讓企業(yè)安全體系更出色

■來源 網(wǎng)絡(luò)

大家的安全管理政策及規(guī)程是否真的能夠提升安全水平，或者說您所在的企業(yè)僅僅關(guān)注惡意軟件、卻忽略了人為因素在安全保障工作中的重要作用?要在這么多因素之間取得平衡絕非易事，而眾多企業(yè)也在不斷探索最理想的可行途徑。

最近各大企業(yè)及組織機(jī)構(gòu)遭遇的一系列數(shù)據(jù)泄露事故給我們提出了新的挑戰(zhàn)——即現(xiàn)有安全工具及解決方案在應(yīng)對(duì)新興威脅時(shí)是否仍然具備效力?

私營(yíng)與上市企業(yè)在過去十年當(dāng)中耗資數(shù)百億美元來提升安全水平，然而惡意攻擊者們?nèi)匀荒軌蛲黄浦刂刈璧K，順利完成自己邪惡的預(yù)期目標(biāo)。

這一趨勢(shì)使得很多企業(yè)開始嘗試一種新的基礎(chǔ)性處理方式，即將關(guān)注重點(diǎn)放在人、流程以及技術(shù)身上。相較于單純將安全功能作為企業(yè)運(yùn)營(yíng)工作中的一類令人頭痛的成本支出項(xiàng)目，如今越來越多的企業(yè)開始將其作為值得大力推動(dòng)的戰(zhàn)略性新舉措。

“安全與產(chǎn)品開發(fā)這兩類工作并非互相排斥，”萬事達(dá)卡首席信息安全官Ron Green指出?！拔覀儾⒉粫?huì)把安全看作一種獨(dú)立的職責(zé)，而傾向于將其與業(yè)務(wù)運(yùn)營(yíng)相結(jié)合?！?/p>

具體來講，萬事達(dá)卡的安全專家們開始積極吸納其他關(guān)注于實(shí)現(xiàn)身份驗(yàn)證創(chuàng)新成果的團(tuán)隊(duì)，包括來自萬事達(dá)實(shí)驗(yàn)室以及新興支付與企業(yè)安全解決方案部門的成員，Green解釋稱。此舉旨在從長(zhǎng)遠(yuǎn)角度進(jìn)行產(chǎn)品管理，并利用安全機(jī)制強(qiáng)化持卡者的使用體驗(yàn)。

“我們的高管團(tuán)隊(duì)希望我們能夠?qū)踩珯C(jī)制滲透到每個(gè)角度，并將作為標(biāo)準(zhǔn)化實(shí)踐流程，”Green表示。而且雖然這類實(shí)踐可能會(huì)讓項(xiàng)目的日程表排得更滿，但卻絕對(duì)物有所值?！鞍踩壳耙呀?jīng)成為拉攏客戶的一種有力籌碼，而且每家企業(yè)都希望手握這一籌碼，”他解釋道。

IT領(lǐng)導(dǎo)者們應(yīng)當(dāng)從以下五個(gè)關(guān)鍵性角度出發(fā)，切實(shí)提升安全體系的保護(hù)能力。這些措施的具體實(shí)現(xiàn)方式可能會(huì)根據(jù)大家的實(shí)際思路及運(yùn)營(yíng)能力而有所變動(dòng)，不過用戶及從業(yè)專家一致認(rèn)為，最重要的是專注于更高層級(jí)的發(fā)展目標(biāo)。

1. 強(qiáng)化網(wǎng)絡(luò)邊界保護(hù)

邊界保護(hù)技術(shù)，例如殺毒工具、防火墻以及入侵檢測(cè)系統(tǒng)，長(zhǎng)久以來一直被企業(yè)作為安全戰(zhàn)略中的首要實(shí)施方案。它們通過對(duì)特定的標(biāo)記或者簽名進(jìn)行比照來識(shí)別出已知病毒或者其它類型的惡意軟件，而后對(duì)包含惡意內(nèi)容的程序加以阻斷。

