【IT168 评论】要打败黑客，有时需要一些创造力。很多恶意黑客已经严重影响了程序员的声誉，他们是über-geniuses，可以在几秒钟内猜出任何密码，黑掉任何系统，并通过单次点击造成多个不相关网络的广泛破坏......好吧，这都是好莱坞里的情节。如果和黑客打过交道，你就会发现其实黑客没这么无懈可击。

每年，有一部分黑客会尝试一些新技术，但大部分时间都是在重复尝试。它不需要supergenius来检查丢失的补丁或进行社会性攻击。一般来说，黑客是一个行业：一旦你学到了一些技巧和工具，其余的就是常规的。真正有灵感的工作是安全防守者，那些成功攻击黑客的人。

以下是计算机安全防御者对付黑客的一些技巧，很多陷阱，黑客很难不落进去。

1、数据驱动

数据驱动的防御已经存在多年了。但是，在过去几年里，使用数据更好地检测，定义和修复威胁的概念几乎活跃于每一个计算机安全厂商中。在这之中，云的发展确实有很大帮助，使得收集和分析大量数据变得相对容易。

很多公司，比如Crowdstrike，FireEye，CounterTack等，都可以通过分析网络数据流，注意到任何与已知不良网络的出站连接或环境中可能存在的任何高级持续威胁(APT)。微软的高级威胁分析可以确定黑客是否试图窃取用户的数据库登录凭据。有些公司可以通过观看全球数以万计的受管节点的活动来快速检测垃圾邮件，钓鱼链接和恶意软件，他们可以看到一家公司无法察觉的区域，如果您没有将数据纳入安全实践中，那么现在是时候采取措施了。

2、用假数据钓黑客

将内部公司系统的数据稍作修改后丢弃，并以此为诱饵让黑客劫持。毕竟，数据泄漏很难阻止，黑客也难以搜索到所有数据。使用数据泄漏预防(DLP)软件和外部站点来监控内部网络，并泄露一些假冒数据，并让黑客窃取，这是一个不错的想法。

比如，一家医院曾经修改了病人的姓名，并故意将部分假数据泄露出去，而黑客拿到了部分数据则心满意足的离开，医院还可以借此机会追踪到黑客。而只有医院高级管理层才知道，那些病人的姓名和信息都是假的。

展开全文

3、用“蜜罐”养一个网站

如果上面的假数据被黑客识破，怎么办?没事，你可以部署一整套假网站，其中的所有数据都是伪造的。服务器、客户端、网络设备等等都很齐全，一旦这个网站建好，试图接近并从网站获取数据的所有人都应该被调查。

Cymmetria和KFSensor等公司提供类似的服务，存在数十种开放源代码可供选择。这些对黑客而言，看起来更加现实。

4、关注黑客发布网站

知己知彼，百战百胜。通过跟随黑客网站(如Pastebin)或黑客网站上的网站，你将获得有关新漏洞的洞察信息，甚至可以看到被窃取的信息。如果黑客数据存储包括你故意泄露的假数据，这就代表你的公司已经是黑客的目标之一了。这是一个很好的检测策略，将给你一些时间关闭漏洞，跟踪攻击者，并搜集足够多的证据。

除此之外，很多黑客的帖子包括成千上万的用户登录名和密码，通常是社交媒体和其他比较受欢迎的消费者网站，这对你来说也是一个很有价值的信息，可以根据公司内网上的数据使用密码测试，找到相应的员工。如果匹配成功，记得告诉员工不要在其他网站上使用和公司内相同的密码。

5、通过设置假电子邮件帐户来标记黑客

与假数据一样，您可以创建不能从公司外部搜索的假电子邮件帐户，不包括在任何组列表中。这样，他们只能通过内部来源访问，不被任何人使用或与任何真实账户相关联。监控发送到这些帐户的电子邮件实例，特别是从公司外部。它不应该收到任何电子邮件，所以发送给它的任何邮件都是垃圾邮件，或表示有人侵入了电子邮件系统。

