黑客并没有想象中那般神秘

只需搭建好基本的安全措施,即使黑客中的精英也无法洞穿你的防线。多数黑客入侵在合理的防控措施下都是可以避免的。

――罗杰.格兰姆斯

我所了解的公司都曾被黑客攻击过,而且其中很多甚至被完全入侵。虽然有些耸人听闻,但这与现实情况并无多大出入。也许很多读者认为探测并抵御入侵是不可能完成的任务,但事实却恰恰相反。

尽管我们在电影中看到的黑客总是无所不能的,但事实并非如此――即使是那些身价百万的职业黑客在入侵过程中也会留下蛛丝马迹。

探测黑客活动最重要的手段就是查看日志文件。大多数管理员并不开启该功能,即使开启了也意识不到日志的重要性。很多公司只开启服务器上的日志功能,而更多的恶意入侵却发生在用户的工作站上。

开启公司内所有的日志管理功能是相当必要的。简而言之,你需要对所有日志中涉及到的事件进行集中盘查,并且为每个异常动作指定响应事件。有些公司即使开启了日志管理系统,但每天会返回成百上千个无用警报,这样使得系统根本无法做出有效响应。一个设计良好的事件管理系统只会对那些真正可疑的事件做出响应。

同时,我很支持建立网络交通流。一般情况下,数据应该在服务器与工作站之间进行双向传输。因此,只在服务器间或工作站间传输的数据流应被视为重点。

抵御入侵的首要方法是防止终端用户不经意地执行木马程序。以下方法可实现该目标:第一,降低用户的权限,开启防护程序。第二,确保所有的软件(无论是操作系统还是应用程序)都打上了最新的补丁,特别是浏览器插件。第三,使用恶意软件查杀程序,包括基于主机的防火墙、杀毒软件、反钓鱼软件以及反垃圾邮件系统。第四,清楚公司数据的存放位置,这样就可以主动实施保护。第五,确保拥有全面的安全控制策略,并明确违规处罚制度以保证员工对条款的依从性。需要特别指出的一点是,不要因部署深度防御策略而忽略最基本的防护方法,否则将让你得不偿失。

对付黑客没有什么灵丹妙药,但只要注意上面提到的几个基本防御策略,抵御大多数黑客的攻击并不困难,完成简单的部署过程就能够达到全面的防御效果。