测定信息安全风险的最佳方法是什么?最佳方法是马上检测所有系统和应用程序的漏洞;这跟通过磁共振成像、血液分析等检查人体健康一样。有些人将这些工作称为IT安全审计。有些人则称为渗透测试。然而,对环境执行深度分析并不是简单地对比所制定政策与实际运行情况——IT安全审计,也不是通过攻击证明某个位置的安全——渗透测试,因此我更愿意将这些工作称为信息安全评估。它们的涵义更宽泛一些、更中肯一些,它们有助于证明安全策略和流程在哪里方面有问题。
安全测试的语义可能让人难以理解,但是最终目标是在有人遇到之前找到和修复漏洞。安全专家的职责就是保证用正确的步骤去检查所有问题,从而使发现的风险能够让人理解、解决或者作为一个问题进入信息风险管理周期。下面列举了有效信息安全评估中所包含的关键组成部分。要抛开派别和偏见,保证所有这些方面都在考虑范围之内并且得到足够的重视:
支持
如果没有管理层的支持,则不会出现一个好的信息安全评估项目,也不会实现长期的成功目标。其中的原因很简单。如果领导层不愿意投入所需要的资源实实在在地审视企业信息系统环境,那么所有其他工作都很难开展。要注重并保持任用正确的人员。工作职责不在于管理层,而在于IT和安全成员和领导人员。
范围
理论上,这是一个扎实信息安全评估的最重要阶段。我曾经看到过无数的错误例子,他们把系统、应用程序甚至整个网络环境者排队在安全测试之外。这样的原因总是一样:“没有足够的时间或金钱,”以及“我们不需要测试这些那些系统。”设定范围是正确的,但是你必须保证要覆盖所有关键系统——要尽快而不是留到以后。最后,你需要检查整个环境,因为往往就是一个看似正常的系统、网络片段或安全流程致使所有方面出现问题。一定要考虑外部系统、内部系统和在第三方云中托管的系统——包括营销网站。此外,一定要在操作系统和Web应用程序上都授权执行安全测试。保证所有方面都进行公平的测试——包括人员、流程和物理安全系统。
测试
要从漏洞扫描开始,筛选扫描结果,进行人工分析,然后在你的环境和业务中查看有哪些漏洞可能被攻击。从大的角度看,确实就是这么简单。这个阶段应该包括破解密码、无线网络分析及特别重要的网络钓鱼邮件。有很多书描述了这个安全评估阶段应该要做的全部工作,如我自己写的书《Hacking For Dummies》(黑客入门)。一定要以恶意用户的角度去看待整个企业环境,寻找有哪些可以攻击点,然后演示可能造成的后果,这样才能分析问题和在需要的时候解决问题。
报告
漏洞扫描程序产生的500页PDF报告并不是重点。要有一个清晰具体的安全评估报告概括描述按优化级划分、浅显易懂的结果和建议。最终报告并不一定要很长。只需要抓住重点,概括出从安全专家角度需要注意的具体漏洞——同样,要考虑系统和业务所处的环境。报告中可以加入渗透测试和IT安全审计方面的元素。我并不推崇盲目跟从供应商漏洞优先级列表的常见做法。漏洞扫描程序就是一个例子,它通常都遵从常见漏洞打分系统(Common Vulnerability Scoring System)或类似的排名方式,它通常将非关键网络打印机上用默认通信字符启动的简单网络管理协议标记为严重级别。如果这种结果也标记为严重,那么更严重的防火墙密码、核心Web应用程序的SQL注入或关键服务器缺少防止远程攻击的补丁又该标记为什么级别呢?关键是要根据所在的环境及常识。最糟糕的信息安全评估就是没能产生一份正式报表的评估,因为无法知道到底出现哪些问题,更不用说解决问题了。
解决问题
发现问题之后,要解决问题。我经常看到一些安全评估报告,其中所包含的具体结果一直处于未确认状态——或者至少在下一次安全评估之前仍未处理。这种问题很容易处理:将责任分配到人,保证所有人都各司其职。半年或一年后的下一次信息安全评估将确定之前的问题是否已经解决。此外,也可以考虑对严重和高优先级结果执行一次修复验证,作为安全评估的后续工作,时间可以设定为报告提交和任务分配之后30~45天左右。
疏忽
保证安全评估之间的持续安全性需要进行一些简单的工作,如调整现有系统和软件,实现一些新的技术控制,以及彻底改变一些策略和流程。不要试图实现一种完美的安全性,前进的目标应该是合理的安全性,使发现问题和解决问题的时间间隔越来越短。而且,管理层一定要保持介入。在合规性和合同义务等都需要由执行主管来决定。无论他们是否关注这个方面,都需要他们参与其中。要在安全评估周期中让必要人员准时出现。这不仅能证明他们的投资回报,也是持续参与的重要条件。否则,安全就会游离在他们的思想意识之外,不会得到应有的重视。
底线是每一个企业都有一些信息和计算资产可能受到黑客或恶意内部人员的攻击,也可能由于用户失误而遭受破坏。千万别天真地认为,自己不知道的信息风险是不会降临到自己的头上。企业不能只依靠IT安全审计或渗透测试。忽视安全评估并不是一种正确的职业方式。而且,发现信息风险但是不重视它是一种安全自杀行为——也可能导致职业生涯彻底失败。要投入足够的时间去规划信息安全评估,保证做完应该完成的工作,以及IT、开发、管理等相关人员都知道检查结果,这样问题才能得到解决。
由于有许多安全专家和供应商值得依赖,因此信息安全评估并非一种很难的工作,而且投资回报能够保证的情况下也不一定需要很大的投入。Warren Buffett曾经说过:“只要你别做太多的错事,在你的生命中你只需要做一些为数不多的正确事情。”信息安全计划就是一种投入或不投入的体现,当然这其中也包括持续安全评估计划。要保证它处于优先执行的位置。即使周期性持续地执行,这些评估也不解决所有安全问题的完美方法。然而,可以肯定的一点是,如果选择忽视这些重要工作,历史悲剧肯定会再一次重复。