组织的IT安全基础架构不是一个整体。它由多个部分组成,这些部分必须协同工作,以最大程度地降低组织防御遭到破坏的可能性。这些不同的部分具有不同的复杂程度以及不同的漏洞级别。
最薄弱环节的吸引力
为了更好地理解最薄弱环节原理,让我们来看一个假设的场景。想象一下,你的任务是将一件珍贵的艺术收藏品从一个破旧的偏远仓库转移到城市中心一个高度安全的银行保险库。你签了一个装甲运输服务来运输物品。
现在,假设有一个罪犯刚刚抓住这一迫在眉睫的举动,并打算窃取艺术品。他们战略的核心将是确定最佳的攻击地点和时间。在这种情况下,他们可能不愿冒险抵抗银行保险库或装甲运输服务。远程仓库可能是他们的最佳选择。这是最薄弱的环节。
网络犯罪分子的资源有限
黑客没有无限的资源和时间可支配。他们希望将精力用在他们工作中最容易获得最快收益的领域。攻击者会直奔阻力最小的路径。他们会攻击看起来最弱的安全控制,而不是看起来最强的安全控制。
无论是一个躲在地下室的少年黑客,还是一个由国家支持的复杂黑客组织,其原理都是一样的。他们将寻找最薄弱的环节,并试图从这一点突破组织的防御。当有更容易进入的方法时,没有人会故意花费时间和金钱试图渗透IT基础设施中戒备森严的部分。只有当他们无法突破最薄弱的环节时,他们才会去探索更具挑战性的选择。
最弱的环节不一定能获取最大收益
即使这样的链接比您组织的安全基础结构中的高度安全元素所获得的回报更少,也会出现最弱链接的优先级。想一想。银行持有的现金比当地的便利店多得多。抢劫银行肯定会在财务上更有利可图。但是,与便利店的保护措施较弱相比,普通抢劫者很难渗透到银行的先进安全技术上。便利店是更容易受到攻击并成功逃脱的目标。
人并不总是最薄弱的环节
从安全角度来看,最终用户,技术支持人员或基础架构管理员等通常被认为是最薄弱的环节,这个论点是有道理的。然而,人类由于决策的不可预测性和易受社会工程的影响而变得脆弱,最薄弱的环节也可能是安全功能或特征。
找出最薄弱的环节并降低风险
那么,如何识别IT安全设计中最薄弱的环节?您需要进行全面的风险分析。由此,您应该看到哪些风险是最容易利用的。但是仅仅找出最薄弱的环节是不够的。有了大量的风险数据,您可以按严重程度对风险进行排序,并首先专注于减轻最严重的风险,而不是那些最容易处理的风险。
安全资源应该根据风险的严重程度来分配。考虑到资源不是无限的,解决所有风险是不可能的。必须有一个终点,这是通过衡量可接受风险的参数来确定的。什么样的风险是可接受的,因人而异。
解决最薄弱的环节是根本
如果您打算为您的IT基础设施进行安全设计,那么识别和保护最薄弱的环节是至关重要的。解决最薄弱的环节意味着你可以避免一种类似于设置大门并期待攻击者直接跑向它的策略,而大门周围并没有限制他们的访问。
通过关注最薄弱的环节,您可以将时间和精力花费在最重要的风险上。只有在确定了自己的弱点之后,才能为您的系统提供一定的舒适度,使其免受攻击。