为对付日益增长的网络攻击,许多公司聘用了首席信息安全官(CISO)。CISO的职责就是确保数据的安全性。但频繁发生的数据泄露事件说明,实现数据安全任重而道远。
很多CISO感到企业如同待宰杀的羔羊,企业的命运似乎就是在等待何时会发生重大的数据泄露。
为保护信息资产,CISO和其它安全专家们面临着一个很大困难:既要跟得上网络攻击者的步伐,还要对照检查越来越多的合规要求,并且密切注意合伙人和雇员的安全方法。
即使对于最有安全意识的IT团队来说,解决网络攻击的绝对数量和不断变化等问题也是很令人头疼的。这项工作要求深入地理解企业的风险和漏洞,以及最新的威胁和解决这些威胁的最有效的策略和技术。只有理解了企业的风险,企业才能够把“好钢用在刀刃上”:将有限的安全资金专门用于最重要的技术和策略。
那么,公司如何用最有价值的安全信息来武装自己呢?
许多网络攻击都利用基本的但常被人忽视的安全漏洞,例如不健全的补丁管理过程、弱口令、基于Web的个人邮件服务,缺乏对终端用户的教育以及缺乏强健的安全策略等。这就使得有效的漏洞评估成为保护数据的关键一步。
即使最安全的网络也有可能存在一些未知漏洞。漏洞扫描器是确认隐藏的网络漏洞和主机漏洞的实用工具。但是,对许多企业说,漏洞评估是个技术活儿,并且其实施目的是为了合规,但与企业的业务风险没有紧密联系起来,与管理安全的预算决策也几乎没有关系。
漏洞评估一般都要确认成千上万的漏洞,并且根据技术上的严重程度来对漏洞进行评级,却没有考虑受到影响的业务及过程。漏洞评估可能要建议多个补丁和升级程序,事实上用一个安全方案就可以解决上述所有问题。
但是,要想使漏洞评估更有成效,强健的安全策略就应当将漏洞对业务的影响、企业的总体安全策略、漏洞评估的结果联系起来,使管理员不但可以理解真正的业务风险是什么,还能够理解应当首先解决哪些漏洞,以及如何有效地解决漏洞。
漏洞评估人员应当能够将漏洞评估与业务联系起来。要从漏洞评估中获得最大的好处,就要求评估者理解企业的关键业务过程,理解底层的基础架构,并将这种理解应用到结果中。为确保有效性,漏洞评估应遵循如下步骤:
1.确认和理解业务过程
首先,评估者要确认和理解企业的业务过程,并重视那些关于合规、客户私密、竞争等的关键且敏感的业务过程。在许多企业中,这要求IT与业务部门、财务部门、法律顾问等之间的协作。许多公司将安全策略团队与每个部门的代表招集到一起,协同工作,分析业务过程及其依赖的信息和基础架构。
2.查找业务过程所依赖的应用程序和数据
在根据任务的关键程度和敏感性确认了业务过程并确定了其优先顺序后,下一步就是确认这些关键过程所依赖的应用程序和数据。此任务仍然要通过IT和其它业务部门的协作来完成。通过广泛的协作和讨论,评估者就可以发现那些比预料的更加生死攸关的应用。例如,对某部门来说,电子邮件可能是绝对关键的,但对许多其它部门来说,却并非如此。
3.发现隐藏的数据源
在寻找应用程序和数据源时,要确保考虑到移动设备(如智能手机)及桌面PC等设备。这些设备往往包含着企业业务过程的最新和最敏感的数据。漏洞评估者要与业务部门合作,理解哪些人正在使用移动设备访问和共享公司的应用和数据,理解在这些设备和数据中心的应用及存储之间的数据流。要确认企业的用户是否在通过公共的电子邮件服务发送业务邮件。还需要调查的另一个隐藏的问题是企业的软件开发环境,因为它本来就比生产环境更不安全。软件开发者和测试者往往使用最新的,有时甚至是关键数据来测试新应用和升级后的应用程序。
4.决定支持应用和数据的基础硬件
