络安全事件引发的任何法律问题后，数字取证专家会保留、重建和恢复电子信息。这个角色通常是涉及数字设备误用的任何执法或法律行动的关键部分。

反恶意软件/反病毒专家

这些专家帮助分析、对抗、报告和防御新型恶意软件。他们在零日攻击期间特别有用。

软件安全专家

这个专家通过将安全特性纳入构建过程和特性规范中，确保软件在‘设计时安全’。其他职责可能包括通过程序本身（称为源代码）运行自动化和手动扫描，以防止程序员插入任何后门或其他不友好的内容。

密码学家

密码学家，或加密码制造者，进行研究以创建更强的加密算法。这通常是安全软件公司和国家政府机构内的网络安全职能所保留的角色。

密码分析师

这个角色分析加密信息以解密并显示信息。本质上，这个人是一个加密破译者。他或她的技能在反恶意软件公司中尤其有用，因为任何新的恶意软件本身通常是加密的。

这些只是对任何主要企业网络安全团队可能需要的主要功能和角色的基本描述。

请记住，有时人们可能需要涵盖这些角色中的若干个，并且工作标题通常与实际涉及的任务和职责关系不大。

仅部分涵盖上述两个领域，但变得越来越重要的是：

• 组建跨这些学科领域的威胁情报团队，任务是预测和预防最可能出现的威胁和利用。
• 确保准备好正确的应急和恢复计划，以应对灾难（技术或自然）发生的情况。

应急计划通常被称为业务连续性计划。

业务连续性计划是一个完整的学科领域和学科。 单个组织通常有多个业务连续性计划，以确保每个位置、产品和服务都可以单独恢复。

由于技术通常跨多个站点、产品和服务使用，因此实际用于恢复数字系统的计划仅由业务连续性计划引用，而不包含在其中。

用于数字或电子系统的恢复计划分别称为技术灾难恢复计划或简称灾难恢复计划。

尽管这些学科（业务连续性和灾难恢复）在任何大型组织中都已经单独存在，但它们是组织中存在的额外角色的一个例子，其中网络安全必须得到代表、考虑和内嵌。

你可能认为自然灾害与技术弹性无关，但想想福岛海啸造成的灾难，再想想黑客的想法。 如果你想摧毁一个数字系统，蛮力往往比技术能力更有效。 考虑所有小事情是至关重要的，但也不要忘记其他可能摧毁你技术库存的事件。

在组建有效的网络安全团队时需要考虑许多因素，该团队必须能够应对所有技术、环境和人为因素，这些因素会影响网络安全的弹性和事件。 我认为美国国土安全部网络安全主管在这个问题上提出了一些建议：

如果你想要一个强大的团队来帮助你走在网络安全问题的前沿，最好确保你的团队是 EGGE。 这意味着，如果你正在寻找一个强大的团队来运营一个企业的网络安全，你应该组建一组人员，他们是:

• 种族多样化
• 地理多样化
• 性别多样化
• 教育多样化

这确实是非常明智的话。如果你的团队知识库较小，就无法指望找出对手可能发现的潜在弱点。

五、案例研究 - 爱德华·斯诺登 2013

摘要：

有关爱德华·斯诺登的内容有很多。在这里，我们只关注帮助我们理解发生了什么以允许如此巨大的网络安全漏洞的事实。

有关发生情况的三个潜在信息来源：

• 来自美国国家安全局和美国政府的信息
• 爱德华·斯诺登本人
• 猜测者

我们需要保持基于事实，因此我们将专注于来自前两个来源的呈现一致信息的报告，并将猜测排除在外。

爱德华·斯诺登于 2013 年 3 月加入了一家名为博斯艾伦的公司。博斯艾伦是为美国国家安全局提供合同工作的几家公司之一。

美国政府要求对可以访问任何系统或系统可以访问敏感政府信息的公司和人员进行广泛的预先筛选，因此斯诺登本人也受到严格的入职前评估。

斯诺登的入职前筛选评估据称表明他相当可靠，可以安全地雇佣他担任博斯艾伦的角色：

• 他已经在许多年里以特权访问政府系统工作，没有任何问题。
  • 斯诺登在 2006 年至 2009 年间直接为美国中央情报局工作，在那里他被证明在计算机网络安全方面非常出色。
  • 之后，他加入了戴尔公司，在 NSA 的合同工作，并据称继续为美国政府机构提供建议，以保护他们的网络免受攻击。
• 他的家庭有着强烈的政府和军事服务历史。

斯诺登本人以前没有表现出任何触发有关他道德、个性或观点的报告关注的行为。至少，如果曾经有任何迹象，它们没有导致他之前的安全状态被撤销，并且对博斯艾伦不可用。

当他加入博斯艾伦时，他接受了薪水降低。

无论斯诺登向博斯艾伦提供接受较低薪水的原因是什么，这些原因都足够合理，可以通过筛选流程。

斯诺登本人指出了改变他观点的三个关键事件。

1. 当他发现美国和英国政府收集和审查他们自己私人公民的大量个人数据时，他感到个人的不适。
2. 缺乏足够的治理机制来保护各级政府环境并报告任何信息滥用。

3）在 2013 年 3 月，他描述到达一个临界点，当时他看到一位美国高级官员在国会作证时“直接对国会说谎”。

爱德华·斯诺登负责的具体任务和职责在不同的记述中不清楚且不同。他本人有时描述的访问范围和责任范围可能不太可能存在。然而，所有相关方都确认，他确实拥有某些安全管理权限，并且安全管理是他的主要职责。

进一步确定的是，爱德华·斯诺登非常了解他的专业领域（网络安全）。

凭借多年的内部知识，加上少量特权访问和不满的态度，他具备了利用组织的网络安全漏洞的动机、能力和机会的组合。

为了保障运营，密切监控系统管理员并禁止他们同时具有对同一系统中信息的操作权限是一种常见的控制措施。例如，如果你负责管理人们对他们的银行账户的访问权限，你被禁止永远拥有或授予自己访问这些账户及其包含信息的权限是一种正常的控制措施。

大多数高安全性系统包含记录、追踪、防止和警示可疑访问的审计轨迹。然而，记录谁曾经访问过特定情报或其他敏感信息是一把双刃剑。即使是高级官员也可能偶尔需要访问某些内容而不留下访问记录。

在斯诺登的情况下，有一些审计轨迹和日志被设计用来监控可疑行为，但他要么能够绕过它们，要么确保它们不会引起任何立即的、重大的警报。

大多数高安全性环境也会非常密切地监控任何具有特权访问权限的人。爱德华·斯诺登的访问特权级别足够低，使他能够独立工作，但又足够高，可以被滥用以进入其他价值更高的机构系统和设备。这一点从他能够在不被注意的情况下提取的大量文件数量可以看出。

在提取文件后，他使用了几个 USB 闪存驱动器将它们带出了工作场所。显然，他可以轻松地在设施内外携带这些驱动器。

爱德华·斯诺登窃取的确切信息量仍然未知。美国政府和斯诺登本人的估计范围从大约 25 万到 170 万份文件不等。

根本原因分析：

没有单一根本原因导致这次泄漏。再次证明，一些标准安全控制措施没有得到落实，这些疏漏为斯诺登提供了实施盗窃的机会。

根据可用信息的审查，主要原因是：

• 管理员活动的监控和评估不足。

事件发生后，美国政府部门开始规定安全管理员“强制休假”。这表明即使斯诺登被调离他的职位几天，恶意活动很可能会被发现。

• 领域知识的有毒积累。

斯诺登获得的领域特定的积累的安全知识量对于任何个人来说都太高了。这意味着他准确地知道如何以及在哪里可以访问敏感文件而不必担心立即被发现。他对安全的了解并不是问题；相反，他能够收集足够的内部知识来指出特定和重要的安全漏洞，这是导致泄漏的缺陷。与所有“秘密”信息一样，安全知识的各个方面需要分解成片段，永远不要提供给同一个人。

• 权限的有毒积累。

这是银行经常使用的术语。当某人在组织中不同职位之间移动时，他或她之前的权限往往会被意外保留。多年来，这可能使这个人能够以每个部门从未考虑过的方式在多个系统中操作。

• 只分配“最低权限”的规则没有得到应用。

当任何人被授予对任何事物的访问权限时，应该基于他们需要做的最低权限。对于一些角色，特别是管理员和程序员，提供完全访问权限可能是诱人但不明智的，因为这会减少安全管理开销，但增加安全漏洞。

