从现实世界的数据突破中吸取的五个教训

核心提示： 安全漏洞扫描器也跟不上已经发布的安全漏洞，不能及时有效地实施应用程序扫描，从现实世界的数据突破中吸取的五个教训(4)，入侵检测和防御系统也像杀毒产品一样有同样的缺陷，IT团队能做什么?对于最开始应用安全技术的人们来说，但是，沉默并不总是最佳的反应，要适度信任技术，不要过多地信任技术

安全漏洞扫描器也跟不上已经发布的安全漏洞，不能及时有效地实施应用程序扫描。入侵检测和防御系统也像杀毒产品一样有同样的缺陷。

IT团队能做什么?对于最开始应用安全技术的人们来说，要适度信任技术，不要过多地信任技术。不要指望你的杀毒软件能够找到客户的恶意软件。安全漏洞扫描器只能作为辅助的测试手段以保证你的补丁管理系统在发挥作用。假设你的防火墙能够封锁自动的扫描，可是一个熟练的攻击者会穿过周边设备。

入侵检测和防御系统有时候是有用的。但是，我们经常发现路由器网络流量数据和防火墙“允许”记录能够提供黑客去了哪里的更好的信息，帮助测量突破影响的范围。

从运营的观点看，可以考虑部署一种事件管理技术以得到多个系统活动的状况，或者至少实施集中的记录管理以帮助搜索、评估和存储记录。

还要考虑你的对手的技能和动机，以及有必要采取什么控制措施检测他们的存在。理解他们的能力正在变得越来越重要。

4. 信任，但是要验证

第四个教训是简单的，但是经常容易被忘记：评估第三方的系统。正如我们的售货机的例子显示的那样，尽职的安全调查应该由内部团队或者一个第三方的应用程序安全公司执行。不要忽略容易摘到的果子，如默认的口令。

5. 做好应对事件的计划

最后，要知道糟糕的事件反应比根本没有事件反应更糟糕。我们经常与IT团队销毁了证据的企业打交道。他们销毁证据也许是故意的，也许是因为其它原因，如重建系统、删除硬盘数据、进行数据库分段或者允许第三方提供商访问被攻破的系统。发现这些问题变得很严重，他们可能会销毁或者破坏能够在犯罪起诉中使用的证据。

要拥有一个基本的程序--甚至就像“在你检查事件反应程序之前什么也不要做”这样最基本的程序。有许多免费的材料，范围包括从NIST 800-61指南到Visa的“如果被攻破”指南。使用网络搜索很容易找到这两个文件。

安全突破对于有关的企业和IT专业人员是很痛苦的。但是，沉默并不总是最佳的反应。揭露常见的错误可帮助企业理解他们面临什么问题。