每个IT安全专业人员应该知道的12种根本漏洞

每年，IT安全专业人员都面临着数千个新的软件漏洞和数百万个不同的恶意软件程序，但只有12种根本漏洞会让这些软件漏洞和恶意软件程序攻击你的设备。了解这些根本原因，你就可以阻止黑客攻击和恶意软件。以下是十二种根本漏洞：

1. Zero-days

“零日漏洞”(zero-day)又叫零时差攻击，是指被发现后立即被恶意利用的安全漏洞。通俗地讲，即安全补丁与瑕疵曝光的同一日内，相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。

(1) 攻击威胁

虽然还没有出现大量的“零日漏洞”攻击，但其威胁日益增长，证据如下：黑客更加善于在发现安全漏洞不久后利用它们。过去，安全漏洞被利用一般需要几个月时间。最近，发现与利用之间的时间间隔已经减少到了数天。利用漏洞的攻击被设计为迅速传播，感染数量越来越多的系统。攻击由之前被动式的、传播缓慢的文件和宏病毒演化为利用几天或几小时传播的更加主动的、自我传播的电子邮件蠕虫和混合威胁。人们掌握的安全漏洞知识越来越多，就有越来越多的漏洞被发现和利用。一般使用防火墙、入侵检测系统和防病毒软件来保护关键业务IT基础设施。这些系统提供了良好的第一级保护，但是尽管安全人员尽了最大的努力，他们仍不能免遭受零日漏洞攻击。

(2) 防御方法

• 预防：良好的预防安全实践是必不可少的。这些实践包括谨慎地安装和遵守适应业务与应用需要的防火墙政策，随时升级防病毒软件，阻止潜在有害的文件附件，随时修补所有系统抵御已知漏洞。漏洞扫描是评估预防规程有效性的好办法。
• 实时保护：部署提供全面保护的入侵防护系统(IPS)。在考虑IPS时，寻找以下功能：网络级保护、应用完整性检查、应用协议“征求意见”(RFC)确认、内容确认和取证能力。
• 计划的事件响应：即使在采用以上措施后，企业仍可能受到“零日漏洞”影响。周密计划的事件响应措施以及包括关键任务活动优先次序在内的定义的规则和规程，对于将企业损失减少到最小程度至关重要。
• 防止传播：这可以通过将连接惟一限制在满足企业需要所必须的机器上。这样做可以在发生初次感染后，减少利用漏洞的攻击所传播的范围。

“零日漏洞”攻击对于警惕性最高的系统管理人员来说也是一种挑战。但是，部署到位的安全护保措施可以大大降低关键数据和系统面临的风险。

2. 未修补的软件

研究表明，未修补的漏洞是大多数数据泄露的根源。未修补的软件或未更新的软件可能是主要的IT安全风险。如果您不更新软件，则会让您容易受到攻击者攻击。一旦(安全)更新可用于软件包，攻击者就会针对尚未更新的软件包。在现实中，许多公司并不总是立即更新他们的浏览器，即使这附带了很大的风险。

这个问题很容易解决。确保始终更新软件。执行此操作的最佳方法是允许软件在更新可用时自动更新。这样，每当有人使用该软件时，它将检查是否有可用的更新，并将安装此更新，以确保您的计算机免受攻击。

3. 恶意软件

恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序，通过破坏软件进程来实施控制。腾讯移动安全实验室发布的数据显示，恶意软件由多种威胁组成，会不断弹出，所以需要采取多种方法和技术来进行反病毒保护。在上篇文章中，我们已经详细讨论过恶意软件，在此不再复述。

4. 社会工程学

社会工程学，准确来说，不是一门科学，而是一门艺术。社会工程学利用人的弱点，以顺从你的意愿、满足你的欲望的方式，让你上当的一些方法、一门艺术与学问。说它不是科学，因为它不是总能重复和成功，而且在信息充分多的情况下，会自动失效。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素。社会工程学是一种利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段，获取自身利益的手法。

现实中运用社会工程学的犯罪很多。短信诈骗如诈骗银行信用卡号码，电话诈骗如以知名人士的名义去推销诈骗等，都运用到社会工程学的方法。

近年来，更多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段，突破信息安全防御措施的事件，已经呈现出上升甚至泛滥的趋势。

社会工程学攻击是以不同形式和通过多样的攻击向量进行传播的。这是一个保持不断完善并快速发展的艺术。但一些社会工程攻击误区仍然时有出现，如下所示。

(1) 伪造一封来自好友的电子邮件：这是一种常见的利用社会工程学策略从大堆的网络人群中攫取信息的方式。在这种情况下，攻击者只要黑进一个电子邮件帐户并发送含有间谍软件的电子邮件到联系人列表中的其他地址簿。值得强调的是，人们通常相信来自熟人的邮件附件或者是链接，这便让攻击者轻松得手。

在大多数情况下，攻击者利用受害者账户给你发送电子邮件，声称你的“朋友”因旅游时遭遇抢劫而身陷国外。他们需要一笔用来支付回程机票的钱，并承诺一旦回来便会马上归还。通常，电子邮件中含有如何汇钱给你“被困外国的朋友”的指南。

(2) 钓鱼攻击：这是个运用社会工程学策略获取受害者的机密信息的老把戏了。大多数的钓鱼攻击都是伪装成银行、学校、软件公司或政府安全机构等可信服务提供者，例如FBI。

通常网络骗子冒充成你所信任的服务提供商来发送邮件，要求你通过给定的链接尽快完成账户资料更新或者升级你的现有软件。大多数网络钓鱼要求你立刻去做一些事，否则将承担一些危险的后果。点击邮件中嵌入的链接将把你带去一个专为窃取你的登录凭证而设计的冒牌网站。

钓鱼大师们另一个常用的手段便是给你发邮件声称你中了彩票或可以获得某些促销商品，要求你提供银行信息以便接收彩金。在一些情况下，骗子冒充FBI表示已经找回你“被盗的钱”，因此需要你提供银行信息一边拿回这些钱。

(3) 诱饵计划：在此类型的社会工程学阴谋中，攻击者利用了人们对于例如最新电影或者热门MV的超高关注，从而对这些人进行信息挖掘。这在例如Bit torrent等P2P分享网络中很常见。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!