• 对某些资产和信息的分类不正确或不充分。

一些组织保留了他们完整网络的详细地图或包含有关每个安全层的信息的全面安全计划。这些记录可以作为识别最薄弱和最容易受攻击的入口点的建筑蓝图，但它们通常比它们所保护的信息安全性要低得多。例如，安全计划可能会透露有一个网络设备是组织最机密和保密信息的入口。在一次外部审计中，我个人曾经收到过这样的安全和网络计划。尽管这些文件旨在证明强大的安全姿态，但授予对这些文件的访问权限，甚至将其集中在一个地方，都是相反的证据。

• 系统和流程审计不足。

就像在 Target 案例中一样，缺少一些安全控制。这次，部分原因（正如爱德华·斯诺登所说）是因为没有人定期和准确地检查（审计）以确定是否存在正确的控制措斝。斯诺登并不是唯一知道这一点的人，许多其他内部知情人士在事件发生后也发表了类似的评论。秘密环境通常是故意不负责任的。在这种情况下，不负责任的程度使其逃脱了审计，从而使大量安全漏洞得以存在。

• 涉及特权访问的某些功能应该要求两个人共同操作。

这在这种情况下并没有发生。

• 物理安全过于自满，建立在信任基础上。

员工和承包商知道他们不太可能被搜查小型 USB 存储设备等设备。很可能没有随机搜查，‘熟悉’的人可以随意出入。

很明显，自这一事件发生以来，国家安全局认为他们需要专注于改进他们的预先筛查流程。然而，很难相信更加严格的预先筛查单独就能检测到任何安全问题。

斯诺登有多年可靠服务和通过预先筛查检查的经验记录。相信加强筛查就能轻松防止违规行为是一种美好的幻想。在爱德华·斯诺登的案例中，隐藏动机的唯一潜在指标是他愿意接受薪水下降。

对具有潜在颠覆动机的员工和承包商进行改进的筛查仍然是一个好主意。目前有很多关于个性特征分析如何帮助这一过程的研究。这项研究是出于非常合理的原因进行的 - 人们始终是网络安全防御链中最薄弱的环节。因此，我们在本书的后面专门致力于人为因素的一个章节。

我们也应该记住，爱德华·斯诺登并不是为国家安全局工作。他是为一家承包商工作。承包商和其他供应商通常会按照客户的要求去做，如果他们聪明的话，他们不会做多余的事情。免费做额外的事情会侵蚀利润率。这意味着什么？这意味着任何第三方都不会免费提供安全增强措施 - 他们通常只会做你要求并支付的事情。

这并不是说博思艾伦做错了什么。这只是一个关于商业上精明供应商只会做他们被明确要求做的事情而不会做更多的一般评论。

在我多年审计供应商的经验中，我发现他们通常很擅长指出并推荐修复安全漏洞。然而，由于关闭这些漏洞通常是有代价的，客户经常决定忍受这些漏洞。

爱德华·斯诺登是一个内部人员，获得了过多的内部知识、过多的不受监督的特权、对自己的生活道路不满和对一些强大人物的行为强烈不满的有毒组合。

他对安全漏洞的了解比试图保护其安全的人更多。问题的关键是，存在许多公开的安全漏洞。

那么，爱德华·斯诺登是告密者还是叛徒？这不是我们决定的。然而，查看一些额外事实是相关的。

爱德华·斯诺登确实向公众警示了一些政府正在使用的监控人们数字系统的程度和策略。他还确定了许多主要社交媒体技术提供给政府机构使用的授权后门的存在。这些机构发现后门很有用，因为它们可以绕过需要投入大量资源来破解加密层的需要。

相反，任何网络安全专家都知道后门是一个坏主意，因为它们产生的漏洞对攻击者很有用，通常远远超过了好处。例如，想象一下，如果一家银行的主要入口为客户设置了 16 个安全层，而后门只有一个不受监护的后门供员工使用。你会攻击哪个入口？

基于这些揭示，可以认为爱德华·斯诺登的活动在某种程度上确实符合公共利益。然而，大多数告密者都会精心选择证据来揭示问题，而不是像斯诺登那样盲目地发布成千上万甚至数百万份敏感文件。

根据爱德华·斯诺登自己的承认，他向记者发布了成千上万份机密政府文件，尽管他自己从未审查过这些文件。

六、基本网络安全概念

到目前为止，我们已经定义了网络安全是什么，它的来源是什么，它如何出错，以及在组建有效的网络安全团队中涉及哪些角色。

在本节中，我们将介绍一些网络安全的基本构建模块。

当我写这本书的第一版时，没有坚实的网络安全框架。自那时以来，NIST（美国国家标准与技术研究所）和 ISACA 都制定了非常好的参考模型。

最近的网络安全框架倾向于将构建有效网络安全系统所涉及的步骤分为五个或更多阶段：

本章主要致力于审视前两个阶段并讨论它们所涉及的内容。

主动阶段（识别和保护）是安全性可以发挥最大影响和效率的地方。

尽管有反应能力也是必不可少的，但纠正安全问题或问题的成本是首先包含适当的安全措施的成本的数千倍。

例如，在 2017 年 2 月，发现了由 Cloudflare 提供的主要互联网服务中的一个小错误。该错误已经在几个月前的测试中被忽略，并进入了发布。这个“小错误”（后来被命名为“cloudbleed”），一旦被识别，就能够在几分钟内修复。然而，这个错误的后果需要数十万人进行纠正工作，删除并重置可能被意外暴露的信息。

但是，组织面临额外的挑战，即在数字系统中全面保持主动网络安全水平已变得不可维护。

这意味着除了积极识别和保护他们的信息（识别和保护的前两个步骤）之外，他们还需要有效的方法尽早检测到任何入侵或中断，并然后解决并修复问题。

在本章中，我们将介绍以下对于识别，保护，检测和恢复信息，系统和设备至关重要的基础概念：

• 信息分类
  • 保密性，完整性，可用性和同意
• 网络安全防御点
  • 数据，设备，应用程序，系统和网络
• 网络安全控制类型
  • 物理，程序，法律和技术
• 网络安全控制模式：
  • 预防，侦查和纠正

分类，控制和相关概念确实都与实现任何类型网络安全的主要目标相关。

我听说过有人说网络安全只涉及一件事：钱。

这是不正确的。网络安全涉及到权力。可能是政治权力，也可能是经济权力；通常是两者的结合。

例如，当中央司令部（美国中央司令部）的 Twitter 帐户在 2015 年 1 月被伊斯兰国攻击 40 分钟时，动机不是金钱；而是政治。目标是通过公开展示安全漏洞并通过其发送政治信息来制造不适和不安全感。

如果我有良好的网络安全，我掌控自己的力量。如果我有网络安全漏洞，允许访问任何重要内容，其他人可以利用我的数字设备来获得自己的财务或政治利益，而我则要付出代价。

事实是我们不一定需要在所有地方都有很好的网络安全。我们确实需要在可能直接或间接对我们造成财务或政治损害的物品上有很好的网络安全。

那么我们如何确定什么是重要的？

简化网络安全需要我们回归到基础。网络安全是什么？

简单来说，网络安全旨在保护数字设备免受利用或妥协。

每当一位经验丰富的网络安全经理审视任何东西的网络安全状况时，我们会问自己这个问题：

我是否确信我们已经充分考虑并解决了可能被用于攻击或妥协这个数字设备或数字景观的所有可能方法？

要稍微放心地对此做出反应，我们需要考虑（i）我们数字景观内的所有位置和（ii）所有可能成为失败或攻击点的潜在向量（方法），以及（iii）最重要的是 - 每个数字位置的固有价值。

数字景观中任何部分的影响和价值越大，组织遭受的痛苦就越大，如果它受到妥协。这意味着最有价值的数字位置需要最高级别的网络保护。

这正是我们日常生活中所做的。我们确保我们在最有价值的物品上安全性最高。金钱，汽车，珠宝；所有这些通常都受到与其价值相称的安全保护。如果你有 1 美元，你可能可以放在口袋里。如果你有一百万美元，你可能不想随身携带它。

