原文:
annas-archive.org/md5/8570b4b9b47974c7302ce023e1eb9bc8译者:飞龙
序言
这是本书的第二版。 虽然网络安全问题不断增加,但关于网络安全的入门书籍仍然非常少。 原因很简单:
- 大多数网络安全专家拿得太多了,以至于没有时间写书。
- 我们中的大多数人确实很忙。
- 很少有人能够对自己所做的事情了解得足够透彻,以至于敢于写一本关于这个主题的书来冒险自己的声誉。
我们还必须保持更新。 这个主题领域正在迅速发展。
当我准备第二版时,全球仍然没有就如何书写“网络安全”一词达成共识。它是一个词还是两个词?在美国,国土安全部(DHS)、国家标准与技术研究所(NIST)和 ISACA(信息安全审计与控制协会)使用单个词版本。 这本书也是如此。在英国,他们仍然将该术语分成两个词:网络安全。
每年参加多次信息安全和网络安全会议,通常作为发言人,我开始意识到与成百上千的专业人士讨论时,公共领域中提供的简明可靠信息是多么少。 由于信息和网络安全专业人员不断努力跟上最新的威胁,以及如何有效地衡量、管理和监视它们,他们创建的书籍和其他资源往往面向其他信息技术(IT)专业人员。
但是现在科技和数字设备已经成为任何组织的核心部分,并且对大多数人在个人层面至关重要,我意识到几乎每个人都希望更好地了解这个主题。 由于网络安全现在影响着每个人,我看到了对非技术人员易于理解的基础信息的需求。
本书探讨了网络安全学科以及它在所有类型的企业中应该如何运作。 如果您只是寻求有关如何保护个人网络安全的指导-请尝试我的其他出版物“如何在线保护资料安全”。
我的目标是创造比其他可用文本更少技术性和更具信息性的东西,为您提供如何需要网络安全,其含义是什么以及如何有效控制和减轻相关问题的方法提供简单的洞见。
因此,本书旨在成为任何想要迅速全面了解该主题领域的人的一站式必读文本。 您不需要任何先前的技术知识来理解文本。 每当使用技术术语时,您通常会在其第一次使用下面找到一个简单的非技术英语定义(否则-您总是可以在书的末尾查找该术语)。
尽管我在安全和合规方面工作了十多年,但直到 2009 年我才开始需要专门审查和审核网络安全。我很幸运能够获得全球最大公司之一的赞助,以审查他们的内部控制和那些为他们最重要的供应商所需的控制。
我早期的一个任务之一是准备一份关于亚马逊网络服务、Salesforce 和其他基于互联网的平台的能力和限制的白皮书。赞助公司和主题的重要性使我能够接触到一些世界上最好的网络安全人才,并迅速而早期地了解网络风险以及如何减轻它们。
大约在同一时间,一家财富 50 强公司委托我编制了他们的第一个版本的一套同步的治理控制,以满足他们所有主要的全球安全、隐私和合规要求。这需要审查、组织、解构和重构超过 9,000 个控制。最终的库大小不到原始库的 5%(不到 400 个控制),但仍然满足了每一个相关的要求。
这种对控制的和谐性的练习,再加上我对操作环境的频繁实际审查,使我对已知的网络安全风险及其如何减轻或消除这些风险有了深入的了解。
快进到现在,任何组织现在都需要一个特定的网络安全政策文件。几年前没有人有这样的文件。
制定网络安全政策文档的目的是证明已充分考虑了与技术相关的所有适当的风险和控制因素。2012 年,令我惊讶的是,当我回顾 2009 年的治理控制时,几乎每个组成部分都需要一个网络安全政策所需的。几乎唯一缺少的细节是需要整合一个总体文档,以证明所有这些组成部分都存在。到了 2017 年,一个三年前的治理政策将会严重过时。不断演变的威胁现在经常导致新的和额外的安全要求。
尽管许多保护技术的主要方法保持不变,但攻击的复杂性正在推动安全控制的大幅扩展,以保护、检测、阻止、调查和恢复未经授权的访问尝试。
我们仍处于网络安全的黎明时期。仍然有许多防御不力的组织(和个人)继续受到更有经验的对手的威胁。现在技术发展的速度会使这种情况变得更糟而不是更好。如果无法安全地利用新技术,那么传统公司很容易落后。相反,更多你之前从未听说过的公司开始进入《财富》500 强、富时 100 和其他榜单,因为他们精通技术,并专注于安全地、更快速地利用和实施新技术。
全球范围内也有大量的网络安全工作机会 - 2016 年的专家估计大约有一百万个这样的工作岗位仍然空缺。几乎所有需要网络安全专业人员的组织都在努力寻找合适的候选人。事实上,直到 2013 年左右,很少有人专门从事这个领域的工作,合格专业人员的数量还没有跟上需求。
当组织在招聘岗位时,在必填部分写上‘必须至少有 10 年的网络安全经验’,这让网络安全人员感到好笑。这种经验水平很少存在,即使存在也几乎无关紧要。我们也不会申请这样的工作,除非我们‘喜欢受罪’(一种英国的讽刺表达,暗示这个人喜欢给自己带来痛苦和折磨)。谁愿意接受为一个连现代网络安全行业基本理解都缺乏的企业工作的挑战呢?没有人想成为一个替罪羊。
在接下来的几年里,我们将经常(目前几乎每天)看到一些真正引人注目的故事登上主流媒体,报道下一个因网络安全防御漏洞而受到影响的组织。自我写下这本书的第一版以来,这些数据泄露事件包括从美国人事管理办公室窃取的数百万个个人详细信息,以及从雅虎窃取的十亿个帐户详细信息。那么这是怎么发生的呢?