過去幾年以來，各公共與私營(yíng)組織都傾向于利用更多邊界安全保護(hù)工具來維持穩(wěn)定，而不愿接納更多其它安全產(chǎn)品類型——然而事實(shí)表明，分析人士普遍提醒稱單靠邊界防御機(jī)制已經(jīng)不足以保障系統(tǒng)安全。

而殘酷現(xiàn)實(shí)也告訴我們，已經(jīng)有多家大型企業(yè)遭遇嚴(yán)重的數(shù)據(jù)泄露事故，這意味著基于簽名的邊界保護(hù)工具在對(duì)應(yīng)當(dāng)前惡意攻擊者所普遍使用的高針對(duì)性入侵手段時(shí)表現(xiàn)并不理想。幾乎很少會(huì)有企業(yè)準(zhǔn)備放棄傳統(tǒng)邊界保護(hù)技術(shù)，相反絕大多數(shù)企業(yè)繼續(xù)堅(jiān)持將其作為主要甚至是惟一的防御手段——但這是遠(yuǎn)遠(yuǎn)不夠的，IBM公司安全研究員Marco Pistoia指出。

“網(wǎng)絡(luò)攻擊活動(dòng)的各種最新征兆證明，攻擊者們?nèi)缃駧缀跻呀?jīng)能夠繞開任何類型的物理限制手段，”Pistoia表示?！盎谶吔绫Ｗo(hù)設(shè)計(jì)思路的防御方案雖然仍很必要，但卻無法真正保證計(jì)算系統(tǒng)的安全?！?/p>

從戰(zhàn)略及戰(zhàn)術(shù)角度來看，企業(yè)必須將邊界防御機(jī)制視為安全鏈體系中必要的組成部分之一——注意，只是之一，他強(qiáng)調(diào)稱。

同樣重要的還有模式識(shí)別與預(yù)測(cè)分析等工具，它們能夠幫助企業(yè)建立起以正常網(wǎng)絡(luò)活動(dòng)為參考對(duì)象的基準(zhǔn)，而后借此揪出各種不符合常態(tài)的活動(dòng)。正如我們需要利用網(wǎng)絡(luò)防火墻來將已知威脅阻隔在邊界之外，Web應(yīng)用防火墻能夠幫助我們找出那些已經(jīng)突破了邊界的惡意軟件，F(xiàn)enwick&West公司CIO Matt Kesner表示——這是一家位于加利福尼亞州山景城的法務(wù)企業(yè)。

“在技術(shù)層面，我們?nèi)匀恍枰獙⒋罅繒r(shí)間與資金投入到邊界保護(hù)方案的研發(fā)當(dāng)中，”Kesner指出。但除了堅(jiān)持使用以簽名為基礎(chǔ)的網(wǎng)絡(luò)邊界阻斷功能，Kesner還在網(wǎng)絡(luò)中的各個(gè)層面構(gòu)建起冗余惡意軟件阻斷系統(tǒng)及防火墻，其中包括該公司的Web應(yīng)用程序服務(wù)器。Fenwick &West公司利用一套日志事件協(xié)調(diào)系統(tǒng)幫助IT部門對(duì)日志記錄進(jìn)行收集、整理與分析，并為網(wǎng)絡(luò)中全部設(shè)備上的信息設(shè)定管理規(guī)則。

Kesner還部署了多款來自利基供應(yīng)商的產(chǎn)品，旨在提供各類專項(xiàng)功能，例如搜索可疑的權(quán)限提升活動(dòng)并尋找與隱藏極深的網(wǎng)絡(luò)潛伏者相關(guān)的證據(jù)?！拔覀儗⒋罅繒r(shí)間投入到確保邊界方案能夠如預(yù)期般順利起效方面，”Kesner表示?！拔覀兗俣ㄐ畔⑿孤妒鹿时厝话l(fā)生，并希望能夠從這個(gè)角度出發(fā)更好地加以預(yù)防及應(yīng)對(duì)?！?/p>