同样，如果你有一辆破烂不堪的车，你可能不会担心把它停在任何地方，但如果你有一辆价值百万美元的车，你可能会更加小心。

在网络安全领域，我们所做的一切都是将相同的原则应用于使用和管理数据的电子设备和服务。 如果这些设备和服务使用和管理价值数百万的数据，我们需要比它们仅处理价值一美元的数据时采取更多的预防措施。

我们称这些预防措施为控制。

我们首先需要确定要保护的内容：

• 我们必须弄清楚哪些信息群组最有价值，以了解它们的比较安全性需求和优先级。 这被称为信息分类。
• 一旦我们知道我们在保护什么信息，我们就可以确定它们的位置以及它们经过的位置。 这些将成为我们的网络防御点。

然后我们可以确定如何保护这些资产，使其适合其潜在价值和可能产生的影响：

• 在这些防御点上，我们可以使用一系列物理、程序、技术和法律安全控制措施。 这些是我们的控制类型。
• 一些网络防御是主动的，一些是检测的（反应性的），一些是纠正的。 这些是我们的网络安全控制模式。

现在我们将展开并解释每一个步骤。

识别

在我们能够有效和高效地保护任何内容之前，我们需要了解我们拥有什么，以及它具有的潜在价值。

记住这个类比，就像水通过管道流动一样，信息通过技术流动。 如果你对你拥有的有价值的信息或它们流动的位置几乎一无所知，你也几乎没有机会应用适当的安全措施来保护它。

不可能将高级别的安全性应用于所有事物。 同样，将高价值信息留在没有高级别安全性的区域也是不明智的。 为了能够应用正确的安全级别，必须理解不同类型信息的价值决定了它需要多少保护。

每个数字化环境中都有价值极低的部分信息，可以公开使用而不会造成任何损害，而其他部分则交易和存储着非常敏感的信息，我们需要采取相当极端的安全措施。 要想做好网络安全，需要采取综合的方法，特别是因为低价值、低安全性的区域通常被用作进入更高价值区域的途径。

现在，任何数字化环境都可能远远超出网络边界——例如，进入移动设备、云服务和供应商系统——仅仅列举和保护组织网络内部的资产是不够的或不有效的。

那么我们如何进行识别过程呢？

幸运的是，职务名称如首席信息安全官中有线索。

我们需要保护的一切都有一个共同点；它包含有价值的信息。如果我们识别出我们想要保护的所有信息集，那将使我们了解到所有数字设备、应用程序和服务，即使它们不在我们的网络内运行。

要在任何组织中实现这一点，我们使用两个过程：（1）创建或汇编信息资产登记表（我们需要评估和保护的数据集列表）和（2）评估每个信息资产以帮助我们了解应该如何保护它。第二个过程是所谓的信息分类任务的一部分。

信息分类

每组信息的价值并不相等。

如果我们想要确保我们的网络安全姿态正确，我们需要创建帮助我们区分每组主要信息的价值和危险性的分类。

决定数据的价值、影响和敏感性的过程称为信息分类。

信息分类并不是一种新的做法。它已经成为信息安全的一个长期的组成部分。

这也是有效网络安全的最基本基石。

没有信息分类，你无法确定你正在保护的是高价值还是低价值的东西。

这有时也被称为数据分类。数据分类和信息分类之间唯一的区别在于‘数据’只是指电子信息，而‘信息’还可以包括纸质记录等物理形式。

当每个信息资产被分类时，它使得后续流程能够运行，以识别数字设备、应用程序、通信渠道和其他依赖关系。这反过来又使得组织能够了解需要受到保护的内容以及保护需要多么健壮。

此过程还可以识别信息流动到不希望到达的位置。通过控制允许价值信息流动的位置，我们可以减少保护所需的努力。

网络防御点。

一旦你知道最有价值的信息资产是什么，你还需要知道它们位于哪里，然后才能制定有效的网络防御。

此时，我们仍然只是确定需要受到保护的内容。

对我们的信息进行分类让我们知道需要防御什么，但我们仍然需要了解在哪里进行防御。网络防御点是数字位置，我们可以在那里添加网络安全控制。

只有通过了解网络防御点包含和交易的内容，我才能确保其上的安全控制与其价值和其所面临的风险成比例。

通常为网络安全考虑的数字防御点有 6 层：

i) 数据 - 以电子或数字格式存在的任何信息。

ii) 设备 - 用于创建、修改、处理、存储或传输数据的任何硬件。计算机、智能手机和 USB 驱动器都是设备的示例。

iii) 应用程序 - 驻留在任何设备上的任何程序（软件）。通常，程序存在是为了创建、修改、处理、存储、检查或传输特定类型的数据。

iv) 系统 - 一组一起运行以服务更复杂目的的应用程序。

v) 网络 - 用于连接、传输、广播、监视或保护数据的设备、布线和应用程序的集合的组名。网络可以是物理的（使用布线等物质资产）或虚拟的（使用应用程序创建设备或应用程序之间的关联和连接）。

vi) 其他通信渠道 - 用于在设备之间传输或转移任何电子数据的任何其他路由

你可能想知道为什么‘数据’本身被视为网络防御点。原因很简单；有安全控制可以直接应用于数据。例如，数据可以被编码（加密），以便即使被拦截或复制，也不会在没有进一步努力的情况下变得可访问。

任何项目的重要性由其所做的而不是其本身决定。

我们可能有两台外观相同的计算机。然而，如果其中一台计算机是空的，而另一台含有关于某家公司财务信息的预先股市公告，安全要求就会不同。

不同的 iating 因素由内容的价值、影响以及敏感性决定。

如果我们首先确定最敏感的数据（如果被泄露或丢失，对价值和影响最大的电子信息），我们就可以了解它存在于哪些网络防御点中并通过哪些点流动。

这种方法将帮助我们按照逻辑顺序确定并优先考虑在我们的数字景观上放置适当安全措施的位置和方式。

这也是安全架构师的技能非常有用的地方。安全架构师可以通过评估我们的需求并创建一个更简单、更易于防御的数字景观，使用更少和更少的网络防御点。

安全架构方法提供了重新设计信息流组件的机会，使网络防御点更容易且更具成本效益地进行防御。

保护

网络安全控制类型

我们知道要防御什么（使用信息分类）以及在哪里防御它（网络防御点）。我们仍然需要知道如何防御它。

在构建网络安全保护时，可以使用 4 种主要的安全控制类别：

1. 物理
2. 技术的
3. 程序
4. 法律（也称为监管或合规控制）

如果我想保护一些金条，我可以将它放在一个锁着的、报警的和隔离的保险库中，这样就极其难以偷窃。

如果我有一个数字存储卡，里面装满了敏感信息但没有连接到其他任何东西，我拥有完全相同的可能性。

在这一点上，虽然我的数据是电子的，但它是以物理形式存在的。

这个存储卡的安全性可能比印刷文件更高，因为尽管它可能会被盗取，但需要插入设备才能读取。

没有物理安全，其他更复杂的网络防御类型就变得不太相关了。如果有人能够物理接触我的存储卡，他或她仍然可以窃取或销毁物理物品。

同样的事情也可能发生在我的数字景观的任何关键部分上。如果有人可以物理接触我的数字景观的一部分，他或她可以造成干扰，窃取它，或者用它来进一步获取更多区域。

我记得审计一个研究站点。有 100 多人工作的主要设施位于一个物理安全的办公空间内。另一方面，整个建筑的网络则是在一个未锁的置物柜中管理的，置物柜被一个纸板箱撑开（用来保持柜子凉爽），位于主要的、开放的和无人看守的大厅内。

任何人都可能从街上走进来，毫不费力地拔掉两根电线，使所有 100 人停止工作。这个人还可以将某物插入网络，从而轻松地击败了该地点的所有技术防御。

几乎所有技术控制都是无效的，如果可以获得对受限设备的物理访问权限。

如果我们回到我们的存储卡示例，如果我对卡上的信息进行编码（加密），那就是一个技术安全控制的例子。我会通过电子手段来保护这个物品。它可能无法阻止物品被盗，但可以防止信息被泄露。

