打造安全防御系统之正确评估安全威胁

　　正确评估安全威胁

　　当得知网络正在遭受利用漏洞的蠕虫的攻击时，网管员应该怎么办？是不必理睬还是立即测试并安装补丁？无论怎样，正确做出判断是及时阻断攻击的前提。　　

　　在企业网面临危险时，企业用户需要借助一种流程来评估新威胁是否值得大动干戈，在不予理睬还是立即行动之间做出选择。弄清以下问题，可以帮助网管员正确评估威胁的严重程度，以采取适当的安全措施。　　

　　新威胁影响使用的软件吗？

　　对于这一问题，最好不要太快做出回答，而是仔细研究后再做定论。企业的安全策略通常禁止使用某些应用（如即时通讯），但这并不意味着企业网中没有运行这些应用。有些员工总是喜欢自行安装一些被安全策略所禁止的应用程序，如对等文件共享、即时消息应用、媒体播放器和IRC。网管员要善于发现这些应用使用了哪些端口，然后检查防火墙日志寻找这些端口的传输流。提醒网管员仔细阅读各类厂商发布的安全公告。　　

　　威胁来自内部还是外部？

　　来自企业网内部的攻击比较容易跟踪，因为这些攻击者使用网管员熟悉的IP地址和MAC地址。来自外部的威胁比较难对付，因为整个Internet都是外部攻击者的藏身之地，很难发现和阻止这些攻击。当网管员阅读新的安全漏洞公告时，请留意像“远程执行”、“远程root”和“外部”等关键字眼。如果攻击是外部威胁，就需要网管员紧急处理它。　　

　　利用安全漏洞的困难有多大？

　　一些广泛报道的安全漏洞利用起来十分复杂，这种威胁与其说是实际的威胁不如说是理论上的威胁，这会减少试图利用这种漏洞的黑客数量，并会降低攻击得逞的机会。最具侵略性的攻击通常是没有多少知识含量的简单攻击。如果攻击十分简单，提醒网管员要认真对待。　　

　　攻击得逞会造成什么样的影响？

　　假设攻击得逞，攻击者会做出哪些动作？回答这一问题可以告诉网管员应当采取哪种紧急程度的响应。提醒网管员特别注意从以下几点加以考虑。　　

　　何时进行的最后一次备份：如果攻击得逞，公司一周的工作成果就会遭受损失，如果网管员昨天没有备份系统，就请认真对待这个威胁。　　

　　是否做好应对威胁的准备：大多数外部攻击是已知威胁的变种，不过也会出现新的攻击方式。如果企业的安全策略没有包括针对这种威胁的响应措施，提醒网管员认真对待。　　

　　当前企业网络的安全状况：与人体的健康状况一样，企业网络的健康状态也在不断变化。当企业网络到达衰弱期时（服务器频繁死机，网络不稳定），攻击造成的影响可能比网络稳定时要糟糕得多。这也意味着修补会造成企业网络更加不稳定。当网络变得难以捉摸时，提醒网管员谨慎行事。　　

　　威胁是针对个人还是非个人：攻击分为针对个人和针对非个人两种。发动非针对个人的攻击是为了满足攻击者的虚荣，为攻击者提供额外的带宽或处理能力，或为攻击者提供在真正攻击中隐藏身份的中继点。针对个人的攻击是针对个人所从事的工作而发起的。如果早期威胁报告表明攻击是针对个人所在的领域或相关领域，提醒网管员认真对待这种威胁。　　

　　采取措施的副作用是否比不采取措施更坏：实现百分之百的安全是不可能的。采取措施的目标是提高企业网络的安全性，使企业业务得以正常进行。保障基本业务要求是推动网管员做出安全响应的动力。对于一些威胁来说，合适的响应就是注意可能发生的情况并保持警惕，这需要网管员培养自己的判断能力，以做出适当反应。