这种情况发生是因为,就像任何新事物一样,我们在使用数字设备方面还不够成熟和稳定。如果你想象一下汽车早期的情况,当时关于方向盘放在哪里都没有明确的想法,所以在许多车型上最初是放在车辆中心的。当时没有安全带、滚笼或气囊。人们只是惊讶于汽车在没有绑在前面的马的情况下移动,所以他们开始称之为‘无马马车’。
当前的数字时代很像汽车的早期时代。现在的技术世界就像是野蛮西部。一场新的淘金热。公司往往在不知不觉中把一切都押在他们连接到数字生态系统的每项新技术上。
大多数人在采用新技术方面所应用的速度和预算往往是一种以风险为基础的赌博。这本书将帮助你更好地了解这些风险以及如何控制它们。迅速使用正确的新技术,你可以获得巨大的好处。在使用技术及其安全性之前花费时间和金钱进行验证,你将更安全,但你可能会落后于竞争对手。
所以,如果你真的想要了解网络安全学科,包括其风险以及如何控制它们,请继续阅读。
引言
“如果你不关心网络安全,说明你对它了解不够。”
我以为那些话只是又一个基于恐惧的销售尝试——直到我沉浸在这个主题中,看到对数字设备的盲目信任正在超越大多数人和组织的安全技能。
低成本和高收益的诱惑鼓励我们所有人非常快速地采用新技术。我们了解风险吗?我们想了解风险吗?我们认识到可以真正告诉我们风险是什么的人吗?
你曾经下载过免费软件应用程序吗?你曾经考虑过这个应用程序并不是免费的——代价是让你的手机、平板电脑或计算机上的信息暴露?
如果你想用简单易懂的英语了解风险,而不受技术细节的干扰,那么这本书就适合你。它将为你提供一个广泛的视角,告诉我们我们现在在哪里,我们是如何到达这里的,我们将走向何方,以及如何在个人和组织层面上采取有效措施来确保你更好地受到保护。
这本书旨在构建一个完整的、综合的故事情节。如果你选择从头到尾阅读,你将从中获得最大的收益。如果你想采取更零散的方法,每一章也被设计为独立的,可以在不需要之前章节知识的情况下阅读。
这本书的背后还有一本简短的网络安全英语词典,让你可以查找网络安全中使用的关键技术术语,并将其翻译成日常英语。
网络安全这一话题对我们所有人都非常相关,不了解它会带来个人和专业风险。这本书为所有想了解这一主题的人提供了快速访问和理解。
人们倾向于喜欢简洁、基于事实的内容,所以这本书的建设是为了提供这种简练的格式。
无论你是商业人士、政客、普通人(也许是失去数据的人)还是想更新知识的现有安全专家,这本书都会令你眼前一亮,提高你对这一令人着迷和危险的主题领域的认识。
一、.网络安全及其起源
我们正在经历人类历史上最重要的变革时期 - 数字革命。
如果你能够回到 30 年前的时光,你会发现在那个世界里,如果所有的计算机和电子设备都被关闭,每个人和每件事物,包括我们依赖的产品和服务,都能够在没有灾难的情况下运作和恢复。
这不再是真的。
如果今天有人能够关闭每一台数字和电子设备,飞机会从天空坠落,汽车会停止运行,超市会关闭,大公司将不知道谁在为他们工作,大多数银行可能不知道谁欠谁什么。
甚至有一种现象可以关闭所有这些设备。它被称为电磁脉冲,或 EMP。
任何暴露于 EMP 的电子设备最终都会导致每个组件被摧毁。这些脉冲极不可能自然发生,但可以人为制造,实际上构成了一些人造武器的工作部分。然而,除了军方人员外,以前没有人太担心 EMP 的潜在风险。
现在他们担心了。
大多数主要组织现在定期将他们最关键的数据副本放置在一个称为法拉第笼的 EMP 脉冲防护环境中,或者将他们的关键信息副本放置在遥远的地点。
你可能认为,无论在多大程度上,你已经摆脱了对数字时代的过度依赖,但几乎没有任何一项你使用的服务或产品不完全依赖于技术。
医院、交通工具、商店、你家里的电力和水,以及几乎每一种日常生活中的产品和服务,如果它们现在依赖的技术停止运作,都将停止工作。
你几乎可以肯定地依赖于网络世界,以一种经常甚至是持续地将你的生活置于技术手中的方式。
我们正在经历的变化速度也没有放缓;实际上正在加速。
人类的活动和行为在过去的 10 年里发生的变化比人类历史上的任何 10 年期间都要大。这一观点的证据之一来自我参加的几次演讲中不同演讲者使用的一个例子:
有两张照片涉及两位教皇的选举。
在 2005 年拍摄的第一张照片中,一大群人站在梵蒂冈城观看,当白烟出现时,宣布选举新教皇本笃。
仅仅八年后,从完全相同的位置拍摄的一张照片与 2013 年 3 月 13 日选举弗朗西斯教皇有关。人群中的人数大致相同,但这一次可以看到的只是一片被点亮的屏幕海,显示着几乎每个人手中的智能手机和平板电脑 - 望远镜升起,手高举着捕捉图像。
如果你环顾四周,不论是在任何咖啡店、火车站或机场,你都会注意到很多人正在使用某种设备;智能手机、平板电脑和耳机现在随处可见。然而,第一款 iPhone(可以说是第一款大规模流行的智能设备)直到 2007 年才发布。
在英国,2014 年的一份 Ofcom 报告发现,英国成年人平均花在使用媒体或设备上的时间比他们睡觉的时间还要多:
- 每天有
8 hours 41 minutes使用某种类型的数字设备。 - 每天有
8 hours 21 minutes睡眠。
简单的事实是,如果你有效地使用数字设备,它们会让你变得更强大。它们可以让你更富有,省钱,提高生活质量,更好地娱乐你,改善你的社交联系。
但是这些技术是否百分之百安全、可靠呢?这些通常不是我们大多数人在遇到问题之前考虑的问题。
正如在介绍中提到的,低成本、高收益和更直接的乐趣的诱惑使我们大多数人非常迅速地采用了新技术。但是,我们了解风险吗?我们想了解风险吗?我们认识到真正能告诉我们风险究竟是什么的人吗?
