組織的IT安全基礎架構不是一個整體。它由多個部分組成,這些部分必須協同工作,以最大程度地降低組織防御遭到破壞的可能性。這些不同的部分具有不同的復雜程度以及不同的漏洞級別。
最薄弱環節的吸引力
為了更好地理解最薄弱環節原理,讓我們來看一個假設的場景。想象一下,你的任務是將一件珍貴的藝術收藏品從一個破舊的偏遠倉庫轉移到城市中心一個高度安全的銀行保險庫。你簽了一個裝甲運輸服務來運輸物品。
現在,假設有一個罪犯剛剛抓住這一迫在眉睫的舉動,并打算竊取藝術品。他們戰略的核心將是確定最佳的攻擊地點和時間。在這種情況下,他們可能不愿冒險抵抗銀行保險庫或裝甲運輸服務。遠程倉庫可能是他們的最佳選擇。這是最薄弱的環節。
網絡犯罪分子的資源有限
黑客沒有無限的資源和時間可支配。他們希望將精力用在他們工作中最容易獲得最快收益的領域。攻擊者會直奔阻力最小的路徑。他們會攻擊看起來最弱的安全控制,而不是看起來最強的安全控制。
無論是一個躲在地下室的少年黑客,還是一個由國家支持的復雜黑客組織,其原理都是一樣的。他們將尋找最薄弱的環節,并試圖從這一點突破組織的防御。當有更容易進入的方法時,沒有人會故意花費時間和金錢試圖滲透IT基礎設施中戒備森嚴的部分。只有當他們無法突破最薄弱的環節時,他們才會去探索更具挑戰性的選擇。
最弱的環節不一定能獲取最大收益
即使這樣的鏈接比您組織的安全基礎結構中的高度安全元素所獲得的回報更少,也會出現最弱鏈接的優先級。想一想。銀行持有的現金比當地的便利店多得多。搶劫銀行肯定會在財務上更有利可圖。但是,與便利店的保護措施較弱相比,普通搶劫者很難滲透到銀行的先進安全技術上。便利店是更容易受到攻擊并成功逃脫的目標。
人并不總是最薄弱的環節
從安全角度來看,最終用戶,技術支持人員或基礎架構管理員等通常被認為是最薄弱的環節,這個論點是有道理的。然而,人類由于決策的不可預測性和易受社會工程的影響而變得脆弱,最薄弱的環節也可能是安全功能或特征。
找出最薄弱的環節并降低風險
那么,如何識別IT安全設計中最薄弱的環節?您需要進行全面的風險分析。由此,您應該看到哪些風險是最容易利用的。但是僅僅找出最薄弱的環節是不夠的。有了大量的風險數據,您可以按嚴重程度對風險進行排序,并首先專注于減輕最嚴重的風險,而不是那些最容易處理的風險。
安全資源應該根據風險的嚴重程度來分配。考慮到資源不是無限的,解決所有風險是不可能的。必須有一個終點,這是通過衡量可接受風險的參數來確定的。什么樣的風險是可接受的,因人而異。
解決最薄弱的環節是根本
如果您打算為您的IT基礎設施進行安全設計,那么識別和保護最薄弱的環節是至關重要的。解決最薄弱的環節意味著你可以避免一種類似于設置大門并期待攻擊者直接跑向它的策略,而大門周圍并沒有限制他們的訪問。
通過關注最薄弱的環節,您可以將時間和精力花費在最重要的風險上。只有在確定了自己的弱點之后,才能為您的系統提供一定的舒適度,使其免受攻擊。
