避免这3个步骤被黑

到目前为止，我认为我还没有碰过我最喜欢的歌曲之一， 计算机安全，我相信这将是今天我要告诉您的话题🙂我希望在这篇简短的文章之后，您可以对如何帮助您更好地控制风险以及如何同时减轻许多风险有一个更好的了解。

到处都有风险

不可避免地，仅在今年，我们就已经发现并分配了超过15000个漏洞 公众。 我怎么知道？ 因为我的工作之一是检查我们在Gentoo中使用的程序中的CVE，以查看我们是否运行了易受攻击的软件，所以我们可以对其进行更新，并确保分发中的每个人都拥有安全的设备。

CVE

常见漏洞和暴露 对于其英文缩写，它们是分配给每个现有漏洞的唯一标识符。 我可以很高兴地说，一些Gentoo开发人员支持人类的福祉，研究并发布了他们的发现，以便可以对其进行纠正和修复。 我最喜欢阅读的最后一个案例是 选项出血； 影响全球Apache服务器的漏洞。 为什么我说我为此感到骄傲？ 因为它们对整个世界都有利，所以将脆弱性秘密化只会让少数人受益，而根据目标的不同，其后果可能是灾难性的。

CNA

CNA是负责请求和/或分配CVE的实体，例如，我们有Microsoft的CNA，负责对它们的漏洞进行分组，解决它们并为其分配一个漏洞。 CVE 以便以后注册。

措施类型

首先，让我们澄清一下，没有一种设备是100％安全或将是XNUMX％安全的，这是一个很普遍的说法：

唯一100％安全的计算机是一台锁定在保险库中，与互联网断开连接并已关闭的计算机。

因为这是真的，风险永远存在，无论是已知的还是未知的，这只是时间问题，因此面对风险，我们可以执行以下操作：

减轻它

减轻风险无非就是降低风险（没有 取消）。 在企业和个人层面上，这都是非常重要和关键的一点，一个人不想被“黑”，但说实话，链中最薄弱的点不是设备，程序，甚至过程。 人类。

我们都有一种责备他人的习惯，无论是人还是物，但是在计算机安全中，责任是并且将永远是人类的责任，这不一定是您直接承担的责任，但是如果您没有遵循正确的道路，您将会问题的一部分。 稍后我会给你一个小技巧，以保持一点安全感😉

转移

这是一个众所周知的原理，我们必须将其想象为 银行。 当您需要照顾自己的钱时（我是指身体上的），最安全的方法是将钱交给有能力比您更好地保护钱的人。 您不需要拥有自己的保险库（尽管会更好）来照顾事物，您只需要拥有（您信任的）某人来保存比您更好的东西。

接受

但是，如果第一个和第二个都不适用，那就是真正重要的问题出现的地方。 这个资源/数据/等对我来说值多少钱？ 如果答案很多，那么您应该考虑一下前两个。 但是如果答案是 不是那么多也许您只需要承担风险。

您必须面对现实，并非所有事情都是可缓解的，而某些可缓解的事情会消耗​​大量资源，以至于几乎不可能在无需更改和投入大量时间和金钱的情况下应用实际的解决方案。 但是，如果您可以分析要保护的内容，而在第一步或第二步中找不到它的位置，那么只需以最佳方式将其放在第三步中，不要给它带来更多的价值，并且不要将其与确实具有价值的东西混在一起。

保持最新

这是逃避数百个人和企业的真理。 计算机安全并不是要每年进行3次审核，并且期望在其他350天内什么都不会发生。 对于许多系统管理员来说，这都是正确的。 我终于能够证明自己是 LFCS （我将其留给您以查找在哪里进行了🙂），这是课程中的关键点。 保持设备及其程序的最新状态至关重要， 关键，以避免大多数风险。 当然这里有很多人会告诉我， 但是我们使用的程序在下一版本中不起作用 或类似的东西，因为事实是您的程序是定时炸弹，如果它在最新版本中不起作用。 这将我们带到上一节， 您能缓解吗？，您可以转移吗？，您可以接受吗？...

谨记，请记住，统计上75％的计算机安全攻击来自内部。 这可能是因为您在公司中拥有毫无戒心或恶意的用户。 或者说他们的安全流程并未使 黑客 闯入您的场所或网络。 而且几乎90％以上的攻击是由过时的软件引起的， 没有 由于存在漏洞 零日.

像机器一样思考，而不像人一样思考

这是一个小建议，我从这里离开您：

像机器一样思考

对于那些不了解的人，现在我举一个例子。

我介绍你 约翰。 在安全爱好者中，这是您进入安全世界的最佳起点之一 道德黑客. John 他和我们的朋友相处融洽 กระทืบ。 基本上，他会获取一份递给他的列表，并开始测试组合，直到他找到解决所需密码的密钥。

Crunch 是组合的生成器。 这意味着您可以告诉Crunch您想要一个长度为6个字符的密码，该密码包含大小写字母，Crunch将开始一个一个地测试...类似：

aaaaaa,aaaaab,aaaaac,aaaaad,....

他们会想知道要花多长时间才能确定整个清单……花费的时间不会超过几个 分钟。 对于那些张开嘴的人，让我解释一下。 正如我们前面所讨论的，链条中最薄弱的环节是人及其思维方式。 对于一台计算机来说，测试组合并不困难，它具有很高的重复性，并且多年来，处理器已经变得如此强大，以至于进行一千次甚至更多的尝试不会花费超过一秒钟的时间。

但现在好了，前面的例子是 人类的思想 现在我们去 机器思维:

如果我们告诉Crunch使用以下命令开始生成密码： 8 数字，根据以前的相同要求，我们已经从分钟更改为 小时。 猜猜如果我们告诉您使用10个以上，会变成什么 天。 我们已经超过12个 个月除了列表将具有无法存储在普通计算机上的比例之外。 如果达到20岁，我们谈论的是计算机在数百年内将无法解密的事情（当然是使用当前的处理器）。 这有其数学上的解释，但出于篇幅的原因，我在这里不作解释，但最令人好奇的是，它与 排列，“ 组合的 和 组合。 更确切地说，对于我们加长的每个字母，我们几乎有50 的可能性，所以我们将有这样的事情：

20^50 我们上一个密码的可能组合。 在计算器中输入该数字，以查看长度为20个符号的可能性。

我怎么会觉得像一台机器？

这并不容易，不止一个人会告诉我要连续考虑20个字母的密码，尤其是在以前的密码概念中 话 键。 但让我们看一个例子：

dXfwHd

对于人类而言，这很难记住，但是对于机器而言则极其容易。

caballoconpatasdehormiga

另一方面，这对于人类来说非常容易记住（甚至很有趣），但是对于 กระทืบ。 现在有很多人会告诉我，但是不建议同时连续更改密钥吗？ 是的，建议这样做，所以现在我们可以用一块石头杀死两只鸟。 假设这个月我正在读书 堂吉x德·德拉·曼恰（Don Quixote de la Mancha），第I卷。 在我的密码中，我将输入：

ElQuijoteDeLaMancha1

20个符号，这是在不认识我的情况下很难发现的，而且最好的事情是，当我读完这本书（假设他们不断阅读🙂）时，他们将知道他们必须更改密码，甚至更改为：

ElQuijoteDeLaMancha2

progress已经在进行中了，它一定可以帮助您确保密码安全，同时提醒您完成书本。

我所写的内容已经足够了，尽管我很想能够谈论更多的安全性问题，但我们还是将其再讨论一次🙂问候