Verizon的2015 PCI合规报告(The Verizon 2015 PCI Compliance Report)指出了缺乏防火墙维护和安全性测试是未能满足PCI合规的主要原因。专家Kevin Beaver提供了一些成功管理这些任务的小技巧。
关于防火墙和PCI合规之间的关系,Verizon的2015 PCI合规报告很能说明问题。这篇报告揭示了缺乏防火墙维护和安全性测试不仅仅是导致企业未能达到PCI DSS合规的两个主要原因,也是导致数据泄露的主要原因。
根据这份报告可知,2014年遭受数据泄露的组织只有27%满足PCI DSS的防火墙维护要求。
虽然我不同意报告中所说的防火墙是组织的第一道防线,因为防火墙可能并没有办法管理到企业的移动办公员工,但是防火墙无疑是安全性和合规性的一个重要组成部分,尤其是在网络分段和PCI范围缩小的情况下。不管“老派”网络边界安全控制是如何实现的,他们对于企业控制来说很重要。
众所周知,企业进行防火墙维护的方式各有不同。但是,在这篇文章中,我将讨论这些差距以及如何解决这些问题。
防火墙的管理问题
无论您是负责小型或中型企业整体的信息安全,还是在一家大企业专门的防火墙团队工作,防火墙管理、维护和测试有关的潜在挑战都非常相似。
一个主要的问题是时间,或者是缺乏时间管理。还有一部分问题和预算有关。再就是“影子IT”的问题了,也就是员工发号施令使其发生变化的部分。
还有就是闲置不用,采购了好的工具,但是尚未部署和实施不当。就像Verizon的报告中所说的:“我们看到了很多这样的例子。一些组织已经配备了下一代防火墙,但是并没有使用它的程序感知功能,从而让他们的网络暴露给利用社交媒体应用程序的威胁和端口跳转攻击”。我在工作中也相当频繁地看到这个现象。
解决方案
鉴于上述的挑战和复杂性,IT团队要如何武装他们企业的防火墙,有效地管理其规则库,然后不断地检测出弊端?
首先,我不建议手动来管理防火墙,除非你的组织只有一个或两个防火墙,而且每个防火墙只有少量规则。
改善防火墙管理,处理变化和减少风险的其它几个必备措施:
• 管理必须要有安全性意识,对于网络现状和组织正面临的挑战要有清晰的概念,没有买入,就没有支持,就是这么简单。
• 所有关键部门之间的沟通都需要得到改善,包括防火墙团队、安全团队、IT运营和服务支持团队。我已经见过无数企业内部的IT部门之间几乎没有沟通,和外部的业务团队也没有沟通。当沟通瘫痪时,一切也就完了。
• 在系统运行中断或泄露事件中,真正的业务连续性和应急响应程序必须到位。否则,公司就会在最不合时宜的时候当机。
• 企业的防火墙环境中应该有合理的标准。我看到很多公司的网络环境中有各个供应商的防火墙。虽然对于某一特定功能,一些供应商的产品会比其它厂商的好,或者为了网络某一区域,企业需要部署一个下一代防火墙,但是如果一个企业在环境内运行相同或相似系统可以简化很多事情。
• 安全测试技术必须超越防火墙规则库分析或单纯的审核。测试技术应包括运行漏洞扫描器(网络和Web),以及任意其他工具,如Metasploit,甚至需要一个知己知彼的网络分析者来破解防火墙的漏洞。如果企业看得够深,他们会发现诸如弱口令,过时的协议(SSL和SSH版本1)这些问题。
• 诸如安全性检测、漏洞检测、风险防火墙规则,清除过时的规则这些行为都需要执行。这些测试应定期并持续执行,即每季度或每半年,或之后任意重大系统更改。一些企业使用诸如AlgoSec防火墙分析仪这样的工具几乎实时来做到这些测试。一旦组织建立了它的测试流程,有些事情就可以在短短几分钟内完成。当一个组织在其它领域也这样采取措施,它就会以更高的标准要求自己,并成功让自己保持在防火墙监督之上。
如果有必要,企业可以继续实施信息技术基础构架库(ITIL)或其它正式的变更管理流程。然而,值得注意的是,如果人们不按程序办事,那么这些流程也仅仅只起到了展示的作用。举个例子:我曾经为一个大型电子商务公司的业务做一个项目。有一天,防火墙的团队成员没有遵循既定的变更管理流程,对核心防火墙进行了一些带外(未经测试)变更。不幸的是,在变更过程中,防火墙规则库被损坏,电子商务应用和互联网之间的所有通信被中断。核心应用中断,最终后果是几个小时内对该企业造成了六位数美元损失。
作为负责防火墙的工作人员,安全人员必须在安全和现实之间做好平衡。永远不要让审计或合规引起的繁文缛节妨碍到工作。如果一个企业认真地思考一下,在其网络环境中基于需求使用正确的工具,制定合适的工作流程,那么防火墙维护和管理都可以做得很好。
最后,有一个很重要的问题:当涉及到防火墙管理和合规疏忽,企业是存在技术问题还是人员问题?再多的政府和行业法规,或是新的方法好像都无法解决这个问题,但是纪律可以。纪律可以让你了解风险在哪里,纪律可以更好地配合安全措施来管理网络,纪律可以让你做到需要做的事情,然后反复一遍又一遍地尽我们的能力做到很好的管理。
Jim Rohn曾经说过:“成功是容易的,但疏忽同样容易”。防火墙维护和管理上的问题不是突然一下子就出现的,是在长时间内做了一系列糟糕的决定,或者不做任何决定而产生的,例如管理者拒绝投资必要的工具和培训,或IT专业人士不做出任何努力和管理者进行更好的沟通。当关键系统,如防火墙和他们日益复杂的规则库被忽视,那就是不好的事情发生的时候,组织对于安全的真实态度也会自然而然地曝光。