6、把黑客推到黑洞，并监视他们的活动

黑洞是久经考验的安全血统，通过创建一个可以检测黑客活动被分流的位置，人为限制黑客的活动。您可以使用DNS或IP地址管理服务创建一个黑洞，当黑客(或恶意软件)访问不存在的DNS名称或IP地址时，例如扫描IP地址范围时，可以将黑客分流到 一个黑洞，配置任何数量的负性能，如严重延迟，数据包损坏，重传和超级分组碎片等。

7、设置诱饵陷阱，反获取信息

你可以创建一些小游戏，当然游戏也是假的，可以设定黑客在攻击假网站或获取假数据时，打开摄像头或获取定位信息，以尽量揭开黑客的真实身份。除非黑客在断开连接的环境中打开了诱饵陷阱，否则阻止所有从未执行的出站流量，所需的所有信息都将被收集到。

8、隐藏补丁信息

如果你负责发送补丁，你肯定会知道这是一件多么棘手的事情，你必须及时修补所有关键漏洞。但一旦你发布了新的补丁，黑客会立即反向设计来定位漏洞，这样一来，任何补丁反倒成了黑客进入被攻击系统的门户。

如果需要提供补丁，可以考虑隐藏补丁发布的具体信息，让黑客看到的任何补丁看起来都是无关的垃圾字节，这一策略已经被大多数公司应用了。

9、零管理员设置

几十年来，获取root权限，本地或域管理员就拥有了更高的访问权限，但这也一直是黑客的攻击重点。通过“零管理”的方式，管理员作为非特权用户登录系统，一旦需要执行管理任务时，可以临时要求一个高度特权的账户或会话，这些账户会受到时间的限制、任务限制和设备限制，密码也是动态获取的。因为凭证必须被请求和证明，所以它们可以很容易地被审计。

10、保护管理工作站

安全管理工作站，也称为SAW或PAW，是降低恶意攻击风险的另一个选择。所有管理员使用超级电脑(实际或虚拟)来执行所有管理任务，超级计算机是无法连接到互联网或从互联网接收连接的计算机，需要双重身份验证，并且拥有非常有限的许可列表程序。通过为管理员创建一个高度安全的地方执行管理任务，即便是经常受到攻击的工作站，黑客也很难获得特权了。

11、破解你自己的代码

好的开发人员可以自己试着窃取自己的代码，或者要求比较信任的或聘请专业人士窃取代码，您可以手动执行或使用代码审查工具，看是否可以躲过代码窃取。无论如何，不要让黑客成为第一个试图破解你代码的人。现在，很多大型企业都在招聘白帽黑客，并提供优厚的薪酬奖励。

12、跟踪黑客，暴露他们的真实身份

暴露恶意黑客的真实身份是阻止他们的好办法。没有人比布莱恩·克雷布斯做得更好。他随着时间的推移使用DNS查找，域名注册和与黑客各种假身份列表相关的链接。在某种程度上，黑客在他们完全黑帽子之前应该暴露过他或她的真实姓名或者使用的电子邮件或社交媒体网站。从那时起，布莱恩已经能够在Facebook上找到黑客与家人一起在迪斯尼游玩的照片。

13、将黑客引诱到实际位置进行逮捕

如果说问题比较严重，需要执行相关执法时，这可能是解决问题的一个策略。通常情况下，即便知道黑客是谁，我们也无法逮捕，因为黑客不在我们所在的国家，无法实行抓捕。具有明确抓捕手令的安全公司和供应商可能随时都在等待目标黑客出现，所以引诱到实际位置进行逮捕是一个很不错的方法。

通常来说，一般会通过给予一份高薪工作的方式邀请黑客，可能是经历了多年的犯罪行为后，急于洗白，希望有一份稳定的工作和收入，如果黑客存在这种心理，通常很容易上钩。