考虑的下一个控制类型是程序性的。

程序性控制的一个例子是要求至少有 2 个授权人员批准任何访问请求。程序性控制使用任何过程（强制或其他），其目的是帮助加强安全立场。

最后一类可以称为法律、法规或合规控制。

每当你听到一个组织被处以巨额罚款的消息时，这就是未能满足法律控制要求的后果的一个例子。

许多公司试图将一些法律金融责任转嫁给他们的员工或供应商，作为促进良好实践的激励。任何违反法律控制的行为都可能导致纪律处分是正常的。

我们只是简要地涵盖了这 4 个领域。但重要的是要理解，任何有效的网络安全方法都必须在所有四个控制领域都有效。

仅维持技术控制不会导致有效的网络安全。

每当识别出一种新类型的信息时，也必须识别出它将经过的资产和机制。然后可以一致地识别和实施这些资产的任何额外安全保护要求。

然而，技术和服务往往在没有正确的控制和保护的情况下被部署。为了应对这个问题，我们不能仅仅依靠保护。我们的网络框架还必须能够主动检测和应对这些情况。

检测、响应和恢复

稍后的一个完整章节将介绍如何响应安全事件的过程。现在，了解如何将检测、响应和恢复步骤融入整体框架是很有用的。

正如前面提到的，当通过积极的保护措施成功实现安全性时，安全性要便宜得多。也就是说，我们仍然需要安全网来帮助识别任何变化或突破安全控制。

设立这些安全网通常包括整合技术和流程，帮助监控和检测潜在的安全问题。

控制模式

想象一下我想保护自己的智能手机。

有 3 种基本方法可以保护我的手机：

1. 我可以主动采取预防措施，应该可以防止它被攻击。
2. 我可以添加机制来帮助检测是否正在遭受攻击。
3. 如果我后来意识到我的防御存在任何漏洞，我可能能够反应性地纠正和解决由此引起的任何问题。

所以我可以使用：

• 预防控制

在事件发生之前保护设备。

• 侦探控制

在发生事件时监控并提醒我。

• 纠正控制

在识别问题后纠正任何空缺。

在我足够聪明以意识到需要预防的空缺的情况下，我可以在保护阶段的前期使用预防控制。

我还可以设置帮助检测任何异常情况的方法，以防我遗漏了什么。在侦探阶段，我需要确保任何警报都能被操作性地监控，以触发正确的响应。

如果我遗漏了任何事情，检测可能有助于识别以后需要回头解决问题的需要，但在我们的例子中，这可能是在我已经丢失手机之后！

你应该注意到这些都是称为控制模式的基于时间的定义。

我提前做的是预防性的，我在进行中是侦察性的，而我在问题发生后所做的是纠正性的。

就像任何其他安全性一样，网络安全使用这 3 种方法来帮助保护数字设备免受攻击。

在理想的世界里，我们将意识到手机可能受到攻击的所有方式，并且能够实施足够的预防控制以阻止任何事情发生。但在现实世界中，我们不知道足够多，无法完全依靠预防控制。

重复和完善

由于技术和威胁都变化如此之快，因此重要的是网络安全本身设计为动态的，以便适应这些变化。

因此，优秀的网络安全包括高效和可重复的流程，以确保每当引入新技术或信息资产时都会触发上述所有步骤。最佳的网络安全还要求这些过程定期重复。

具有健壮安全性的环境因此应包括常规的“生命周期”重复，涵盖初始安全措施和后续的重新评估和更新。这意味着网络安全团队确保任何信息集及其流经的资产从一开始就应用适当的安全措施，并且这些措施应定期（可能每年）重新审视和更新，以及在任何更改或升级时进行。

这些重复的措施不仅有利于组织的安全形势，也是保险和法律目的所必需的。除非被保险公司证明已经执行了这些步骤，否则网络保险政策是无效的（不会支付赔偿）。欧洲一般数据保护条例（GDPR）等法律也要求证明合规性，该法规管辖欧盟公民的个人信息。

如果一个组织无法证明它经常识别其有价值的资产，确保任何保护措施都适合于资产的价值，并发现并解决任何重大漏洞，那么它将面临两个问题：（1）资产将容易受到网络攻击，（2）组织将因未能有效运行其网络安全流程而受到责备。

深度防御

我们在这一章节涵盖了大量信息。

• 需要对信息进行分类，这样我们就知道要保护什么。
• 需要了解信息流经的位置，这样我们就知道要保护哪些地方。
• 介绍了我们可以采取的安全控制类型的范围，所以我们知道网络安全不仅仅是关于技术和积极的保护方法。

在本书的早些时候，我们提到并定义了“深度防御”。现在是重新审视这个话题的好时机。

发动有效攻击总比组织有效防御更容易。有效的防御需要保护者充分保护一切。而有效的攻击潜在只需要攻击者找到一个漏洞。

因此，数字领域的网络安全要有效，需要多层、检查和平衡。

领土越大，我拥有的资产越多，我的网络安全挑战就会越复杂。这是因为广阔的数字领域使漏洞更容易出现并保持不被发现。

然而，对广为人知的网络安全损失的根本原因分析反复显示，只有在缺失或不足三个或更多应该存在的关键或重要安全控制措施时，大规模违规事件才会发生。

出色的信息安全仍然是我们需要在实现出色的网络安全之前应用的基础。换句话说，在网络安全中采取同样的基本初始安全步骤仍然是必要的，这些步骤在传统信息安全模型中已存在多年。

尽管现代网络安全部门处理着诸如高级持续性威胁（APT）中看到的高度复杂的攻击模式，但遵循这些基本方法的必要性仍然有效。

第八章将更详细地介绍 APT 和技术控制。然而，正如案例研究所示，真正大规模的违规行为发生的原因通常不是因为没有防御措施，而是因为很多时候有办法绕过这些防御措施。

如果网络安全团队真正遵循深度防御策略，并使用全套安全策略和层次，几乎不可能出现单个技术问题引发网络安全灾难。

还要记住，只有在运行和可执行时，安全控制才是有效的，而且从一开始就将出色的安全嵌入到任何数字环境中是保护的最经济有效方法。稍后再添加安全性的成本要高得多。

安全不是可以轻易添加的涂料。稍后再添加安全性相当于试图在建筑物建成后添加不同的基础和墙壁。

总之，我们的基本网络安全模型具有以下主动和被动组件：

注意，我们在第四章中涵盖的不同角色适用于此模型中的各种流程；有些参与主动安全，有些参与被动安全，也有些可能同时参与两种类别。

值得强调的最后一点是：很容易看出组织的网络安全状况不佳；在这样的组织中，网络安全部门主要依赖被动措施，并且将大量人力投入被动方法。

监视和检测入侵的技术旨在成为最后的防线。这些最后的防线被频繁触发，越来越明显的是初始阶段的运行不够有效或高效。

七、人为因素

人们被视为网络安全中的最薄弱环节。

在本章中，我们将致力于介绍人为因素通常是网络安全故障的根本原因或重要因素的主要方式。

作为一次大学讲座的一部分，我对 2000 年存在的安全技术、当今可用的技术以及预计到 2025 年将要实施的技术进行了分析。贯穿始终的共同线索是，尽管安全性在应对不断演变的威胁方面有所提高，但仍然存在一种始终如一的方法来绕过这种安全性——只需损害或滥用授权用户的有效访问权限即可。

虽然可能有可能完全保护交易，以便只有有效的授权人员才能进行，但攻击者仍然可以通过简单地影响或强迫授权个人代表他们执行必要的操作来绕过这些控制。

操纵人们做某些事情并不是唯一可能造成安全漏洞的人为因素。最重要的人为因素是：

• 安全主题知识不足导致存在大量的开放漏洞。
• 捕获和传播风险不足导致反复出现、意料之外的网络安全故障。
• 企业内部以及/或关键供应商存在的文化和关系问题导致持有内部知识的人员不感兴趣、不满意。
• 安全培训投资不足导致我们所有人对我们管理的安全风险的意识水平低（即使我们不是网络安全专家）。
• 使用信任而不是程序，尤其是对于拥有信息、系统或设备特权访问权限的人员。
• 缺乏单一责任点。当超过一个人承担责任时，没有人承担责任。
• 社会工程，它可以涉及利用内部人员的访问或知识创建绕过其他安全控制的机会的各种方法。这些方法可能包括通过传统间谍技术从人员那里获取信息或操纵他们做特定的事情。

本书中的案例研究之所以被选择，是因为我根据经验知道它们代表了通常出现在最大网络安全故障中的因素混合物。每个案例中都包含了一些人为因素，这些因素导致了网络安全漏洞。