每当你下载一个“免费”的应用程序时,可以肯定会付出代价。即使是最普通的游戏或手电筒应用程序几乎肯定也会收集关于你的信息,包括你的位置和设备 ID,还有可能是你的电话号码、电话联系人等等。一些主流应用程序实际上有权限监视你的电话和电子邮件(尽管他们是否使用这些权限通常仍然不知道,仍然是一个模糊的辩论领域)。
也许你感到很自满,从未下载过这样的应用?那么,如果你有智能手机、平板电脑或笔记本电脑,几乎可以肯定,设备制造商或服务提供商已经加载了一些应用程序,并在你与他们的协议中加入了这些权限。
考虑 Windows 10 操作系统。最初版本附带了软件和默认权限,用于监视你的网络行为,根据你已知的偏好提供广告,甚至使用你自己的机器和网络带宽来帮助分发 Microsoft 更新到互联网上的其他机器。
我们生活在一个信息即权力的时代。
组织收集信息以建立他们的权力。他们想要了解如何改进他们的产品和服务。他们收集客户信息以更好地定位他们的客户并提高销售额。他们收集有关竞争对手的数据以了解威胁和机遇。他们还收集信息出售给其他公司。
但是当一个未经授权的个人或组织能够获取到他人的最敏感和最有价值的信息时会发生什么呢?
你还记得当一个孩子不得不忍受一些刻薄的孩子或侵入性父母窥探他或她的日记时所受的羞辱吗? 嗯,让我们将这种情况放大到公司规模。 我们在 2016 年 4 月的莫萨克·方塞卡(一家巴拿马律师事务所,提供包括帮助富人进行有效的离岸投资在内的服务)和 2014 年 12 月的索尼,当他们的私人公司电子邮件被泄露时看到了后果。 我们也将在本书后面将索尼的泄露作为一个案例研究。
人们很容易认为网络安全只是关于人们试图入侵和窃取他人信息的。 确实,大多数网络安全工作都集中在保护数字设备及其信息免受持续发生的数字攻击的冲击上。 网络安全当然包括这些措施,但也是一个更广泛和更重要的学科,部分原因是试图未经授权访问的人员往往有除窃取信息或金钱之外的动机。
例如,在 2015 年 1 月,美国军方中央司令部(CENTCOM)的社交媒体账户被声称效忠伊斯兰国的攻击者访问。 他们的目的不是窃取数据,而是控制通信渠道并操纵它。 动机不是金钱,而是为了为他们的事业创建资料并在敌人中造成动荡。
这是一个精确定义网络安全的好地方。
| 网络安全* - 保护数字设备及其通信渠道,使其保持稳定、可靠,并且合理安全,免受危险或威胁。 通常所需的保护水平必须足以防止或解决未经授权的访问或干预,以免造成重大的个人、专业、组织、财务和/或政治损害。数字设备 - 任何可以以电子格式创建、修改、存档、检索或传输信息的电子设备。 桌面计算机、笔记本电脑、平板电脑、智能手机和连接到互联网的家用设备都是数字设备的例子。 |
注意:对于任何以粗斜体文字出现的术语,你也可以在书末的《网络安全英文词汇》部分找到定义。
*术语后面的星号表示该术语的更全面定义可在书后找到。
尽管网络安全在今天的世界中备受关注,但当我在 2015 年初为这本书进行部分研究时,我震惊地发现,即使是维基百科也还没有允许创建“网络安全”这一术语的具体词条 - 它只是重定向到“计算机安全”。
推广网络安全知识的延迟至少部分归因于网络安全迅速崭露头角并持续发展的速度。在网络安全需求变得明显几年后,行业专业人士现在意识到这一学科不仅仅是关于保护计算机。事实上,它不仅仅是关于保护任何和所有技术的。网络安全实际上是关于保护直接或间接依赖于任何电子设备的人们。
现在人们普遍认为网络安全还包括保持电子设备和数字服务的稳定性和可靠性的需求。具体来说,遵循仅依赖预防的网络安全策略已经不再有效。现代组织还必须有能力检测到意外或未经授权的中断,并迅速诊断问题并解决、处理,然后恢复受影响的服务。
大多数早期的网络安全工作主要关注对技术的恶意和有意的威胁的保护。然而,现在人们普遍认为系统可能因为流程漏洞、意外用户操作,甚至是内部人员的不当行为而被瘫痪,就像它们被外部的恶意攻击一样容易。例如,在 2017 年 2 月,由于一位员工在调试计费系统时发生了非常小的拼写错误,导致亚马逊网络服务部分中断。这次中断让诸如 Netflix、Tinder、Airbnb、Reddit 和 IMDb 等热门服务下线了几个小时。
美国国家安全局(NSA)及其深度防御战略文件已经帮助专家受众了解更广泛的威胁,包括人为因素。甚至有一整章专门讨论人为因素。NSA 与爱德华·斯诺登的问题突显出人员仍然通常是网络安全链中最薄弱的环节。
| 深度防御 - 使用多层安全技术来帮助减少成功攻击的机会。这个想法是,如果一种安全技术失败或被绕过,其他的安全技术应该能够应对攻击。深度防御的最新(和正确的)思考是,安全技术必须考虑到人和运营(例如流程)因素,而不仅仅是技术。 |
防范外部和恶意威胁被认为是优先考虑的,因为它们目前似乎造成了最严重的损害和成本。这是因为大多数(但不是所有)主要的网络安全事件都是由犯罪、国家或恐怖主义活动引起的。即使是内部威胁,当它们是(i)有意的,或者(ii)被定向用作环境的接入点时,它们也往往产生最大的影响。
恶意攻击通常包括未经授权的信息删除或复制。这些信息泄露往往会造成客户、品牌和股价的损失,同时还会带来高昂的补救和赔偿成本。
系统故障也会造成这些成本,但通常在不同且较低的范围内。也有偶尔的例外情况。2015 年 12 月英国空中交通管制系统的故障以及其他类似事件,可能仅仅是因为部署了未经充分测试的软件更新。
那么,是什么导致我们最近几年将我们的生活交到了数字设备的手中呢?
