很多CISO感到企業(yè)如同待宰殺的羔羊,企業(yè)的命運似乎就是在等待何時會發(fā)生重大的數(shù)據(jù)泄露。
為保護信息資產(chǎn),CISO和其它安全專家們面臨著一個很大困難:既要跟得上網(wǎng)絡(luò)攻擊者的步伐,還要對照檢查越來越多的合規(guī)要求,并且密切注意合伙人和雇員的安全方法。
即使對于最有安全意識的IT團隊來說,解決網(wǎng)絡(luò)攻擊的絕對數(shù)量和不斷變化等問題也是很令人頭疼的。這項工作要求深入地理解企業(yè)的風險和漏洞,以及最新的威脅和解決這些威脅的最有效的策略和技術(shù)。只有理解了企業(yè)的風險,企業(yè)才能夠把“好鋼用在刀刃上”:將有限的安全資金專門用于最重要的技術(shù)和策略。
那么,公司如何用最有價值的安全信息來武裝自己呢?
許多網(wǎng)絡(luò)攻擊都利用基本的但常被人忽視的安全漏洞,例如不健全的補丁管理過程、弱口令、基于Web的個人郵件服務,缺乏對終端用戶的教育以及缺乏強健的安全策略等。這就使得有效的漏洞評估成為保護數(shù)據(jù)的關(guān)鍵一步。
即使最安全的網(wǎng)絡(luò)也有可能存在一些未知漏洞。漏洞掃描器是確認隱藏的網(wǎng)絡(luò)漏洞和主機漏洞的實用工具。但是,對許多企業(yè)說,漏洞評估是個技術(shù)活兒,并且其實施目的是為了合規(guī),但與企業(yè)的業(yè)務風險沒有緊密聯(lián)系起來,與管理安全的預算決策也幾乎沒有關(guān)系。
漏洞評估一般都要確認成千上萬的漏洞,并且根據(jù)技術(shù)上的嚴重程度來對漏洞進行評級,卻沒有考慮受到影響的業(yè)務及過程。漏洞評估可能要建議多個補丁和升級程序,事實上用一個安全方案就可以解決上述所有問題。
但是,要想使漏洞評估更有成效,強健的安全策略就應當將漏洞對業(yè)務的影響、企業(yè)的總體安全策略、漏洞評估的結(jié)果聯(lián)系起來,使管理員不但可以理解真正的業(yè)務風險是什么,還能夠理解應當首先解決哪些漏洞,以及如何有效地解決漏洞。
漏洞評估人員應當能夠?qū)⒙┒丛u估與業(yè)務聯(lián)系起來。要從漏洞評估中獲得最大的好處,就要求評估者理解企業(yè)的關(guān)鍵業(yè)務過程,理解底層的基礎(chǔ)架構(gòu),并將這種理解應用到結(jié)果中。為確保有效性,漏洞評估應遵循如下步驟:
1.確認和理解業(yè)務過程
首先,評估者要確認和理解企業(yè)的業(yè)務過程,并重視那些關(guān)于合規(guī)、客戶私密、競爭等的關(guān)鍵且敏感的業(yè)務過程。在許多企業(yè)中,這要求IT與業(yè)務部門、財務部門、法律顧問等之間的協(xié)作。許多公司將安全策略團隊與每個部門的代表招集到一起,協(xié)同工作,分析業(yè)務過程及其依賴的信息和基礎(chǔ)架構(gòu)。
2.查找業(yè)務過程所依賴的應用程序和數(shù)據(jù)
在根據(jù)任務的關(guān)鍵程度和敏感性確認了業(yè)務過程并確定了其優(yōu)先順序后,下一步就是確認這些關(guān)鍵過程所依賴的應用程序和數(shù)據(jù)。此任務仍然要通過IT和其它業(yè)務部門的協(xié)作來完成。通過廣泛的協(xié)作和討論,評估者就可以發(fā)現(xiàn)那些比預料的更加生死攸關(guān)的應用。例如,對某部門來說,電子郵件可能是絕對關(guān)鍵的,但對許多其它部門來說,卻并非如此。
3.發(fā)現(xiàn)隱藏的數(shù)據(jù)源
在尋找應用程序和數(shù)據(jù)源時,要確保考慮到移動設(shè)備(如智能手機)及桌面PC等設(shè)備。這些設(shè)備往往包含著企業(yè)業(yè)務過程的最新和最敏感的數(shù)據(jù)。漏洞評估者要與業(yè)務部門合作,理解哪些人正在使用移動設(shè)備訪問和共享公司的應用和數(shù)據(jù),理解在這些設(shè)備和數(shù)據(jù)中心的應用及存儲之間的數(shù)據(jù)流。要確認企業(yè)的用戶是否在通過公共的電子郵件服務發(fā)送業(yè)務郵件。還需要調(diào)查的另一個隱藏的問題是企業(yè)的軟件開發(fā)環(huán)境,因為它本來就比生產(chǎn)環(huán)境更不安全。軟件開發(fā)者和測試者往往使用最新的,有時甚至是關(guān)鍵數(shù)據(jù)來測試新應用和升級后的應用程序。
4.決定支持應用和數(shù)據(jù)的基礎(chǔ)硬件