2. 建立檢測(cè)與響應(yīng)能力

時(shí)至今日，絕大多數(shù)針對(duì)企業(yè)的攻擊活動(dòng)都來自有組織的犯罪團(tuán)伙或者由國(guó)家作為背后支持者。過去那種隨機(jī)且漫無目的的攻擊活動(dòng)已經(jīng)日漸減少，現(xiàn)在我們需要認(rèn)真考慮的是那些經(jīng)過精心設(shè)計(jì)，旨在竊取商業(yè)信息、偷盜知識(shí)產(chǎn)權(quán)、窺探商業(yè)機(jī)密及財(cái)務(wù)數(shù)據(jù)的惡意活動(dòng)。相較于以往那種哪痛醫(yī)哪的思路，如今我們應(yīng)當(dāng)高度重視那些表現(xiàn)得非常低調(diào)，而且傾向于一點(diǎn)點(diǎn)慢慢獲取數(shù)據(jù)的攻擊行為。事實(shí)上這幫黑客變得極有耐心，他們可以拿出很長(zhǎng)時(shí)間逐漸拼湊出自己想要的信息。

在這樣的環(huán)境當(dāng)中，任何安全戰(zhàn)略都應(yīng)當(dāng)做出針對(duì)性調(diào)整，特別是將檢測(cè)與響應(yīng)機(jī)制納入預(yù)防工作并作為重中之重。

“以靜態(tài)規(guī)則與簽名為基礎(chǔ)的預(yù)防性工具無法阻止那些熟悉環(huán)境且水平高超的攻擊者們的惡意入侵，”RSA技術(shù)解決方案主管Rob Sadowski——RSA為隸屬于EMC的安全事業(yè)部。因此最重要的是重視早期檢測(cè)與響應(yīng)工作，從而確保入侵活動(dòng)不會(huì)給正常業(yè)務(wù)造成影響或者損害，他表示。

為了推動(dòng)這一變化，IT領(lǐng)導(dǎo)者需要利用各類工具讓自己擁有更為透徹的審視角度，從而準(zhǔn)確把握當(dāng)前基礎(chǔ)設(shè)施當(dāng)中發(fā)生的一切狀況，Sadowski指出。

舉例來說，我們有必要將網(wǎng)絡(luò)數(shù)據(jù)包捕捉與端點(diǎn)監(jiān)控技術(shù)引入到現(xiàn)有以日志為核心的監(jiān)控機(jī)制當(dāng)中，從而保證安全管理員能夠?qū)粽叩囊慌e一動(dòng)擁有更為明確的了解。

利用身份管理、身份管控以及行為分析工具，我們也能夠更加深入地了解驗(yàn)證憑證與用戶身份所受到的危害并阻止由此導(dǎo)致的進(jìn)一步影響，Sadowski表示。

3. 安全代碼開發(fā)

存在漏洞的Web應(yīng)用程序通常給黑客們留下了可乘之機(jī)，使他們得以侵入企業(yè)內(nèi)部并訪問網(wǎng)絡(luò)及數(shù)據(jù)，因此消除漏洞就成了確保數(shù)據(jù)完整性與保密性的重要前提。

常見且廣為人知的安全漏洞包括SQL注入錯(cuò)誤、跨站點(diǎn)腳本漏洞、存在缺陷或者損壞的難及會(huì)話管理功能，這一切已經(jīng)讓無數(shù)企業(yè)成為惡意攻擊的受害者。不過在最近的幾波針對(duì)大型企業(yè)的入侵活動(dòng)中，我們發(fā)現(xiàn)真正能夠解決問題的仍然是提高應(yīng)用質(zhì)量——換言之，使用更為安全的代碼。

“如果大家著手開發(fā)一款應(yīng)用程序，那么同時(shí)也有制定與之相關(guān)的安全預(yù)期，”Green表 示?！按?家 還 需 要 對(duì) 自 己的供應(yīng)商設(shè)定安全預(yù)期，畢竟我們購(gòu)買的技術(shù)方案完全由他們一手開發(fā)，而我們的安全與隱私保護(hù)也會(huì)與其產(chǎn)品密切相關(guān)。”同樣的道路，供應(yīng)鏈合作伙伴與其它產(chǎn)品及服務(wù)供應(yīng)商也應(yīng)該接受同樣的要求，他補(bǔ)充稱。