1990 年,我第一次得到了自己的手机。那时我还在大学,电话租金相当于一周房租。手机大小相当于半个砖头大小,重量也差不多。通话费用如此昂贵,只有最急需交谈的人才会打电话。接收信号如此之差,你必须在城市中心的某个地方才能打电话或接电话。人们总是对我拥有手机感到毫无意义。甚至到了 90 年代末,仍有许多人表示永远不会购买或拥有手机。然后,手机变得如此便宜、主流化,不拥有一部手机几乎是不划算的——现在几乎每个人都有了。
1995 年,我第一次连接到互联网。我早期的互联网连接与早期的手机时代并无二致。连接速度比今天慢数万倍。连接费用昂贵(按分钟计费),速度慢到甚至加载一个简单的基于文本的网页可能需要几分钟。下载一个简单的程序可能需要几小时甚至几天。
早期互联网上可用的服务非常基础且速度缓慢,几乎没有任何信息具有商业价值可供攻击。尽管这些早期用户周围有足够多的病毒,尤其是如果他们没有安装反病毒软件的话。然而,慢速连接意味着你必须非常努力,访问一些相当可疑的网站并且避免安装反病毒软件才会有风险。即使那时,最大的风险通常只是重新安装计算机文件所需的时间和费用。
| 病毒 - 一种通过感染(附着)其他文件并通常寻求继续该模式的恶意软件形式。病毒现在比其他形式的恶意软件更不常见。病毒是计算机早期的主要恶意软件类型。因此,当人们在技术上指称某物为病毒时,通常是指它是另一种形式的恶意软件。 |
导致网络安全威胁的转变主要是由一个关键因素驱动的:互联网连接速度变得更快、更便宜且更广泛地被采用,即使在经济不发达的国家也是如此。
这一变化,加上计算机处理速度的提高和更好的网络应用程序编程,逐渐使得通过互联网提供主流服务变得更加容易、更有效、更便宜,而不是使用传统的离线方式。像银行业务、购物、观看电影和收听广播等活动在线上变得更加方便。
直到最近,仍然有一些组织和人可以在不使用互联网连接设备的情况下蓬勃发展和生存。
但随着数字连接速度和源自使用“连接”技术的服务选项的增长,那些选择利用连接设备的人和组织发现这些设备提供了显著的优势。他们支付更少,成本更低,赚取更多甚至社交更多。
随着越来越多的组织和个人采用了连接技术,传统(断开连接的)服务由于成本较高和利益较低而变得更不具竞争力。
这产生了“达尔文”效应。那些适应了连接技术优势的人和组织正在(并且是)获得优势并蓬勃发展。那些没有(并且是)进化以利用连接技术的组织大多在萎缩或灭亡。
一个联网的人可以找到各种各样的金融和社交机会。任何没有连接到互联网的人都在支付更多的钱并经历更少的机会。
组织也处于类似的位置。如果他们没有充分利用互联技术的优势,那么他们就比其他充分利用这些技术的人和组织拥有更少的机会。
所有这些导致人们和组织将更多的可变现价值信息放入他们的“连接”电子设备中,以及连接速度使得信息能够快速流入和流出这些设备。
我们现在通常通过联网设备存储和交易非常敏感的信息和服务。我们的信用卡信息和医疗信息都在网上,甚至我们还把互联网作为主要的通讯方式。这意味着我们的联网设备中有大量关于我们的信息。
还有一点很重要,即即使是最早的电子计算机也被用于破解信息,更准确地说是通过使用密码分析来破译密码。
| 密码分析 - 一种检查加密信息以确定如何规避用于编码或隐藏信息的技术的艺术。分析密码。 |
阿兰·图灵等人在第二次世界大战期间使用最早形式的电子计算来帮助破解纳粹的恩尼格码(用于德国的秘密通信),被广泛认为是盟军赢得战争的关键因素。
关于第一次计算机攻击发生的时间,意见不一,但应该清楚的是,只要人类使用计算能力,就会用于增强我们使用自己信息的方式,并且从竞争对手那里获得优势。
甚至我自己学校的计算机网络在 1985 年就有了一位非常懂电脑的朋友编写的病毒。这个病毒坚持要求人们在继续他们的真正工作之前‘吃块饼干’。
然而,大规模的威胁和盗窃花费了很长时间才引起公众的注意。在 80 年代和 90 年代,有关一些大银行的聪明程序员通过操纵计算机程序获取资金的吓人故事时有发生。
但直到大约 2005 年,大多数组织(和人们)才开始允许高价值内容在他们的安全网络内外流动,尽管这些组织和人们在此之前的数十年中广泛使用计算机。
直到 2005 年左右,几乎所有 IT(信息技术)部门都控制着组织中可以使用的设备和软件。'技术’通常是一个部分有效的部门,以极客为特色,选择并推出系统,这些系统通常(但并不总是)具有较低或没有商业价值。在那个时候,除了一些允许的网页浏览外,组织使用的技术几乎完全在受保护的内部网络中运行。
对于普通的技术部门来说,发布稳定、安全且运行良好的产品往往比理解这些产品面向的人或组织的实际业务需求更为重要。
并不是说这些由极客控制的部门不关心;相反,大多数公司的政策导致以技术为导向的人士而不是具有商业和沟通技能的人士担任领导职务。
组织倾向于提拔内向的程序员,他们在社交互动方面很吃力,升任项目、项目和高级技术经理。然后,这些经理与商业部门接触,这些部门的商业知识有限,每个人都惊讶于这些技术经理在沟通方面很差,并且一直在为技术满足而构建东西,而不是为高管设想的业务目的构建东西,尽管这些目的可能无法描述。
组织也允许这些部门以像冬天被电击过的蜗牛一样的速度运作和交付。我是从一个“我会立即处理”的领域进入技术领域的,在那里,这意味着你会在接下来的几分钟内完成某事。而在技术领域,往往很难让任何技术部门在交付日期上标注一个准确的年份。
