【书评】《反入侵的艺术》启示录

  一本书读完之后，总应该收获点的什么，这里对文中感兴趣的一些启示和对策等做一个摘录。书中的故事给我的感觉是时间都比较我久远的，最晚的一个时间点是2002年，故事的内容感觉比较真实，涉及的技术细节不多，主要还是以故事给我们带来一些启示，以及针对故事中存在的安全隐患给出相应的对策。不管您是安全相关领域人员还是普通的计算机用户，这本书都值得阅读和品味。

伪随机数生成器并不能真正生成随机数。

始终保持操作系统和应用程序是软件供应商发布的最新版本。始终保持警惕，记得随时更新和安装与安全相关的补丁。

使用深度防御模型（defense in depth）。
将公众可访问的系统置于公司防火墙的“非军事区”（Demilitarized Zone，DMZ）。DMZ是从军事或政治领域借用的词语，指是的建立一个网络结构，以此将公众访问的系统（如网络服务器、邮件服务器、DNS服务器以及其他类似的东西）与公司网络的敏感系统分开。

仅仅靠保护网络边界是无法阻止计算机入侵的。内部人员往往比我们在报纸上读到的入侵者更具威胁。

从事系统安全工作的每一个人都可以从黑客身上学到很多。黑客在入侵过程中可能会触犯法律，但他们却提供了有价值的服务。事实上，许多“专业”安全技术人员在过去就是黑客。

不能忽视的一个关键措施是确保适当的配置管理。

更换默认设置和使用安全的口令可以使你的公司免受破坏。有一句古老的工程方面的话说，当什么都不对的时候，去看说明书。

其实大量的黑客攻击都可以通过遵循正确的安全措施和忠于职守来防范。但是很多公司总是因为忽视偶然安装的开放代理而造成自己的系统存在重大缺陷。

保证目录和文件具有恰当的权限，是很重要的。

针对包含敏感信息的计算机，使用数字锁定键、Alt键和数字小键盘来建立口令，这些键敲出来的特殊字符无法显现，这种方法是我极力推荐的。

公司职员要克服那种心态，对不熟悉的人进行盘问不要觉得不好意思，比如从安全入口进入办公楼或工作区时。

黑客是学出来的，不是天生的。

要提高计算机对黑客攻击的防御能力，进行安全评估或审计是一个非常重要的环节，而更重要的是要合理管理网络以及网络内的所有系统。

世间不是每件事情都如你所愿的那么完美，尤其当牵涉到人的参与时更加如此。

系统配置不当是导致大量入侵的直接原因，例如过多开放的接口，脆弱的文件读写许可和Web服务器的不当配置。

如果你留下一个漏洞，攻击者早晚会发现它。最好的安全实践就是确保所有系统和设备的接入点，不管隐蔽与否，都应该屏蔽来自任何不信任网络的访问。

需要再一次指出，在系统和设备将要工作之前，任何设备的所有默认口令都应该更改。

希望你至少记住以下以条：
形成一个补丁管理的规程，确保所有必要的安全修补及时执行。
针对敏感信息或计算资源的远程访问请求，进行严格的认证，而不是使用预先提供的静态口令。
更改所有的默认口令。
使用一个深层防护模型，这样，即使在一个点上的防护措施失败，也不会危及整个系统的安全，并且定期根据一些基本原则检验这个模型。
建立一个组织内部的安全策略，对入站和出站的通信连接都进行过滤。
加强对所有请求访问敏感信息和计算资源的客户端系统的管控。请不要忘记，执著的攻击者也会把客户端系统视为目标，因为他们可以截获一个客户端与组织网络之间的合法连接或利用两者间的信任关系。
使用入侵检测设备，来确认可疑的通信，或者识破利用已知漏洞的企图。这样的系统也可以揪出一个恶意闯入者或攻击者，他或许已经侵入了安全边界。
启用操作系统和关键程序的安全审计功能。另外，确保日志信息保存在一个安全主机上，该主机不提供其他服务，而且只有最小数量的用户账户。

如果你向迎面走近的某人搭话，他们的警备心几乎总是比较强，但如果你等快要擦肩而过时再说话，他们就不那么戒备了。

与我们大多数人不同的是，社交工程师利用一种具有操纵性、欺骗性和不道德的方式来达到彻底毁灭对手的效果。

建立信任感是社交工程师进行攻击的第一步，也是一切后续行动的基石。

当我们在系统式思维状态下，我们对请求做出判断前会认真理性地思考。然而，一旦我们处在启发式思维状态下，我们就会草率地做出决定。

顺从冲动：社交工程师往往通过不断的请求，使攻击目标逐渐形成顺从冲动。一般，他们会从一些对攻击目标来说轻而易举而又无关紧要的请求开始。

归因是指人们解释自己或他人行为的方法。社交工程师的任务之一就是让攻击目标将技能、信任、信誉、友善等特征归因给社交工程师自己。
社交工程师也许会走向门厅接待员，在柜台上放上5美元的纸币，然后说：“我在地上捡到的，是不是谁掉在地上的？”接待员可能因此就会将诚实和值得信任的特质归因给他。
如果我们看到一们男士为老妇人开门，我们会认为他很有礼貌，但是如果他是为一位妙龄女郎开门，那么我们就会对他产生完全不同的归因。

几乎没有人注意去应对社交工程师所带来的威胁。

可口可乐自动售货机的口令就是“pepsi”（百事可乐）！

如果每个计算机用户今晚就更改自己的口令——而且不把新口令留在容易找到的位置，那么明天早晨，我们就会突然发现自己处在一个更安全的世界。

书中的启示与对策远不止这些，这里仅仅是本人对文中感兴趣的一些启示和对策等做一个摘录。

至版权所有者：如果觉得有何不绥，请联系更正或删除。