在我们更仔细地研究这些领域之前，我想分享一些关于人为因素问题如何容易被发现和因此易于被利用的真实案例。

如果一个组织的网络安全状况不佳，内部人员和接近组织的人都知道并谈论着。一个网络安全专业人士可以非常容易地在任何社交场合中只使用几个难以避免的问题就能了解一个企业的网络安全姿态是强还是弱。

在供应商的业务场所进行了为期两天的现场安全审核后，他们的首席信息安全官曾问了我以下问题：

“我们之前进行了一个为期整整一个月的内部审核。他们派了三个人来，几乎待了 6 个星期。我想问的是这样的。你独自一人在这里待了两天多，不仅发现了他们做的一切，而且还发现了一些他们漏掉的有效项目。我们本可以节省大量时间和金钱。但我想知道的是——你是怎么做到的？”

我思考了几秒钟是否要透露这个秘密。我决定，审核结束后，我可以透露。

“肢体语言”，我回答道。

我有完整的检查清单要过一遍，但是两天的时间几乎不允许我有太多时间深入测试其中的许多项目。在与公司人员进行采访式会议时，我会进行检查，一旦桌周围的肢体语言显示出不适的迹象，我就知道要深入挖掘。

公司带来参加会议的人越多，审核就越容易。我记得菲律宾的一次审核创下了与会者最多的纪录；我认为部分原因是由于涉及的合同规模，他们带来了 28 人到审核室。

实际上，我还有一个更大的秘密没有透露。文化。在注重改善员工的积极文化组织中，人们倾向于更喜欢彼此，相处得更好。如果这类公司出现问题，人们会提出来并解决掉。重视有效团队合作的员工导向型文化组织往往具有较少的安全漏洞和问题。

我还能够反向评估和测试组织文化对网络安全的影响，因为我经常被召唤来对某个组织进行审核，而某种重大失败之后。在所有情况下，毫无例外，都有重大的、导致负面文化的人为因素。安全漏洞通常是由于简单的因素造成的，比如把太多的工作交给太少的人，造成压力，或者绕过、忽视或者根本不设置安全控制。

不足的网络安全主题知识

尽管网络安全依赖于一些传统的安全原则，但它也有许多新的要求。不断采用新技术的速度不断产生更多潜在的网络安全漏洞。

除非你将大量时间投入到持续学习中，否则不可能及时了解新出现的威胁和攻击向量。

作为一名网络安全管理专家，我大约有 30%的专业时间用于阅读和了解新技术和威胁。虽然这使我能够跟上主要的风险，但经常有必要去研究新技术或威胁类型。

网络安全不是一个可以学习和应用多年的静态学科。 要保持对该主题领域的了解，需要持续而大量的个人投入。

如果经理不要求他或她的网络安全人员持有并保持来自公认机构的当前认证，那么他或她将不可避免地在网络安全知识水平上遇到问题。

训练一个可能会离开的网络安全员工比不对员工进行培训然后让他们留下更危险。

我在 2015 年至 2017 年间见证的最常见的错误之一是，许多组织倾向于雇用少量非常昂贵的专家，然后剥夺他们保持知识更新所需的培训时间。

风险的捕捉和沟通不足

第十二章专门讨论了这个重要主题领域。 但是，在讨论如何捕获和沟通风险的任何讨论中，都要考虑人为因素。

人们经常注意到可能对组织造成重大损害的风险，但却没有报告它们。 这通常出现在以下三种情况中之一：

1. 风险不直接影响个人的当前位置、部门或预算。 这是壁垒思维的一个例子。
2. 有时报告风险会带来负面的个人或职业后果。 一些企业认为报告风险的正式程序与组织的风险偏好相冲突。 员工会认为，如果没有报告疑似风险的简单机制或奖励，为什么要报告呢？**

如果过滤和升级风险的流程没有很好地发展，接收到任何报告的风险信息的接收者可能更倾向于掩盖它而不是沟通和管理它。

任何积极鼓励其员工将风险识别并报告到结构化、正式的风险管理框架中的组织将创建一个更加了解和不太容易受到攻击的企业。

**上述第二条子弹点的主题是我另一本书《网络安全揭秘：网络安全规则》的核心内容。

文化和关系问题

许多网络安全威胁是由内部产生的。 创建不满意或不感兴趣的员工的企业文化更有可能导致这种类型的威胁，而不是鼓励员工满意的企业文化。

在您的组织中，人们一般彼此喜欢吗，友好相处，并且认为公司投资于他们并且认为他们不仅仅是具有身份证号码的资产？

当人们感觉与组织没有联系或支持时，他们更有可能寻求机会利用自己的地位。 这是因为这些个体通常试图报复他们从雇主那里收到的支持不足。

一个组织的举报流程是反映企业文化并影响其网络安全姿态的另一个因素。如果公司员工和承包商感到舒适，能够通过独立的举报机构报告缺陷，保障他们的地位和匿名性，那么许多网络安全失误本可能被预防。然而，在现实世界中，报告的问题往往最终回到造成问题的人手中，还有足够的信息来识别报告问题的人。

组织对员工越开放和支持，员工也会越回报。一个封闭和不支持的组织会通过员工的普遍不感兴趣和感觉有理由使用自己的知识和权限谋取个人利益的内部人员创造出漏洞。

对于一个网络安全攻击来说，借助内部人员的帮助要容易得多。一个内部人员甚至不需要拥有特权访问权限，就能够为网络攻击提供重要的情报。如果我和一个不满意的普通员工进行五分钟的对话，通常我就能够找到足够的安全漏洞来识别一个网络攻击选项。想象一下，如果内部人员受到激励，他们能做到什么。

永远不要低估企业文化与其安全姿态之间的相关性。

根据我的经验，一个负面文化的企业会充斥着安全漏洞，有人愿意帮助揭露这些漏洞。

对安全培训的投资不足

在阅读本书的人中，是否有人为每个不同的网络账户维护单独的用户名和密码？在我最近在伦敦皇家学会参加的一个网络安全讲座上，许多安全专家也参加了，大约有20%的人举起了手。

“325，还在继续，”有人说。

每当一个网络安全攻击成功获取用户名和密码详细信息时，罪犯们很可能会首先使用自动化工具尝试在所有主要网络服务上重复使用相同的凭据。但正如网络安全讲座的统计数据显示的那样，包括网络安全专家在内的许多人并不了解使用不同的用户名和密码对不同账户的重要性。

这凸显了一个更大的问题，员工、供应商甚至客户都需要意识到他们的行为如何造成、阻止和发现安全问题。这个事实与网络安全密切相关。

当人们能够访问一个组织的数字系统时，他们的行为也会影响到员工、客户和其他人。这就是为什么任何有访问权限的人都需要对潜在的安全威胁有实际和定期的意识培训，以及如何避免它们以及如何报告任何疑似或确认的安全问题。

安全意识和建议需要包括针对个人可能访问的任何相关电子信息或系统的安全威胁的具体而实用的内容。例如：

• 当你不在旁边并且使用电脑或移动设备时，请不要将其锁定。
• 绝对不要在使用任何能够访问你工作场所系统的数字设备（手机、平板电脑或电脑）时饮酒。
• 在醉酒时永远不要讨论或谈论工作。
• 请注意，恶意软件可以通过点击链接简单地加载到你的电脑、手机或平板电脑上。因此，请不要点击你认为可能不安全的任何链接。

良好的安全意识培训应该简明、相关、有用、发人深省且频繁。其内容还需要定期更新，至少每年更新一次。

网络安全不是技术团队的纯粹技术问题。人们更有可能制造网络安全失败，而不是技术。安全意识是让人们了解这一点的主要途径。

使用信任而不是程序

作为一个物种，我们倾向于将失败作为学习机制。只有在某些事情出错之后，我们才会修复它。

在许多组织中，尤其是在那些正在发展壮大的组织中，少数几个特定个体享有无约束的特权，并被认为是完全值得信赖的。他们一直都在那里，他们一直都在做正确的事情，而加入移开信任系统的程序可能既昂贵又不必要。