无论这些内部 IT 部门的缺陷是什么,它们确实很擅长保护其组织的技术安全。毕竟,如果他们出现了严重失误,他们的职业生涯可能会受到威胁。因此,他们遵循了一个非常狭窄、固定的流程,将信息和技术保持在受限制和受保护的范围内。
那时,IT 部门面临的其他主要挑战包括:
- 在大公司中,几乎所有东西都是定制的。企业会要求其技术部门从零开始构建软件,通常基于对我们所需内容的非常有限的业务知识。
- 较小的公司通常无法负担某些任务的软件。他们只能通过手动流程或使用本地电子表格或数据库来管理。
随着互联网连接速度的提高,云计算应运而生。
| 云计算*(the)- 一个用于识别任何技术服务的总称,该服务使用由使用者(客户)而非实际管理或开发的软件和设备。这通常提供了按需可扩展性和更低成本的优势。示例包括在线托管的应用程序、在线文件存储区域,甚至提供远程虚拟计算机。使用云计算意味着管理服务的设备由云提供商而非客户运行。通常,云服务由“aaS”后缀表示。例如- SaaS(软件即服务)、IaaS(基础设施即服务)和 PaaS(平台即服务)。 |
云计算为软件市场开辟了前所未有的选择和价格。与支付数千或数百万美元购买软件,等待数月或数年才能到货,然后再花更多钱将其“托管”(安装在计算机上)相比,我们可以以更低的价格(有时甚至是免费)支付,并在几分钟内尝试软件。
这种思维方式的重大变革在很大程度上是由苹果、他们的 iPhone 和他们的应用商店所推广的。应用商店让普通人意识到愿意与其他人共享平台的价值。
很快,公司决策者(通常不在技术部门)意识到,如果他们将类似的理念应用于公司软件,他们将拥有更多选择、更大的灵活性和更低的成本,尤其是如果他们还让软件生产商托管和管理其产品的更新。
数字革命正在蓬勃发展。
商业软件(装箱即用,自行安装)已经存在几十年了。然而,购买和设置软件所需的时间和成本通常是希望尝试多种替代方案的人的障碍。
使用在线软件的能力也已经存在一段时间了。例如,自从互联网问世以来,我们一直在使用搜索引擎。甚至 salesforce.com 早在 1999 年就开始了(谷歌只成立于 1998 年)。重大变化发生在采用由外部公司创建、托管甚至远程维护的软件达到临界点时。没有一家公司能够承受落后。
早期采用云技术的人能够显著领先于竞争对手,削减成本,更重要的是,更有效地与客户联系。
一些 IT 专家警告的使用这种软件可能带来的风险在早期并没有以任何有意义的方式显现出来。事实上,大多数人发现使用云软件实际上更好、更便宜、更快,甚至提供了更可靠的体验。
现在,任何个人或企业都可以找到并选择适合其真实需求的软件,下载并在几分钟内尝试。此外,这些软件本身优于以前公司内部创建的软件,因为它们利用了比任何单一公司都更多样化的业务专业知识。
这些云机会使大部分关于技术选择的决定从 IT 部门手中拿走,但在决定做出后,他们仍然有责任确保这些由外部管理的工具的安全性。如今,大多数公司的决策权掌握在非 IT 人员手中,当涉及选择任何能够创造收入或降低运营成本的技术或软件时,技术部门现在只是一个咨询服务。
技术部门不再决定公司将使用哪种软件;相反,业务高管告诉 IT 部门需要为整个公司的利益集成和支持什么。对于了解公司业务需求的人员来说,做出这些决定以跟上竞争步伐变得越来越重要。因此,与特定公司相关的每个人都有义务采用可以提升公司产品或服务价值的新技术。
这彻底改变了技术部门的角色和技能要求。任何在 2009 年停止工作并今天回到这个领域的信息安全人员几乎无法认出 IT 或网络安全部门的功能。
硬事实是,过去 10 年来技术领域发生了如此巨大的变化,以至于很多在这个领域工作的人实际上并不了解当前的技术。即使是一个保持更新的优秀技术人员也必须退后一步进行研究和重新培训,然后才能回答关于全新技术的具体问题。
(每当我在会议上发表这一观点时,我看到一片点头表示我的同事们的认同。)
然而,这并不意味着技术人员的角色已经减弱;事实上,技术部门已经从扮演边缘角色发展为全球每个组织都依赖的关键基础。
现在坐在某些政府组织和网络社区的顶层的网络安全专家自信地预测,在 2018 年底之前,首席信息安全官(CISO)或 CISO 等价人员将在所有主要组织的执行董事会上担任职位将成为常规。由 CISO 领导的网络安全部门现在在控制这些组织及其领导者的命运中发挥着核心作用,因为毕竟,任何首席执行官无法不情愿失去工作的方式只有两种:(i)股价表现不佳或(ii)由于组织网络安全存在重大漏洞而导致敏感信息的大量丢失。只有项目(ii)似乎会在一夜之间发生。
现代“商业技术”部门的主要角色是建立和管理组织可以顺利和安全地使用内部和外部技术的方法。为了做到这一点,部门领导必须建立一个集中的安全架构,并与每个内部和外部供应商合作,建立角色、责任、边界、标准和其他控制措施。
简单来说,这很像一组天平。除非使用外部技术的便利和节省金钱的优势与对安全性的相应投资相平衡,否则会发生糟糕的事情。公司和个人通过选择使用他人的软件节省了金钱,但最终不得不投资金钱来恢复可接受的安全性、稳定性和技术集成水平。当这种投资没有进行时,可能会产生导致网络安全漏洞的潜在漏洞。
然而,说服决策者重视用投资于安全来平衡新技术并不是一个容易谈判的过程,过去也不是,现在也不是。以下是早期关于确保新技术安全性的对话的一个例子:
客户群体:我们与一家供应商达成了一项很棒的新协议。他们提出分析我们最敏感信息的副本。我们想知道批准所有安全安排将花费多少钱?