評估者還要確認基礎(chǔ)架構(gòu)層,確認運行關(guān)鍵業(yè)務應用的服務器(其中包含虛擬的和物理的)。對于Web和數(shù)據(jù)庫應用來說,評估者可能要考慮每個應用的至少三套服務器,即Web服務器、應用服務器、數(shù)據(jù)庫服務器。評估者要確認哪些設(shè)備保存著由這些應用程序使用的關(guān)鍵業(yè)務和敏感數(shù)據(jù)。
5.要詳細調(diào)查和確定連接硬件的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)
為了實現(xiàn)快速且安全的性能,評估者要理解路由器和應用程序、硬件賴以運行的其它網(wǎng)絡(luò)設(shè)備,要理解其相互的連接關(guān)系。
6.確認已經(jīng)部署了哪些控制
評估者要注意已經(jīng)部署的安全和業(yè)務連續(xù)性措施,其中包括策略、防火墻、應用防火墻、入侵檢測和防御系統(tǒng)、虛擬私有網(wǎng)絡(luò)(VPN)、數(shù)據(jù)泄露預防(DLP)、加密,等等,以便于保護每一種保存關(guān)鍵應用和數(shù)據(jù)的服務器和存儲設(shè)備。要理解這些保護的關(guān)鍵功能,以及這些保護可以最有效地解決哪些漏洞。這些工作可能要求廣泛調(diào)查,其中包括掃描網(wǎng)站、與安全公司的員工交流,等等。
7.運行漏洞掃描
在理解了應用程序和數(shù)據(jù)流及其底層的硬件、網(wǎng)絡(luò)基礎(chǔ)架構(gòu)、保護機制等之后,就可以真正實施漏洞掃描了。
8.將業(yè)務和技術(shù)應用到掃描結(jié)果
掃描器可能會產(chǎn)生大量的有不同嚴重程度的漏洞,但是由于結(jié)果和評級是基于客觀衡量過程的,所以決定企業(yè)的業(yè)務和基礎(chǔ)架構(gòu)的環(huán)境是很重要的。從漏洞數(shù)據(jù)中獲得有意義的和可操作的信息是非常復雜和困難的任務。在評估員工的知識水平和工作量后,評估者可能會認為,與一個精通安全和威脅評估的公司進行合作是很重要的。不管評估者是在公司內(nèi)部來評估,還是由外部人員評估,評估者都需要對結(jié)果進行分析,并決定應當首先解決哪些基礎(chǔ)架構(gòu)的漏洞。
在此,評估者需要考慮五個問題:
首先是漏洞所涉及的資產(chǎn)的數(shù)量和重要性
如果漏洞影響到多種不同的資產(chǎn),尤其是那些涉及到關(guān)鍵任務過程的資產(chǎn),評估者就應當立即全面的解決這個漏洞。另一方面,如果漏洞掃描器在基礎(chǔ)架構(gòu)中找到了多個漏洞,而此基礎(chǔ)架構(gòu)運行的是一些由少量用戶訪問的不太重要的應用程序,這些漏洞就不屬于需要迫切解決的漏洞。
已有控制
如果掃描所確認的漏洞影響到了已部署過多層保護的基礎(chǔ)架構(gòu),這些漏洞有可能已經(jīng)被已有的技術(shù)解決了。例如,如果在一個服務器或存儲設(shè)備上發(fā)現(xiàn)了一個受到應用防火墻、加密和其它措施保護的漏洞,尤其在數(shù)據(jù)的使用受到了嚴格的合規(guī)限制時,這個漏洞就不如測試和開發(fā)環(huán)境中保護程度不夠健全的基礎(chǔ)架構(gòu)中的漏洞重要。很重要的一點是,要權(quán)衡漏洞的嚴重程度,并決定哪些漏洞會真正地將企業(yè)暴露給外部的網(wǎng)絡(luò)攻擊。
可用的安全技術(shù)
評估者的漏洞評估報告有可能提供了很多軟件補丁和升級建議,但是不斷地應用補丁和升級會消耗IT的大量時間和資源。還可能存在其它的更高效的安全技術(shù)。例如,對于跨站腳本攻擊漏洞,我們可以通過合理地部署WEB應用防火墻來解決,而不必不斷地給多個組件應用補丁和升級程序。問題的關(guān)鍵是,評估者要理解在實施某些安全技術(shù)和策略時,風險狀態(tài)會發(fā)生怎樣的改變。
位置
網(wǎng)絡(luò)攻擊經(jīng)常利用基礎(chǔ)架構(gòu)中最薄弱的鏈條,并且這些薄弱的鏈條往往出現(xiàn)在分公司、移動設(shè)備(包括筆記本電腦、智能手機、平板電腦等)以及由銷售和營銷人員所使用的其它設(shè)備。如果掃描顯示在分公司或另一個基礎(chǔ)架構(gòu)中存在大量漏洞,評估者就需要進一步調(diào)查和實施更多保護措施。
關(guān)注環(huán)境的重要性
只有將漏洞掃描的結(jié)果放在業(yè)務背景下,并且考慮已有的安全基礎(chǔ)架構(gòu)時,漏洞掃描才會產(chǎn)生真正的價值。在分析評估結(jié)果時要牢記業(yè)務風險意識,并且將這種觀念應用到強健的安全策略的制定中,由此,CISO和其它的IT管理員才能幫助企業(yè)充分利用安全預算,并強化總體的安全和合規(guī)形勢。