我在上面的段落中所写的是在一个组织因为相信内部人员而遭受严重打击后常用的解释。

爱德华·斯诺登是这个问题的一个很好的例子。他在政府安全工作多年，一直都是安全的保证。可能出什么问题呢？

在任何包含任何类型关联特权的流程中，都必须确保存在程序，以确保没有人可以仅依靠信任独立执行操作。

即使一个人是首席信息安全官（事实上，尤其是他或她是），也不应该允许他或她直接控制和访问他或她被指定保护的安全基础设施。

控制和监控访问和权限的程序的严格性和广泛性应该与资产的敏感性成比例。权限和资产越敏感，就越需要额外的措施来监控、审查、检查和批准操作。

缺乏单一责任点

安全的另一个基石是确保数字环境中所有需要控制和管理的方面都有一个单一的责任点。

使用单一责任制已被证明非常有效；它被证明有助于成功地控制高度监管的系统。

共同责任制度反而效果不佳。当超过一个人承担特定资产、流程和行动的所有权和责任时，责任不清晰。失败时，共同所有者期望的不是同等的责任，而是同等的不负责任。

由于现代组织的复杂性，不同所有者的角色和责任有时会重叠，但决策者通过创建清晰定义、不重叠的边界来防止这种情况发生非常重要。

例如，想象一下我拥有一个系统，你拥有维护它的流程。明确定义的责任范围将规定，如果你的流程导致我的系统出现故障，那么产生的缺陷以及故障的成本和后果将由你负责，而系统的修复和从你那里收回的费用将由我负责。

社交工程

一个社交活动可能会损害世界上最好的网络安全。社交工程（传统间谍活动和更多）是人类因素中最引人入胜的。

让我不断惊讶的是，通过利用社交场合来窃取信息比直接攻击要容易得多。

如果你穿上一件带有徽标的工作服，拿着一个剪贴板，并且表现出自信，你就可以物理上进入许多你不应该进入的地方。然而，大多数可能影响网络安全的社交工程远没有这么大的风险。

一个将间谍活动和极客技能结合起来的攻击团队非常有效。不幸的是，这样一个团队很容易就能故意将特工置于能够接近‘信任’的人的情况中，或者以一种能够蠕虫般进入信任的供应商的场所或系统来提取非常敏感信息的位置。

每当有人与他人建立友谊时，他或她都有倾向于透露和讨论信息 - 包括关于工作场所的信息。即使是非技术人员在这类谈话中透露了一点内部知识，也足以给一个秘密的攻击者提供足够的弹药，足以绕过许多层次的安全防护。

防范社会工程的主要手段是通过真实案例的意识培训。以下是一个例子：

鲍勃在一个有 1000 名员工的大楼的主要大堂担任唯一的保安。早上，门禁控制门太慢了，所以鲍勃不得不为每个员工单独开门。安全措施变得松懈，人们习惯了用“嘿，鲍勃”来打招呼，然后鲍勃为他们开门。从鲍勃脸上的表情可以看出，他可能根本不知道他们中的大多数是谁。也许他认识其中的几百人。

这是我的社会工程问题：

• 如果我在酒吧里告诉你这个故事，并透露我在哪工作，你认为你能进入我的大楼吗？
• 如果你曾因合法理由访问过大堂，你认为你可能会注意到这个安全漏洞吗？

许多网络安全攻击都是机会犯罪。社会工程攻击也不总是事先计划的。如果错误的信息在错误的时间传递给错误的人，机会就会促成攻击。

作为任何深度防御策略的一部分，考虑到人为因素最有可能导致导致网络安全失败的机会是至关重要的。

如果你是一名网络安全专业人员，并且有机会，可以在任何事件响应程序的根本原因分析部分添加一个关于人为因素的问题。类似于这样的问题：

是否确定了任何以下人为因素对安全失败有所贡献？

• 应该存在的程序中存在的漏洞。
• 一些人知道但没有有效报告或管理的风险。
• 不感兴趣或不满的人员。
• 任何参与者的安全意识不足。
• 未经充分监控或隔离的访问特权级别。
• 任何个人为获取信息或系统而进行的社会操纵或虚构。

当然，还有另一组要考虑的人为因素 - 发起网络攻击的人的个人资料和理念。这些因素在第十一章“网络安全冷战”中进行了考虑。

在讨论谁发起和实施网络攻击之前，我们需要完善对网络防御的理解。为此，我们现在需要涵盖网络防御的核心要点。

八、技术网络安全

在本章中，我们将使用六个步骤来介绍之前提到的技术控制：

• 什么是攻击面？
• 标准网络安全攻击的生命周期。
• 技术防御的基本方法。
• 攻击方法的演变（向量）。
• 更高级的防御方法。
• 其他网络攻击和防御方法。

随着我们在本书中的进展，逐渐引入了许多技术术语。 在本章中，我们第一次使用了已经在本书早期定义过的技术术语，它将以粗体和斜体文本突出显示。 如果您需要刷新对含义的理解，您可以参考书后的字典。

如果我们第一次引入一个新的技术术语，我们将直接在其首次使用的段落下面定义它。

许多网络安全课程和认证几乎完全专注于技术控制。 如果您只需要获得一组有限的技术技能，这是一个有效的方法。 例如，现有的信息安全专业人员可能已经熟悉了本书早期介绍的许多安全控制。

重要的是要记住，即使是最好的技术控制仍然可能被非技术手段完全规避。

技术控制对网络安全至关重要，但其他非技术层面的防御也同样重要。

防御深度不能在不使用所有安全控制方法的情况下实现，包括技术、物理、程序和其他方法。

记住：有效的防御需要综合的方法。 一个成功的攻击可能会通过一个漏洞发生。

什么是攻击面？

要使网络攻击成功，攻击者需要做的第一件事情就是找到一个入口点。

在保卫数字景观时，我们需要了解攻击者可能会瞄准的区域。 这个目标区域被称为攻击面。

回顾第六章我们研究了网络防御点并确定了六个主要类别：

如果上述列表中的任何项目为企业承载或处理信息，则它将是潜在攻击面的一部分。

即使应用程序存在于供应商的数字系统中，如果它包含企业的数据或提供关键服务，那么成功的网络攻击的任何后果通常仍然是组织的法律责任。 这意味着在考虑攻击面时记住包括这些外部部分是至关重要的。

企业可能不负责日常运营这些外部系统，但仍然负责确保正确的安全性措施已经到位，并且如果安全性未能保护自身服务或信息，则也要承担责任。

安全架构师的一部分职责是尝试减少攻击面的大小，同时满足持续的业务需求。 任何时候都可以减少攻击面的大小和复杂性，都会更容易防御。

另一种减少安全风险的方法是将攻击面细分。 这可以通过使用网络分割来实现，这使系统具有更强的弹性。

如果某个部分受到攻击或以其他方式被损害，可以将其隔离，对组织使用的整个数字景观的整体影响较小。

此外，还可以创建不同的安全区域。 高价值数据存储或交易的攻击面（包括网络段）可以应用更高级别的安全性。 其中信息的存储或交易本身价值低的地方可以使用更低（成本更低）的安全级别。

在评估允许低安全级别的地方时必须小心。 这是因为有很多例子表明，攻击利用攻击面的低安全区域作为进入更高安全区域的路径。 还记得爱德华·斯诺登吗？ 他只是找到了一个被错误分类为较低安全级别的文件，以提供地图，从而使他能够从数字景观的更严格保密的部分获取信息。

周期性的网络安全攻击

大多数网络攻击涉及恶意软件。如果涉及恶意软件，通常会有七个攻击过程的基本阶段。这些是：

（i）侦察

（ii）工具/准备

（iii）感染

(iv) 持久性

(v) 通信

(vi) 控制

(vii) 实现价值

这种生命周期通常被描述为高级持续威胁，也被称为 APT。 APT 在本书的前面有定义，在术语部分也可以找到更完整的定义。

现在我们将更详细地查看生命周期的每个阶段。

侦察

为了使犯罪分子的攻击尽可能地成本高效，研究是最好的方法。互联网是网络攻击者的庞大信息库。

有一些工具（例如 Harvester）允许用户简单地输入潜在目标的网站名称，程序会显示组织员工在 LinkedIn、Facebook 等公共网站上公布的所有姓名、电子邮件地址、职位以及其他信息。

你可能还记得，Target（零售商）的黑客袭击据称使用了一份公开可用的图表，详细说明了它的销售点系统的配置。

对于更有针对性的攻击，特别是国家级攻击，去当地酒吧或在会议上交流也是获取关于如何最容易地妥协环境的情报的好方法，尤其是如果侦察专家能找到不满的员工或顾问。

工具/准备

了解潜在进入环境和目标系统的路线后，黑客现在可以为工作选择合适的工具。

黑客不再需要广泛的技术知识。现在，恶意软件的制作就像准备 Word 文档一样简单。可用的软件允许用户通过点击所需的功能来自定义恶意软件，然后黑客可以添加自己独特的加密。