技术部门:(分析后)检查安全性可能需要大约 11,000 美元,根据已有信息,可能需要额外至少 30,000 美元来提供所需的额外安全性。
客户群体:(面露难色)。那太荒谬了;我们只支付了首年 2,000 美元的服务费。
技术部门:是的,但你正在将价值至少数千万美元的数据副本放在他们那里…(也许价格之所以如此之低是因为他们想要访问你的数据,以便以某种方式使用和转售…)
客户群体和技术部门在安全价值观方面存在差异的根源在于 3 个基本因素:
- 信息具有价值
- 风险控制需要花钱
- 在组织受到重大风险打击之前,它往往会试图通过尽可能简化其控制措施来节省资金。
这些风险不仅来自外部供应商。任何直接或间接用于帮助我们管理生活和业务的数字设备都是潜在的漏洞点。
在网络安全领域,任何可能被利用的潜在漏洞都被称为攻击向量。
| 漏洞* - (在网络安全的背景下)可能被利用并导致损害或危害的弱点。向量 - “方法”的另一个词 - 如“他们使用多个向量进行攻击”。 |
我们在数字设备选择和上面安装的软件中允许的多样性越大,我们就会有更多潜在的漏洞和攻击方法。
以移动电子邮件为例。有一段时间,Blackberry 是许多组织在移动电子邮件方面的首选。许多组织采购并提供这些特定设备来帮助控制员工的使用。作为有权使用移动电子邮件的员工,你可能有 2 个选择:
1)拥有移动电子邮件和一部黑莓手机或
2)不要有移动电子邮件,使用任何你喜欢的手机。
在这种情况下,网络安全变得更容易。只需要担心一组向量。
现在考虑“自带设备上班”(BYOD)的趋势。这是一种常见的政策,公司允许员工从任何地方购买任何手机或平板电脑,然后将其用于与公司相关的工作,可能包括公司电子邮件。如何确保安全?如果你口袋里真的很大,有方法可以减轻这种危险,但毫无疑问,相关的安全成本开始超过设备的价值和便利性。因此,许多最初采用 BYOD 的公司已经开始限制可用于处理公司信息的设备范围和配置。
尽管存在潜在威胁,许多公司确实允许员工和一些承包商在其网络内部使用自己的个人设备和/或访问特权或敏感信息。毫无疑问,BYOD 的采用在对公司信息安全态度更为宽松的贫穷国家中更为普遍。
组织从未像现在这样危险。每个人都听说过“尖端”技术。这是一个用来描述最新和最令人向往的创新的术语。但今天许多组织和个人正在使用“ bleeding edge”技术。
| bleeding edge - 使用最新的发明,它们有可能在变得稳定和安全之前对其人口造成损害。 |
BYOD 是使用 bleeding edge 技术的一个例子。
在降低成本和提高收入的战斗中,即使是一些全球主要公司,对最新机会的接受有时也是惊人的短视。简单来说,技术或设备的即时商业价值通常是孤立呈现和决定的,而没有对组织更广泛的安全和稳定风险有准确的理解。
例如 - BYOD 的商业案例利益通常被呈现为这样一种看法,即让员工购买自己的设备可以节省公司的钱,并增加员工的生产力,因为许多员工似乎更喜欢使用自己的设备进行个人和工作相关任务。另一方面,有数十亿种免费应用程序和软件可以加载到人们的个人设备上。这意味着存在比可能被考虑或减轻的更多的漏洞组合(再次是向量)。
BYOD 将在几年内变得稳定并发挥作用,但我们目前尚未完全开发必要的控制和安全机制。对于每位建议提出新解决方案以保护人们个人设备的专家,我可以找到 4 或 5 位提出不同方式来击败所提出保护的其他专家。这清楚地表明存在重大且持续的风险。
也可以说,由单个移动设备提出的漏洞风险太小,不值得关注。毕竟,黑客可以从连接到网络的单个设备中偷取什么呢?
上面的例子只是部分考虑的风险的一个例子。这些小的个体风险是可以汇聚在一起(请参阅第十二章“堆叠风险”)导致通常被称为重大网络安全漏洞的情况。或者,正如英国信息专员办公室(ICO)在 2014 年所称的那样 - 一个“非微不足道的数据泄露”。
控制对数字设备的访问以及它们存储和交易的信息是网络安全中最重要的两个要素之一。
如果你需要一个设备完全安全,那么将电子信息视为数字设备中的水一样简单。你不希望水泄漏出来;你只想在想倒出水时能倒出来。同样的事情也适用于任何数字设备。你(和其他人)打孔倒水越多,设备泄漏的可能性就越大。
就像在管道系统中一样,你也必须担心信息流动的任何地方的访问、泄漏和弱点。你的网络管道越多样化、选项越多,保持其安全性就越困难。
当你考虑一个大型组织的网络管道有多广泛时,你开始理解实现和维持安全环境所涉及的巨大困难。出于这个非常原因,组织通常有不同的安全“区域”,只有在保存和交易最敏感信息的地方才应用最高级别的安全性。
例如,考虑一下现代飞机的飞行控制系统。它由计算机控制,但也被设计为完全封闭的。如果你在一架提供互联网连接的飞机上使用电子设备,这将使用与飞行控制完全不同的系统。它们唯一可能共享的连接是使用飞机的电力系统。或者至少在 2015 年之前是我认为的。
我自己是一名私人飞行员,所以对波音在 2003 年申请的专利文章很感兴趣。他们称之为波音霍尼韦尔不间断自动驾驶系统(BHUAP)。它本质上是一种反劫持系统,可以从飞行舱中移除所有的动力和控制权,而飞机仍然能够运行和飞行。其专利可以在公开记录中找到。
在 BHUAP 检测到与预期飞行参数有显著偏差的情况下,系统可以从飞行员手中转移飞机的控制权,并转而遵循预先编程的紧急飞行计划,或者它可以通过一个称为“Mode S Transponder”的标准飞机设备打开无线电频率链接,接受远程飞行管理。
或许你认为这些系统将来会被安装吗?或许它们已经安装好了?也许你认为测试这些系统的人能够考虑到每一种可能的情景和故障保护?BHUAP 四处都是谜,但有一点是十分明确的——远程飞行管理的能力为错误的人获取控制权打开了大门。
自本书第一版出版以来,也已经有一些飞行控制系统通过机载娱乐系统可访问的成功演示。
这些事实以及适用于其他数字系统的类似事实应该让你初步了解网络安全是什么以及它为何如此重要…以及为许多网络安全专业人员带来压力的原因。
你晚上睡得香吗?
