企业依靠一种开源安全工具保护自身往往并不是一个好主意,因为与所有开源产品一样,攻击者可以获取这个相同的工具,找到其漏洞并利用它们来攻击企业。为了让攻击者更难实现其攻击目的,企业应该打造自己的开源安全工具套件。企业应选择多种工具,如果其中一个工具存在漏洞,其他安全工具可帮助克服这个漏洞;企业的工具包中的工具越多,企业就能更好地保护其数据,而不会受到特定开源安全程序中漏洞的影响。
开源安全工具包至少应该包括检测/渗透测试工具(例如Metasploit Framework)、漏洞扫描仪(例如Nexpose)、安全事故处理程序(例如MozDef)、恶意软件分析工具(例如Cuckoo Sandbox)以及网络监控工具(例如Nagios)。为了确保它们正确工作以及不包含漏洞,安全管理人员应该在独立于生产环境的测试平台测试它们。
下面是在构建开源安全工具包时应该考虑的三个因素:
垂直行业
企业在选择工具包中的安全工具时,应该考虑企业类型以及企业所处的垂直行业。在选择安全工具时,还应该了解哪些垂直行业遭遇了最多的数据泄露和安全事件,以及不同垂直行业面对的威胁性质。
Verizon公司2015年数据泄露调查报告显示,公共事业组织是数据泄露和安全事件的头号目标,其次是金融服务、制造业、住宿和零售业。另外,零售和住宿业中较小型企业发生数据泄露的频率远远超过较大型企业。
零售业企业可能会使用开源POS系统工具(例如SUSE Enterprise Point of Service或者OpenBravo Retail),这些工具有自己的安全控制和功能。OpenBravo Retail具有基于角色的访问权限和审批,以及POS终端身份验证。而对于SUSE Enterprise Point of Service等Linux软件,企业应该考虑其他Linux开源安全工具。为了领先于攻击者,企业应该获取最新版本的工具,并确保它们会定期更新。
合规要求
企业通常需要满足多个合规要求,如果企业未能遵守法规,可能面临高昂的罚款,还可能损失企业信誉。然而,简单地执行法规或标准的合规政策是不够的;为了减少违规的风险,企业应该考虑合规工具,例如日志分析。其中笔者最喜欢的是OSSEC或者说开源基于主机的入侵检测安全,它会检查企业对各法案的合规情况,包括HIPAA、支付卡行业数据安全标准、萨班斯-奥克斯利法案以及联邦信息安全管理法案(FISMA)。在对FISMA文件使用OSSEC之前,企业可考虑先使用OpenFISMA,这是专为满足FISMA要求的自动工具。
OSSEC的核心是管理服务器,它可帮助企业更好地管理政策的完整性检查,以及跨多个操作系统的日志分析,包括Linux、Windows、Solaris和Mac。服务器在检测到对文件系统的未经授权更改或日志文件中的恶意行为时,它会发送警报给安全管理人员。企业必须确保在规定报告的期限前解决这些问题。
服务水平协议
如果企业计划通过软件即服务(SaaS)提供商来监督其IT要求部分,企业应该考虑使用网络监控工具来执行企业和提供商协商的服务水平协议(SLA)。其中一些工具在后台运行,而有些则是自动化。有些通过命令行窗口手动配置,例如Pandora FMS和PRTG Network Monitor Freeware,而其他工具则提供更方便的用户界面。
如果没有适当的网络监控工具,企业没有办法知道服务提供商是否满足SLA中规定的服务水平(正常运行时间保证),安全管理人员和网络管理员也不知道网络的运行状况。
通过监控工具,网络和安全管理人员能够监控网络性能,并使用这些数据来衡量服务水平协议。当性能开始减少时,该工具应该发送警报,让企业和服务提供商知道应该采取什么行动。如果警报第一次提示性能已经下降到商定的水平,应该给予服务提供商预先规定的一段时间来解决这个问题。未能满足最后期限可能会导致对供应商的处罚。
SLA也应该有退出条款。如果企业不满意服务提供商的网络性能或者存在没有得到解决的安全问题,企业应该能够在没有巨额罚款的情况下解除合约。退出条款应该明确提供商用来下载以及备份企业数据的格式。