一些司空见惯的安全术语常常被错误理解或混为一谈。某些安全术语之间的联系非常紧密,值得我们仔细"盘点"一下。今天,我们将探讨三个相互关联的术语 — 威胁 (Threat)、漏洞 (Vulnerability) 和攻击 (Exploit),并介绍安全专家如何利用这些术语来评估或判断风险。
记住我们的目标是 — 保障资产安全
我们采取安全措施的原因是保障资产安全。"资产"是指我们认为有价值的一切资源。资产可分为有形资产(例如黄金和珠宝)和无形资产(例如人才)。在企业网络中,数据库、托管数据库的服务器,以及连接服务器的网络均属于有形资产。诸如公司或个人敏感信息或声誉之类的其他无形资产的重要价值并不低于有形资产。
威胁及威胁因素
保护资产安全需考虑多种多样的威胁。威胁可能是指无意或蓄意破坏资产或导致资产无法使用。针对资产的恶意行为,无论其动机,皆属于威胁。自然因素、人为错误或疏忽大意也属于威胁范畴。这些威胁可能导致网络服务或电子邮件中断,以及敏感信息丢失或意外披露。在新兴发展的物联网行业,这些情况可能会带来人身伤害的隐患。识别威胁是安全管理中一个非常重要而又极其复杂的课题。
某些人或物可能会带来威胁。我们将其称为威胁因素。某些威胁因素来自个人或国家攻击者。心怀不满、能力不足或劳累过度的员工也可能会成为组织资产安全的威胁,安全管理必须全面考虑所有因素。
漏洞
漏洞是指资产安全保障措施中的缺陷。这一定义比传统定义更为宽泛 — 传统定义只考虑了系统或网络中的缺陷或弱点(参见 RFC 2828)。漏洞可能导致组织资产遭到损坏。我们使用的操作系统、应用程序或硬件皆可能存在漏洞。例如,未运行杀毒软件和反恶意软件的便携式计算机或移动设备可能遭受病毒感染。同样,如果不定期更新操作系统或应用软件,也可能会出现已经发现并修复的软件问题("漏洞")。(这些安全措施被称为漏洞缓解或漏洞削减。)
我们配置软件、硬件、电子邮件或社交媒体帐户的方式也可能存在漏洞。例如,我们管理隐私设置的方式可能导致将某款原本只打算在内部分享的产品提前公之于众。
可能会给攻击者制造可乘之机的用户行为也属于漏洞范畴。在企业工作站中使用管理员帐户上网冲浪的系统管理员可能会成为自动下载式恶意软件的受害者。虽然这种行为在 RFC 2828 中并未定义为漏洞,但其在当今互联网中带来的问题并不亚于软件漏洞。
最后,正如我们在第一篇提升安全意识博客中所讲,人们易受社会工程的伤害。事实证明,这是最难防范的漏洞之一。提升安全意识最终被公认为是防范漏洞的重要手段之一。
攻击
攻击这一术语常指软件程序利用漏洞攻击资产。许多攻击的目标都是控制资产。例如,成功攻击某个数据库的漏洞可让攻击者窃取数据库中的所有记录。这类攻击行为会导致数据泄漏。攻击也可以针对操作系统或应用程序漏洞,以获得在便携式计算机或服务器的远程管理权限或"运行"特权。(这是恶意软件的常见目标,我们将在以后的帖子中详细探讨。)
并非所有的攻击都与软件有关,不能将所有攻击行为都归类为黑客攻击。诈骗 — 诱使个人或员工透漏私密或敏感信息是惯用的攻击伎俩,而这并不需要黑客技术。
风险
搜索风险这一术语会发现很多定义。其中最简单易懂的定义是"攻击漏洞导致的威胁可能造成资产损失、破坏或毁灭"[TAG]。此定义将我们之前探讨的资产、威胁、漏洞和攻击这四个术语巧妙地联系在一起。在实践中,我们首先要厘清可能对各种资产造成损害的威胁,然后界定威胁因素可能会利用哪些漏洞来损害资产。显然,这项工作比较简单。而棘手的工作就是想办法减少威胁。要想彻底根除威胁、做到零风险是不可能的,因为风险总是或多或少存在的。主流观点是权衡减少威胁的成本与收益。理论而言,这需要明确我们愿意付出的成本与必须承担的风险。实践而言,这在互联网时代被证明是前所未有的艰难挑战。