从事网络安全工作的人并不多。
这是因为我们知道,大多数组织和个人对技术的采用和依赖远远超过了他们完全保护它的能力。
如果来自他人技术选择的损害仅损害到这些个人,那么网络安全对你和我就不会有影响。不幸的是,损害远不止应该负责保护这些技术的人。
增长和权力机会鼓励组织和个人,甚至是那些在关键产品和服务领域的人,采用并依赖于数字设备生态系统,这些数字设备往往只在一定程度上受到他们自己的控制。
每当发现一种全新类型的漏洞或攻击方法时,你通常仍然能闻到用于缓解问题的控制措施上的油漆味。
| 控制* - (在安全和合规性的背景下)调节某事物的方法,通常是过程或行为,以实现期望的结果,通常会导致风险降低。 |
在我们更深入地了解当前网络安全概念和实践之前,现在是时候看看会发生哪些事情导致网络安全漏洞。
请记住,网络安全仍然涉及人类攻击人类。网络安全与传统的防范攻击方法之间唯一的区别在于,用来伤害我们的武器是我们的数字设备及其所包含的敏感信息。
自该书第一版发布以来最深刻的变化之一是网络犯罪行业的巨大增长。由于网络安全普遍管理不善,许多环境,甚至是存在于大型组织中的环境,通常存在足够的防御漏洞,以至于犯罪分子可以轻易利用这些不足之处。
现在,网络犯罪产业每年产生数千亿美元的收入。让我们看一些真实网络安全事件的案例研究以及导致它们发生的因素。
| 网络不安全 - 担心你的网络安全弱点会给你个人或职业带来伤害。 |
二、关于案例研究
在本章中,我们将看到我们的第一个网络安全入侵案例,以及有关该事件的一些关键信息。
在每个案例研究中,我都使用了标准格式来帮助更容易地审查和比较事件。每个案例研究中的内容都基于公共领域中免费提供的信息。
从 2007 年到 2013 年左右,许多行业内部人士认为迅速采用新技术的风险被其带来的好处和/或收益所抵消。甚至政府机构也被发现对其安全状况感到满不在乎。现在他们不再那么漫不经心了,但仍然被抓住。
一个巨大的问题就是有多少事情发生在企业直接控制之外,但仍在他们的责任范围内。正如我们在上一章中所讨论的,信息通过和进入数字设备的流动类似于水通过管道系统的流动。
随着企业开始使用越来越多的供应商,他们实质上开始将他们的管道系统连接到许多其他他们没有直接维护并且通常没有检查安全弱点的管道系统上。
因此,在竞相外包任何不被认为绝对核心的企业运营活动的过程中,信息不再保留在一个封闭和受控的环境中。
由于许多网络安全漏洞源于这些外包连接,每当我被委托审计一个新环境时,我会查看信息流向何处以确定需要进行审计的内容。不仅仅是设备及其路径;还有参与构建、交付、管理和使用这些设备的人类过程。
并非所有网络安全风险都来自供应商;然而,供应商是一个例子,说明在寻求降低成本或增加收益时,人们更倾向于引入潜在的新风险。
每一个未知或未减轻的风险都会开启可以成为网络安全漏洞目标的漏洞。
随着越来越多的企业因为非常公开的技术故障而失去品牌信誉,每个人开始更加认真地对待风险。
真正改变主流企业董事会思维的时刻是在 2013 年末,当美国零售商 Target 发现超过 4000 万客户详细信息,包括信用卡号码,被盗。这种转变在 2014 年进一步加剧,当时另一家美国主要零售商 Home Depot 遭受了非常相似的事件。
在 Target 事件之前(以及之后)已经发生过大规模数据泄露;然而,这是第一个具有公众关注度、财务规模和整体企业损害影响的事件,一些网络安全专家早已预测到。
真正改变了主要政府对网络安全投资的时刻还发生在 2013 年,当时一名叫做爱德华·斯诺登的雇员泄露了超过一百万份机密文件的内容。在斯诺登获取这些文件的时间里,他并不直接为国家安全局工作;他为一个分包商工作。我们稍后将对这个案例进行深入探讨。
在这些案例研究中,这些组织对其问题根本原因的透明度帮助我们理解问题是如何产生的以及如何解决它们。
这些事件还揭示了一个事实,即遭受过重大、广为人知的数据泄露的组织的网络安全代表,比从未受到过攻击的公司中的同行更有可能意识到网络安全风险和对策。
遭受过重大、公开的数据泄露的组织,在评估和解决了他们的漏洞之后,未来遭受攻击的可能性大大降低。直到 2014 年,大多数企业只是在遭受一次或多次重大事件之后才进行被动投资。但由于这些事件的发生,情况已经改变。
尽管最大的网络安全事件受到最多的关注,但每天实际上都有成千上万个重要的事件发生。每小时,大型企业的网络都会遭受数百万次次小的、机会主义的、感知间隙的事件。
本书中选择的案例研究因为它们在全世界范围内广为人知,并展示了由于未经识别和/或未经减轻的风险而导致的损害潜力的良好混合。这些个别根本原因在孤立情况下通常似乎造成较小的风险,但当这些个别风险中的几个联合在一起时,它们具有严重损害组织的力量。
对于 Target 来说,出了问题并不只是一件事。实际上,在我们将要研究的所有案例中,你将看到一些被称为“控制失效”的问题存在,并相互叠加以导致数据泄露。我把这称为“叠加控制失效”,是由于未经减轻的“叠加风险”所导致的,并且在本书的后面专门有一章来探讨这个问题。
更近期的大规模数据泄露事件,包括 2016 年 4 月的莫萨克·冯塞卡公司、2016 年 5 月的 MySpace,以及雅虎,继续证明最大的妥协源自安全防御的多个漏洞。如果你的所有安全控制都是足够的,那么要偷走几亿个容易解密的密码是困难的。