更先进的恶意软件创建工具甚至会让黑客定义他们希望自己的攻击工具如何改变外观 - 以及多频繁地改变 - 以帮助他们避免被检测到。

感染

在感染阶段，攻击者试图使用任何可能的方法将恶意软件放置到目标攻击面的任何部分。

持久性

一旦安装完成，恶意软件将尝试通过尽可能多的机会来绕过或禁用防御措施，将自身复制到可以在资产重置或恢复时重新安装的位置，并将自身伪装成不起眼的文件。

试图在攻击面内保持位置被称为持久性。帮助恶意软件持久存在的常见目标是将其安装到主引导记录中。

安装在主引导记录上使得恶意软件能够在设备重新启动时重新安装自己。这提供了在启动（或‘引导’）序列期间可能启动的其他安全措施的禁用或绕过的可能性。

通常，恶意软件将使用一种称为缓冲区溢出的利用（故意将更多数据写入内存，而不是可能的）来实现称为外壳访问的命令级别访问。

通信

要有效，恶意软件通常需要通信能力。通信（入站和出站）可以让恶意软件执行以下一项或多项操作：

• 寻找其他恶意软件以进行合作。
• 泄露窃取的信息。
• 从攻击控制器（例如 - 从僵尸网络控制者）那里接收指令。

如果恶意软件能够通信，它通常可以远程适应以更改或添加功能，甚至可以接收更新（新编程），使其继续避免损坏或利用其已渗透的渗透点。

每个恶意软件通常都有多种通信选项。如果一个通信方法无效，它可以切换到另一个。它还可以接收有关新通信路径的更新，或者，如果它能找到其他熟悉的恶意软件，它可能会将其用于自己的通信目的。

攻击者通常寻求安装或利用大量的僵尸程序，这导致了一个称为僵尸网络的机器人网络。这提供了对攻击的更大韧性，同时提供了更多的潜在通信渠道。

控制

一旦恶意软件到位并持续通信，攻击者就可以协调、更新和指导恶意软件的操作。

如果防御措施可以阻止恶意软件与控制器通信，通常情况下它就会变得无害，因为失去接收指令或发送窃取信息的能力通常会使其无效。

一些形式的网络防御使用斩首作为一种在发现恶意软件后停止其传播的方法之一。

实现价值

除非肇事者能从中获得某些价值，否则任何网络攻击都不值得。

该价值可能仅仅是为了破坏运营、窃取和转售信息或者要求赎金。

一个攻击只有在攻击者获得回报时才真正值得。如果攻击者发起了勒索软件攻击，但未能收到赎金支付，这可能会给目标组织带来大量时间和金钱成本，但对于犯罪分子来说，这仍然会导致净损失。因此，无论通信中断或其他服务的中断会导致什么结果，都不建议任何组织或个人对任何勒索软件要求进行支付。

技术防御的基本方法

对于攻击面的每个部分（也称为网络防御点），都有一系列可用于防止或检测网络攻击的选项。

一旦感染成功，管理网络攻击就需要付出更多的努力。实际上，一旦攻击者获得了未经授权的访问权限，恶意软件通常可以持续数月甚至数年。

防止感染或入侵比事后采取纠正措施更有效。

在技术保护的早期阶段，大多数攻击都是通过电子邮件发起的。现在情况已经不再如此。攻击者现在使用任何可能的攻击向量。这些不断演变的技术将在本章的下一部分介绍。

攻击可能发生在攻击面的任何地方，因此考虑主要的防御方法及其部署位置非常重要。请记住，攻击面的关键组成部分是：

• 数据
• 网络
• 设备
• 应用程序
• 系统
• 其他通信渠道

我们还应该定义主机防御和网络防御之间的区别。

许多年前，主要依赖基于网络的安全措施被认为是足够的。这已经不再足够了。企业现在在所有可能的地方都运行安全性。这意味着攻击面的每一部分都应包含足够和适当选择的安全防御。

几个原因导致网络安全不再是可靠的安全防御层，包括：

• 许多活动发生在网络之外（例如移动和云应用程序）。
• 当恶意软件被加密或伪装成合法流量时，网络可能无法检测到其运行。
• 网络不能再依赖于其中包含的设备之间的“信任”，因为这些设备本身不再能够轻松识别和击败攻击。

现在许多小型企业甚至不再设置计算机网络。相反，他们试图保护每个项目（应用程序、设备、服务）并运行足够的备份和恢复流程。

现在有成百上千种不同类型的安全防御技术可供选择。随着威胁的出现，为了帮助应对这些威胁，新技术也随之出现。当这些技术有效时，它们逐渐融入更简单、更统一和更容易部署的软件和硬件中。

由于技术种类繁多，在本节中，我们将只关注一些最成熟和领先的形式。

主要的技术防御方法可以被认为是：

• 反恶意软件/高级端点保护解决方案
• 防火墙
• 入侵防御与入侵检测
• 数据丢失预防
• 加密/密码学（尽管这也被用于攻击）
• 代理服务器（同样也用于攻击和防御）
• 身份和访问控制
• 容器化和虚拟化
• 渗透测试
• 漏洞评估

现在，我们将为每个主要的技术安全控制提供基本定义。

反恶意软件

在本节中，粗体字词的进一步定义可以在本书的“网络安全英语”部分找到。

反恶意软件是主要的防御方法。为了有效，通常会安装在尽可能多的攻击面上。这通常包括用户设备（计算机、智能手机、平板电脑等）和网络硬件。

反恶意软件市场正在发生变化。以前创建恶意软件是困难的。在那时，反恶意软件依赖于团队分析任何新东西，并编写特定的识别和隔离例程，以阻止和隔离有害程序。

那个过程已经不再有效了。一代新的反恶意软件现在依赖于识别可疑恶意软件的能力，使用一种基本形式的人工智能。甚至在运行之前，文件都不必运行就可以被隔离或移除。这种“下一代”反恶意软件可以阻止超过 99%的恶意软件，即使可疑程序以前从未遇到过。

不幸的是，许多老客户仍在使用基本上无效的旧式反恶意软件。所以，如果你是个人或为一家安装了较旧的反恶意软件的公司工作，检查它运行得有多好以及它对新的、修改过的和以前未知的恶意软件声称的有效性是个好主意。使用下一代反恶意软件的组织要解决的问题大大减少。

更先进的应用程序和系统可能还有自己的额外反恶意软件，它在某些功能期间运行；例如，它可能会在允许用户存储、读取或以其他方式使用文件之前扫描上传的文件以查找威胁。 这特别重要，因为应用程序和系统可能使用可以伪装为应用程序数据的加密形式，从而绕过其他安全防御。

反恶意软件需要定期更新最新的更新，其中包含有关新的和进化的威胁的信息。

防火墙

防火墙在每个网络的边界和设备上充当着门卫的角色。

早期的防火墙主要依赖于理解发送方的互联网协议（IP）地址、目标端口号和使用的协议（通信方法）。

允许和禁止的数值被存储为这些早期防火墙的防火墙策略。这种设置被称为包过滤方法。它允许快速通过，但不检查数据包的内容。这使其容易受到欺骗。

除了包过滤和端口阻塞之外，防火墙现在还包括其他防御措施，包括入侵预防、入侵检测以及下面将要解释的其他方法。

强大的防火墙还包括良好的防火墙策略，通常可以通过它只包含少量规则并且显示经常审查以确保其配置为防范最新威胁的事实来识别。

入侵预防和入侵检测

预防总是优于仅检测。如果在事件发生后检测到入侵，则纠正问题的开销将更大。

对于这些系统来说，有两个关键挑战。

第一个问题是确定恶意或不需要的通信的外观。这可以通过三种不同的方法来实现：

• 存储已知的攻击通信模式，称为签名。然后可以具体检测到这些模式，并且（在入侵防止的情况下）可以被阻止。
• 程序也可以查看统计数据，并寻找任何异常或异常行为。这种检测形式被称为统计异常检测。
• 有时，恶意或不需要的通信会调整发送的数据包，使协议与其通常格式不同。因此，检测协议格式的显著变化是识别恶意通信的另一种方式。这被称为有状态协议分析检测。