评估者还要确认基础架构层,确认运行关键业务应用的服务器(其中包含虚拟的和物理的)。对于Web和数据库应用来说,评估者可能要考虑每个应用的至少三套服务器,即Web服务器、应用服务器、数据库服务器。评估者要确认哪些设备保存着由这些应用程序使用的关键业务和敏感数据。
5.要详细调查和确定连接硬件的网络基础架构
为了实现快速且安全的性能,评估者要理解路由器和应用程序、硬件赖以运行的其它网络设备,要理解其相互的连接关系。
6.确认已经部署了哪些控制
评估者要注意已经部署的安全和业务连续性措施,其中包括策略、防火墙、应用防火墙、入侵检测和防御系统、虚拟私有网络(VPN)、数据泄露预防(DLP)、加密,等等,以便于保护每一种保存关键应用和数据的服务器和存储设备。要理解这些保护的关键功能,以及这些保护可以最有效地解决哪些漏洞。这些工作可能要求广泛调查,其中包括扫描网站、与安全公司的员工交流,等等。
7.运行漏洞扫描
在理解了应用程序和数据流及其底层的硬件、网络基础架构、保护机制等之后,就可以真正实施漏洞扫描了。
8.将业务和技术应用到扫描结果
扫描器可能会产生大量的有不同严重程度的漏洞,但是由于结果和评级是基于客观衡量过程的,所以决定企业的业务和基础架构的环境是很重要的。从漏洞数据中获得有意义的和可操作的信息是非常复杂和困难的任务。在评估员工的知识水平和工作量后,评估者可能会认为,与一个精通安全和威胁评估的公司进行合作是很重要的。不管评估者是在公司内部来评估,还是由外部人员评估,评估者都需要对结果进行分析,并决定应当首先解决哪些基础架构的漏洞。在此,评估者需要考虑五个问题:
首先是漏洞所涉及的资产的数量和重要性
如果漏洞影响到多种不同的资产,尤其是那些涉及到关键任务过程的资产,评估者就应当立即全面的解决这个漏洞。另一方面,如果漏洞扫描器在基础架构中找到了多个漏洞,而此基础架构运行的是一些由少量用户访问的不太重要的应用程序,这些漏洞就不属于需要迫切解决的漏洞。
已有控制
如果扫描所确认的漏洞影响到了已部署过多层保护的基础架构,这些漏洞有可能已经被已有的技术解决了。例如,如果在一个服务器或存储设备上发现了一个受到应用防火墙、加密和其它措施保护的漏洞,尤其在数据的使用受到了严格的合规限制时,这个漏洞就不如测试和开发环境中保护程度不够健全的基础架构中的漏洞重要。很重要的一点是,要权衡漏洞的严重程度,并决定哪些漏洞会真正地将企业暴露给外部的网络攻击。
可用的安全技术
评估者的漏洞评估报告有可能提供了很多软件补丁和升级建议,但是不断地应用补丁和升级会消耗IT的大量时间和资源。还可能存在其它的更高效的安全技术。例如,对于跨站脚本攻击漏洞,我们可以通过合理地部署WEB应用防火墙来解决,而不必不断地给多个组件应用补丁和升级程序。问题的关键是,评估者要理解在实施某些安全技术和策略时,风险状态会发生怎样的改变。
位置
网络攻击经常利用基础架构中最薄弱的链条,并且这些薄弱的链条往往出现在分公司、移动设备(包括笔记本电脑、智能手机、平板电脑等)以及由销售和营销人员所使用的其它设备。如果扫描显示在分公司或另一个基础架构中存在大量漏洞,评估者就需要进一步调查和实施更多保护措施。
关注环境的重要性
只有将漏洞扫描的结果放在业务背景下,并且考虑已有的安全基础架构时,漏洞扫描才会产生真正的价值。在分析评估结果时要牢记业务风险意识,并且将这种观念应用到强健的安全策略的制定中,由此,CISO和其它的IT管理员才能帮助企业充分利用安全预算,并强化总体的安全和合规形势。