在我们研究 Target 案例之前,为了理解发生了什么,我们需要定义一些与网络安全相关的术语:
| 黑客* - 一个试图未经授权地访问一个或多个数字设备的人。网络攻击 - 通过利用或针对数字设备采取积极或敌对行动。预期的损害不限于数字(电子)环境。 |
人造设备和软件不会通过自己的自由意志相互攻击。在任何网络攻击背后都有人,试图利用防御漏洞。这些人可能是黑客,也可能不是,但肯定会利用这种专业知识作为攻击的一部分。
任何网络攻击的主要目的是获得金钱和/或政治权力优势。黑客和数字设备只是使用的一些武器。因此,任何网络攻击的基本原则可以总结如下:
敌对方(威胁行为者)
寻求
漏洞(安全漏洞)
为了
利用(利用)
为了
财政或政治利益。
| 利用 - 利用安全漏洞。常见的利用通常会被命名。成为已知名称的利用的受害者可能是低安全性的迹象,比如糟糕的补丁管理。威胁行为者 - 一个涵盖人员和组织的术语,他们致力于发动网络攻击。威胁行为者的例子包括网络犯罪分子、网络活动分子和国家。补丁管理 - 一种控制过程,用于在数字设备上部署关键的临时软件更新。发布软件“补丁”通常是为了应对已经确定的关键缺陷或漏洞。未能及时应用新的临时软件更新可能会留下安全漏洞。因此,及时应用这些更新(补丁管理)被认为是维护有效网络安全的关键组成部分。 |
如果或当有人进入您的数字设备时,他或她造成的干扰和/或他或她窃取的信息只是次要目标。真正的目标是攻击者窃取金钱或通过窃取或破坏受害者的财产来获得杠杆。
例如,当信用卡数据被盗时,这并不会为盗窃者(网络犯罪分子)带来即时的金钱。信息必须被出售才能使攻击对犯罪者有利。盗窃并不是终点;信息的转售和收到现金才是。
如果有人闯入你的汽车并从内部偷走物品,修复由盗窃造成的损坏往往会远远大于被盗物品的价值。在网络世界中也是如此。攻击者只对自己的利润和成本感兴趣。他们只在有意为你制造高成本以执行某种赎金或勒索时才关心你的成本。
近期还有一些直接由网络攻击导致的物理破坏的例子。例如,2015 年 1 月,知名科技新闻网站《连线》报道了对一家德国钢铁厂的网络攻击,导致高炉无法关闭和随后的损坏。
www.wired.com/2015/01/german-steel-mill-hack-destruction/
黑客用于发动网络攻击的工具包括一种叫做恶意软件的东西。
| 恶意软件* – malicious software 的缩写。用来描述将破坏性、颠覆性或敌对性程序插入数字设备的行为。这类程序可以是有意的或无意的。有意的版本通常伪装或嵌入在看似无害的文件中。恶意软件有很多种类型;广告软件、僵尸网络、计算机病毒、勒索软件、恐吓软件、间谍软件、特洛伊木马和蠕虫都是有意的恶意软件的例子。黑客经常使用恶意软件进行网络安全攻击。僵尸网络 – robotic network 的缩写。一组连接的程序,旨在通过网络(包括互联网)一起运行以实现特定目的。目的可以是好的或坏的。这类程序的一些用途是帮助支持互联网连接;恶意用途包括接管计算机部分或全部功能以支持大规模服务攻击(参见服务拒绝)。僵尸网络有时被称为僵尸军团。 |
然而,并非所有网络安全问题都涉及外部威胁或内部技术缺陷。通过案例研究的描述,您将注意到所有网络安全漏洞都有一个非常强大的人类成分。
所有数字设备和用于设计、构建、操作和修复它们的过程都由人类控制。人类也最终设计、构建和操作用于攻击的所有恶意软件。
在我们看第一个案例研究——Target 公司的数据泄露之前,我们需要定义另外两个术语。当发现已知或怀疑的网络安全漏洞时会发生什么?
一旦发生任何重大的已知或怀疑的网络安全漏洞,应该启动一个名为事件响应的主要手动过程。
| 事件响应 – 一套准备好的流程,应在任何已知或可疑事件发生时触发,该事件可能对组织造成实质性损害。典型的阶段包括(i)验证事件的真实性并确定受影响的区域,(ii)控制问题(通常是通过隔离、禁用或断开受影响的部件),(iii)理解和根除根本原因,(iv)将受影响的组件恢复到固定状态,和(v)回顾过程以确定应进行的改进。如果有丢失受到通知要求的信息,事件响应还可能需要触发其他响应程序,例如违规通知程序。例如,超出电话簿条目中可能找到的任何个人信息的丢失通常被认为是可通知的事件。违规通知程序* – 某些类型的信息,一旦被怀疑或已知丢失或被盗,根据法律,必须在规定的时间内向一个或多个机构报告。所需的通知时间段由监管机构决定,但通常在 24 小时内。除了报告已知或疑似的丢失外,负责信息的主要组织(称为数据所有者)还必须迅速通知受影响者,并随后提交完整的根本原因分析和他们如何应对和解决问题的信息。为了满足这些法律义务,较大的公司通常有一个预定义的违规通知程序,以确保符合时间要求。数据泄露的罚款通常根据组织的违规和事件响应管理的充分性而增加或减少。 |
与本书的其余部分一样,以下案例研究中的信息完全基于公开领域中公开的信息。
这些案例研究是事件的故意简化版本。目的是理解主要事件及其原因。我们的目标是理解为什么存在安全漏洞,而不是分析攻击的每个阶段使用了哪些特定软件的具体版本。
面向初学者的网络安全(一)(2)https://developer.aliyun.com/article/1507742