第二个更重要的问题是人们希望他们的通信能够快速传输和接收，而且没有中断。强加许多检测规则并经常遇到检测和预防系统会减慢通信速度，因此入侵预防和检测涉及在安全性和性能之间取得平衡。

如果设置了太多规则和限制，电子流量（通信）可能会丢失或延迟。如果设置了太少的规则，不需要的数据可能会进出而不被检测或阻止。

数据丢失预防

任何攻击者的关键目标之一是窃取有价值的信息。这些有价值的信息通常具有某些属性，这些属性也可以用来保护它。

利用这些信息属性来帮助防止数据丢失取决于通过在数字景观的关键部分放置技术来加强安全性的各种方法。

基于主机的数据丢失预防是一种技术，可以帮助阻止人们将关键、敏感或其他有价值的信息发送到企业网络之外。

基于网络的数据丢失预防技术可以控制允许在位置之间传输的信息类型。

将数据丢失预防措施放置在位的组织需要定义将应用于允许或阻止某些类型信息传输的业务规则（标准）。在本书前面介绍的信息分类可以用于此类数据丢失预防安全性；然而，高级数据丢失程序也可以自动检测特定信息的存在，即使尚未分类。任何违反公司规定移动信息的尝试都可以被阻止或挑战。

允许传输的任何关键信息也可以通过使用额外的加密（下文介绍）来更安全。

当直接应用于人们使用的设备（计算机、智能手机和平板电脑）以及处理大量信息的关键业务应用程序时，专门的数据丢失预防技术被证明特别有用；例如，在电子邮件服务和金融系统上。

除了阻止数据的传输，这些安全程序还可以发出警报，甚至可以插入数据，帮助跟踪数据包的起始点和目的地，而用户并不知情。

这些技术在个人信息交易较多的地方也非常有价值。它们可以帮助确保隐私法规得到可证实的执行。

加密 / 密码学

将消息编码，以便任何拦截它们的人都无法阅读，这项技术已经存在了很长时间。例如，公元前约 160 年，希腊历史学家波利比奥斯发明并描述了一种被称为波利比奥斯方阵的密码技术。澳大利亚的密码研究实验室这样描述它：“通过将文本中的字母替换为向右移动三个位置的字母来对消息进行编码。A 变为 D，V 变为 Y，等等。”第一个使用这个工具的人是朱利叶斯·凯撒。

现代密码技术稍微难以解密，但加密的优点仍然有效 - 它是一种可以直接应用于数据的安全技术，并且如果没有解密信息的能力，数据只是一堆无用的字符。

尽管它在帮助确保一般通信方面非常有用，但加密存在两个主要问题：

第一个问题是加密信息很像携带外交包裹。除非拥有密钥或可以打开容器，否则没有人可以检查内容。如果有人想要防止信息落入错误的手中，那么这是一个优势，但这也意味着几乎所有通过组织其他安全措施的信息都无法检查。这将在下一章中进一步讨论。

另一个大问题是加密并不持久。如果要保护的内容不是时间敏感的话，它还算是个不错的选择。然而，任何加密最终都可以被破解，只要给予足够的时间和资源。今天几乎不可能解密的加密，十年后将相对容易破解。

即使存在这些限制，加密仍然是安全工具集的重要组成部分。它防止了在通信阶段拦截的信息立即变得脆弱。

自动加密和解密技术（例如）可以放置在电子邮件服务上，以帮助在传输过程中保护消息。

代理服务器

代理服务器的主要安全角色是帮助保持有关发送者或请求者的信息隐藏或保密，以防止该信息被滥用。例如，当您在互联网上请求页面时，代理服务器可以替换其他信息，而不是透露您的姓名和精确计算机详细信息。当接收到请求的响应时，它可以无缝地将请求的信息返回给您。

代理服务器通过隐藏特定网络中有关位置和用户的确切信息来增强安全性。

攻击者经常出于同样的目的使用代理服务器。

身份和访问控制

确定每个信息交易是否合法更简单，当请求者的身份及其请求的权限可以轻松确认时。

一个企业管理的不同身份和访问系统的数量越多，这些系统就越可能受到攻击。

安全架构师通常旨在使用单一主要技术来控制企业整个数字化景观中的身份和高级访问权限，作为大多数安全策略的一部分。

这允许轻松更改或撤销每个人的访问权限。它还允许轻松识别任何试图欺诈性地进入帐户的尝试。

每个单独的用户名和密码通常表示正在使用单独的身份管理系统。身份管理系统越多，系统被攻击而不被察觉的可能性就越大。

安全的身份管理系统现在使用的流程甚至可以使外部系统使用单一的中央用户名和密码，而无需将密码信息与外部系统共享。例如，云服务可以通过验证连接来使用企业的用户名和密码，而不会透露除了访问尝试是否有效之外的任何信息。

尽管访问权限主要是一种程序控制 - 例如，确保每个人被分配的特权最少，以执行其职责 - 但也有技术方面。

访问权限通过应用程序和系统进行管理和执行。

同样，通过在不同系统中集中跟踪特权级别，或者通过从中央位置强制执行特权限制，可以更容易地识别关于访问的业务规则的破坏尝试。

容器化和虚拟化

随着包含恶意软件的网页和电子邮件数量的增加，现在有许多技术可以隔离像互联网浏览和电子邮件管理这样的活动，以防止它们意外感染敏感数据和系统。这些技术将这些互联网活动隔离开来，使其在安全环境中执行，即使被感染也不会传播恶意软件。

这些技术使得可以使用单一设备，但同时以一种隔离和处理网络浏览和电子邮件活动的方式，几乎不太可能任何感染会影响物理设备。

这些技术使用一种称为“虚拟化”的技术，它创建一个隔离的软件副本来替代电子设备的真实操作系统，然后在每次使用时创建、使用和删除一个新的副本。即使隔离的副本被感染，其配置也可以防止恶意软件泄漏，并在每次使用后例行地完全删除它。每次开始新的网络浏览或电子邮件会话时，都会创建一个全新的操作环境软件副本，然后在会话结束时删除。

最初，虚拟化软件被作为独立的安全技术出售，但现在已经整合到一些操作系统和应用程序中。

渗透测试

每个计算机程序内部可能存在大量潜在的安全漏洞。这些程序通过应用程序和系统在攻击面上表示。

检查这些漏洞的存在的唯一方法是通过称为渗透测试的过程。这个过程可以利用企业支付的道德黑客手动尝试识别安全弱点。还有可以执行类似评估的自动化工具。

白盒渗透测试（也称为清箱测试）是描述将被测试计算机程序的技术布局提供给渗透测试的情况的术语。这使得测试更容易、更便宜，但通常会导致比黑盒测试更多问题的识别。

黑盒渗透测试是指渗透测试人员在事先没有关于计算机程序技术细节的任何信息的情况下进行测试的情况。虽然这种场景通常更真实地反映了真实攻击的特征（除非攻击者设法获得技术细节的副本），但它更昂贵，通常不太有效地找到所有潜在的安全漏洞。

在渗透测试（或任何其他时间）期间识别到的任何重大漏洞都必须修复。通常，在将程序投入实际使用之前完成这一过程。如果在已经投入实际使用的程序中发现了漏洞，则修复方法将取决于比较利用漏洞可能带来的风险和成本与企业因暂时暂停该程序而可能承担的成本。

漏洞评估

渗透测试只是识别漏洞的一种方法；事实上，还有许多其他方法。及时了解关于新漏洞的行业通知是其中一种方法。定期运行或连续运行端口扫描和完整漏洞评估是另外两个示例。

知道存在哪些潜在漏洞只是整个过程的一部分。重要的是要跟进并按照适当的优先顺序关闭或以其他方式减轻这些潜在的漏洞。

所有上述方法的集合代表了当前电子设备和它们处理、存储和交易的信息的技术保护的最新主要方法。

然而，我们采用新技术的速度意味着攻击者不断寻求新的更巧妙的方法来突破这些防御措施，所以不幸的是，它们不会保持当前时间太长。

我们尚未涵盖的一个主要防御技术是利用统一威胁情报的安全协调程序。

现在是时候看看这些威胁和攻击是如何演变的，以及我们可以采取什么措施来抵制这些新的攻击手段。