从现实世界的数据突破中吸取的五个教训

核心提示： 2. 增加辅助的控制内部防火墙、加密或者数据库监视软件等辅助控制措施能够提前向安全人员报警或者在入侵者绕过主要控制措施之后阻止其攻击，遗憾的是，从现实世界的数据突破中吸取的五个教训(3)，我们很少看到有效地实施辅助控制，例如，然后制作一个这个恶意软件的特征，此外，我们看到企业在网络内部增加额外的

2. 增加辅助的控制

内部防火墙、加密或者数据库监视软件等辅助控制措施能够提前向安全人员报警或者在入侵者绕过主要控制措施之后阻止其攻击。遗憾的是，我们很少看到有效地实施辅助控制。

例如，我们看到企业在网络内部增加额外的一层防火墙以便更好地隔离重要的系统。我们强烈推荐采用这种做法。然而，人们常见的是缺少政策设置的内部防火墙，简单地允许所有的通讯经过，或者是采用没有人理解的笨拙的政策的防火墙，因为缺少说明书。在我们处理的一些案例中，如果他们恰当地设置防火墙，有些攻击是可以阻止的。

聪明的机构将发现他们能够在什么地方使用分段以便更好地隔离敏感的或者重要的系统和数据，并且根据那个分段创建第二和第三控制系统。这个问题是 “如果系统被攻破，对于我们损害最严重的东西是什么?”因此，厂商会在存储产品设计或者控制组装线的系统周围增加安全层次。一个工具也许会分段网格控制系统。一个支付处理机构或者商家应该把重点放在处理支付的系统上。

但是，不要停留在加入这些备用的控制措施，然后就不管了。要当心只顾减少经营开支从而完全导致减少风险的控制价值失效的笨蛋政策。配置、记载和监视这些控制措施。投入一些资源定期检查控制系统的记录，小心修改和异常活动。做得正确，这些额外的控制措施就能挽救你。做得不对，它们就会提供虚假的安全感，使这个环境更复杂。

3. 了解你的局限性

第三个教训是理解你的安全系统的局限性。我们有杀毒软件、防火墙、网络和主机入侵检测系统、身份识别、PKI、VPN、NAC、安全漏洞扫描器、数据丢失预防工具、安全信息、事件管理平台。尽管如此，安全突破仍在继续发生。

这是因为控制措施的发展没有攻击者的能力进步的那样快。我们研究了一些案例。在其中的一些案例中，一些完全使用了更新的杀毒软件特征的系统没有检测出活跃的木马程序、键盘记录器和嗅探器。大多数病毒特征的开发周期仍然是采用过时的假设制作的。这个假设是恶意软件成功地广泛传播，让厂商了解这个恶意软件，然后制作一个这个恶意软件的特征。此外，攻击者利用包装把自己隐藏起来以躲避病毒扫描器。