為對(duì)付日益增長(zhǎng)的網(wǎng)絡(luò)攻擊�����,許多公司聘用了首席信息安全官(CISO)。CISO的職責(zé)就是確保數(shù)據(jù)的安全性�����。但頻繁發(fā)生的數(shù)據(jù)泄露事件說(shuō)明�����,實(shí)現(xiàn)數(shù)據(jù)安全任重而道遠(yuǎn)��。
為對(duì)付日益增長(zhǎng)的網(wǎng)絡(luò)攻擊����,許多公司聘用了首席信息安全官(CISO)�。CISO的職責(zé)就是確保數(shù)據(jù)的安全性。但頻繁發(fā)生的數(shù)據(jù)泄露事件說(shuō)明����,實(shí)現(xiàn)數(shù)據(jù)安全任重而道遠(yuǎn)��。
很多CISO感到企業(yè)如同待宰殺的羔羊�,企業(yè)的命運(yùn)似乎就是在等待何時(shí)會(huì)發(fā)生重大的數(shù)據(jù)泄露�����。
為保護(hù)信息資產(chǎn)���,CISO和其它安全專家們面臨著一個(gè)很大困難:既要跟得上網(wǎng)絡(luò)攻擊者的步伐����,還要對(duì)照檢查越來(lái)越多的合規(guī)要求����,并且密切注意合伙人和雇員的安全方法���。
即使對(duì)于最有安全意識(shí)的IT團(tuán)隊(duì)來(lái)說(shuō)���,解決網(wǎng)絡(luò)攻擊的絕對(duì)數(shù)量和不斷變化等問(wèn)題也是很令人頭疼的。這項(xiàng)工作要求深入地理解企業(yè)的風(fēng)險(xiǎn)和漏洞�,以及最新的威脅和解決這些威脅的最有效的策略和技術(shù)�����。只有理解了企業(yè)的風(fēng)險(xiǎn)�,企業(yè)才能夠把“好鋼用在刀刃上”:將有限的安全資金專門用于最重要的技術(shù)和策略���。
那么�,公司如何用最有價(jià)值的安全信息來(lái)武裝自己呢?
許多網(wǎng)絡(luò)攻擊都利用基本的但常被人忽視的安全漏洞��,例如不健全的補(bǔ)丁管理過(guò)程��、弱口令�、基于Web的個(gè)人郵件服務(wù),缺乏對(duì)終端用戶的教育以及缺乏強(qiáng)健的安全策略等��。這就使得有效的漏洞評(píng)估成為保護(hù)數(shù)據(jù)的關(guān)鍵一步���。
即使最安全的網(wǎng)絡(luò)也有可能存在一些未知漏洞�。漏洞掃描器是確認(rèn)隱藏的網(wǎng)絡(luò)漏洞和主機(jī)漏洞的實(shí)用工具���。但是�����,對(duì)許多企業(yè)說(shuō)�����,漏洞評(píng)估是個(gè)技術(shù)活兒��,并且其實(shí)施目的是為了合規(guī)���,但與企業(yè)的業(yè)務(wù)風(fēng)險(xiǎn)沒(méi)有緊密聯(lián)系起來(lái)�����,與管理安全的預(yù)算決策也幾乎沒(méi)有關(guān)系�。
漏洞評(píng)估一般都要確認(rèn)成千上萬(wàn)的漏洞�,并且根據(jù)技術(shù)上的嚴(yán)重程度來(lái)對(duì)漏洞進(jìn)行評(píng)級(jí),卻沒(méi)有考慮受到影響的業(yè)務(wù)及過(guò)程�����。漏洞評(píng)估可能要建議多個(gè)補(bǔ)丁和升級(jí)程序�����,事實(shí)上用一個(gè)安全方案就可以解決上述所有問(wèn)題�����。
但是���,要想使漏洞評(píng)估更有成效��,強(qiáng)健的安全策略就應(yīng)當(dāng)將漏洞對(duì)業(yè)務(wù)的影響�����、企業(yè)的總體安全策略��、漏洞評(píng)估的結(jié)果聯(lián)系起來(lái)��,使管理員不但可以理解真正的業(yè)務(wù)風(fēng)險(xiǎn)是什么���,還能夠理解應(yīng)當(dāng)首先解決哪些漏洞,以及如何有效地解決漏洞�。
漏洞評(píng)估人員應(yīng)當(dāng)能夠?qū)⒙┒丛u(píng)估與業(yè)務(wù)聯(lián)系起來(lái)。要從漏洞評(píng)估中獲得最大的好處�,就要求評(píng)估者理解企業(yè)的關(guān)鍵業(yè)務(wù)過(guò)程,理解底層的基礎(chǔ)架構(gòu)����,并將這種理解應(yīng)用到結(jié)果中����。為確保有效性�����,漏洞評(píng)估應(yīng)遵循如下步驟:
1.確認(rèn)和理解業(yè)務(wù)過(guò)程
首先�����,評(píng)估者要確認(rèn)和理解企業(yè)的業(yè)務(wù)過(guò)程�����,并重視那些關(guān)于合規(guī)���、客戶私密�����、競(jìng)爭(zhēng)等的關(guān)鍵且敏感的業(yè)務(wù)過(guò)程。在許多企業(yè)中�����,這要求IT與業(yè)務(wù)部門、財(cái)務(wù)部門����、法律顧問(wèn)等之間的協(xié)作。許多公司將安全策略團(tuán)隊(duì)與每個(gè)部門的代表招集到一起����,協(xié)同工作,分析業(yè)務(wù)過(guò)程及其依賴的信息和基礎(chǔ)架構(gòu)����。
2.查找業(yè)務(wù)過(guò)程所依賴的應(yīng)用程序和數(shù)據(jù)
在根據(jù)任務(wù)的關(guān)鍵程度和敏感性確認(rèn)了業(yè)務(wù)過(guò)程并確定了其優(yōu)先順序后,下一步就是確認(rèn)這些關(guān)鍵過(guò)程所依賴的應(yīng)用程序和數(shù)據(jù)�����。此任務(wù)仍然要通過(guò)IT和其它業(yè)務(wù)部門的協(xié)作來(lái)完成�����。通過(guò)廣泛的協(xié)作和討論�����,評(píng)估者就可以發(fā)現(xiàn)那些比預(yù)料的更加生死攸關(guān)的應(yīng)用。例如��,對(duì)某部門來(lái)說(shuō)���,電子郵件可能是絕對(duì)關(guān)鍵的���,但對(duì)許多其它部門來(lái)說(shuō),卻并非如此���。
3.發(fā)現(xiàn)隱藏的數(shù)據(jù)源
在尋找應(yīng)用程序和數(shù)據(jù)源時(shí)����,要確?�?紤]到移動(dòng)設(shè)備(如智能手機(jī))及桌面PC等設(shè)備����。這些設(shè)備往往包含著企業(yè)業(yè)務(wù)過(guò)程的最新和最敏感的數(shù)據(jù)。漏洞評(píng)估者要與業(yè)務(wù)部門合作��,理解哪些人正在使用移動(dòng)設(shè)備訪問(wèn)和共享公司的應(yīng)用和數(shù)據(jù)�,理解在這些設(shè)備和數(shù)據(jù)中心的應(yīng)用及存儲(chǔ)之間的數(shù)據(jù)流。要確認(rèn)企業(yè)的用戶是否在通過(guò)公共的電子郵件服務(wù)發(fā)送業(yè)務(wù)郵件��。還需要調(diào)查的另一個(gè)隱藏的問(wèn)題是企業(yè)的軟件開發(fā)環(huán)境,因?yàn)樗緛?lái)就比生產(chǎn)環(huán)境更不安全��。軟件開發(fā)者和測(cè)試者往往使用最新的���,有時(shí)甚至是關(guān)鍵數(shù)據(jù)來(lái)測(cè)試新應(yīng)用和升級(jí)后的應(yīng)用程序。
4.決定支持應(yīng)用和數(shù)據(jù)的基礎(chǔ)硬件
評(píng)估者還要確認(rèn)基礎(chǔ)架構(gòu)層��,確認(rèn)運(yùn)行關(guān)鍵業(yè)務(wù)應(yīng)用的服務(wù)器(其中包含虛擬的和物理的)�����。對(duì)于Web和數(shù)據(jù)庫(kù)應(yīng)用來(lái)說(shuō)����,評(píng)估者可能要考慮每個(gè)應(yīng)用的至少三套服務(wù)器,即Web服務(wù)器��、應(yīng)用服務(wù)器�����、數(shù)據(jù)庫(kù)服務(wù)器��。評(píng)估者要確認(rèn)哪些設(shè)備保存著由這些應(yīng)用程序使用的關(guān)鍵業(yè)務(wù)和敏感數(shù)據(jù)���。
5.要詳細(xì)調(diào)查和確定連接硬件的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)
為了實(shí)現(xiàn)快速且安全的性能����,評(píng)估者要理解路由器和應(yīng)用程序、硬件賴以運(yùn)行的其它網(wǎng)絡(luò)設(shè)備����,要理解其相互的連接關(guān)系。
6.確認(rèn)已經(jīng)部署了哪些控制
評(píng)估者要注意已經(jīng)部署的安全和業(yè)務(wù)連續(xù)性措施�����,其中包括策略�����、防火墻�、應(yīng)用防火墻、入侵檢測(cè)和防御系統(tǒng)��、虛擬私有網(wǎng)絡(luò)(VPN)����、數(shù)據(jù)泄露預(yù)防(DLP)、加密,等等�����,以便于保護(hù)每一種保存關(guān)鍵應(yīng)用和數(shù)據(jù)的服務(wù)器和存儲(chǔ)設(shè)備�����。要理解這些保護(hù)的關(guān)鍵功能����,以及這些保護(hù)可以最有效地解決哪些漏洞��。這些工作可能要求廣泛調(diào)查��,其中包括掃描網(wǎng)站�、與安全公司的員工交流,等等�。
7.運(yùn)行漏洞掃描
在理解了應(yīng)用程序和數(shù)據(jù)流及其底層的硬件、網(wǎng)絡(luò)基礎(chǔ)架構(gòu)���、保護(hù)機(jī)制等之后����,就可以真正實(shí)施漏洞掃描了��。
8.將業(yè)務(wù)和技術(shù)應(yīng)用到掃描結(jié)果
掃描器可能會(huì)產(chǎn)生大量的有不同嚴(yán)重程度的漏洞,但是由于結(jié)果和評(píng)級(jí)是基于客觀衡量過(guò)程的�,所以決定企業(yè)的業(yè)務(wù)和基礎(chǔ)架構(gòu)的環(huán)境是很重要的。從漏洞數(shù)據(jù)中獲得有意義的和可操作的信息是非常復(fù)雜和困難的任務(wù)����。在評(píng)估員工的知識(shí)水平和工作量后,評(píng)估者可能會(huì)認(rèn)為����,與一個(gè)精通安全和威脅評(píng)估的公司進(jìn)行合作是很重要的。不管評(píng)估者是在公司內(nèi)部來(lái)評(píng)估�,還是由外部人員評(píng)估,評(píng)估者都需要對(duì)結(jié)果進(jìn)行分析�����,并決定應(yīng)當(dāng)首先解決哪些基礎(chǔ)架構(gòu)的漏洞�。在此,評(píng)估者需要考慮五個(gè)問(wèn)題:
首先是漏洞所涉及的資產(chǎn)的數(shù)量和重要性
如果漏洞影響到多種不同的資產(chǎn)��,尤其是那些涉及到關(guān)鍵任務(wù)過(guò)程的資產(chǎn)�����,評(píng)估者就應(yīng)當(dāng)立即全面的解決這個(gè)漏洞。另一方面����,如果漏洞掃描器在基礎(chǔ)架構(gòu)中找到了多個(gè)漏洞,而此基礎(chǔ)架構(gòu)運(yùn)行的是一些由少量用戶訪問(wèn)的不太重要的應(yīng)用程序���,這些漏洞就不屬于需要迫切解決的漏洞�。
已有控制
如果掃描所確認(rèn)的漏洞影響到了已部署過(guò)多層保護(hù)的基礎(chǔ)架構(gòu)����,這些漏洞有可能已經(jīng)被已有的技術(shù)解決了�����。例如�,如果在一個(gè)服務(wù)器或存儲(chǔ)設(shè)備上發(fā)現(xiàn)了一個(gè)受到應(yīng)用防火墻、加密和其它措施保護(hù)的漏洞��,尤其在數(shù)據(jù)的使用受到了嚴(yán)格的合規(guī)限制時(shí)�,這個(gè)漏洞就不如測(cè)試和開發(fā)環(huán)境中保護(hù)程度不夠健全的基礎(chǔ)架構(gòu)中的漏洞重要。很重要的一點(diǎn)是��,要權(quán)衡漏洞的嚴(yán)重程度���,并決定哪些漏洞會(huì)真正地將企業(yè)暴露給外部的網(wǎng)絡(luò)攻擊�。
可用的安全技術(shù)
評(píng)估者的漏洞評(píng)估報(bào)告有可能提供了很多軟件補(bǔ)丁和升級(jí)建議,但是不斷地應(yīng)用補(bǔ)丁和升級(jí)會(huì)消耗IT的大量時(shí)間和資源�。還可能存在其它的更高效的安全技術(shù)。例如�����,對(duì)于跨站腳本攻擊漏洞���,我們可以通過(guò)合理地部署WEB應(yīng)用防火墻來(lái)解決��,而不必不斷地給多個(gè)組件應(yīng)用補(bǔ)丁和升級(jí)程序�����。問(wèn)題的關(guān)鍵是���,評(píng)估者要理解在實(shí)施某些安全技術(shù)和策略時(shí),風(fēng)險(xiǎn)狀態(tài)會(huì)發(fā)生怎樣的改變�����。
位置
網(wǎng)絡(luò)攻擊經(jīng)常利用基礎(chǔ)架構(gòu)中最薄弱的鏈條�����,并且這些薄弱的鏈條往往出現(xiàn)在分公司、移動(dòng)設(shè)備(包括筆記本電腦����、智能手機(jī)、平板電腦等)以及由銷售和營(yíng)銷人員所使用的其它設(shè)備���。如果掃描顯示在分公司或另一個(gè)基礎(chǔ)架構(gòu)中存在大量漏洞�,評(píng)估者就需要進(jìn)一步調(diào)查和實(shí)施更多保護(hù)措施����。
關(guān)注環(huán)境的重要性
只有將漏洞掃描的結(jié)果放在業(yè)務(wù)背景下,并且考慮已有的安全基礎(chǔ)架構(gòu)時(shí)����,漏洞掃描才會(huì)產(chǎn)生真正的價(jià)值�。在分析評(píng)估結(jié)果時(shí)要牢記業(yè)務(wù)風(fēng)險(xiǎn)意識(shí),并且將這種觀念應(yīng)用到強(qiáng)健的安全策略的制定中���,由此����,CISO和其它的IT管理員才能幫助企業(yè)充分利用安全預(yù)算,并強(qiáng)化總體的安全和合規(guī)形勢(shì)��。