強(qiáng)化計(jì)算系統(tǒng)中的軟件組件絕不是項(xiàng)簡(jiǎn)單的工作，因?yàn)榘踩┒赐钌铍[藏在代碼當(dāng)中，IBM公司的Pistoia指出。為了防止應(yīng)用程序受到攻擊，進(jìn)而保障數(shù)據(jù)完整性，企業(yè)必須將安全環(huán)節(jié)引入到軟件生命周期的每個(gè)階段當(dāng)中，并部署各類必要的代碼審查實(shí)踐，他強(qiáng)調(diào)道。

對(duì)于很多大型企業(yè)，手動(dòng)代碼審查會(huì)帶來極為高昂的成本。因此我們可以選擇另一種具備可行性的替代方案，即針靜態(tài)與動(dòng)態(tài)程序分析機(jī)制加以結(jié)合，同時(shí)配合代碼分析流程從而在應(yīng)用程序開發(fā)內(nèi)部實(shí)現(xiàn)自動(dòng)化代碼審查。

“高級(jí)應(yīng)用開發(fā)系統(tǒng)如今已經(jīng)能夠?qū)γ恳淮翁峤粌?nèi)容或者以周期性方式檢查應(yīng)用程序代碼，”Pistoia表示。這類方案可以幫助開發(fā)人員了解自己編寫出的代碼中存在哪些問題，及時(shí)做出修正并持續(xù)追蹤，他補(bǔ)充道。

“應(yīng)用層已經(jīng)成為網(wǎng)絡(luò)安全戰(zhàn)場(chǎng)中的最新陣地，因此除了安全團(tuán)隊(duì)之外、開發(fā)及系統(tǒng)開發(fā)生命周期隊(duì)伍也需要對(duì)其給予高度關(guān)注，”Viewpost公司總顧問兼首席安全官Chris Pierson表示——這是一家在線發(fā)票與支付平臺(tái)供應(yīng)商。

他提到，對(duì)于靜態(tài)及動(dòng)態(tài)代碼的審查已經(jīng)成為產(chǎn)品開發(fā)流程中的必要環(huán)節(jié)，并補(bǔ)充稱IT喜劇之王人正投入大量精力解決Open Web應(yīng)用安全項(xiàng)目中所提出的十大安全風(fēng)險(xiǎn)。

更重要的是，不斷普及的DevOps實(shí)踐給了各類企業(yè)一個(gè)將安全整合進(jìn)軟件開發(fā)生命周期各個(gè)階段當(dāng)中的絕佳機(jī)遇?！鞍踩荄evOps實(shí)踐的最佳推動(dòng)力之一，”DevOps.com網(wǎng)站主編兼信息安全專家Alan Shimel強(qiáng)調(diào)稱。

開發(fā)與運(yùn)維團(tuán)隊(duì)需要意識(shí)到，安全問題人人有責(zé)，而且應(yīng)當(dāng)在產(chǎn)品生命周期之初就將控制手段集成進(jìn)去。另外，我們還需要進(jìn)一步對(duì)現(xiàn)有方案的安全重視水平加以提升，他指出?！拔覀兡壳斑€處于大多數(shù)企業(yè)需要努力向員工強(qiáng)調(diào)安全性的重要意義以及DevOps對(duì)安全性的提振作用的階段，”Shimel表示。

4. 重視人為因素的影響

近年來有不少重大攻擊活動(dòng)在初期都表現(xiàn)得人畜無害，而攻擊者們會(huì)偽裝成合法用戶使用必要的登錄憑證訪問網(wǎng)絡(luò)，例如員工、業(yè)務(wù)合作伙伴或者供應(yīng)商等等。黑客們擁有高超的社交工程技術(shù)以及經(jīng)過精心設(shè)計(jì)的網(wǎng)絡(luò)釣魚郵件，能夠借此獲取到用戶名及密碼并頂著其身份訪問對(duì)應(yīng)企業(yè)網(wǎng)絡(luò)，而后再利用這一立足點(diǎn)搜尋并訪問關(guān)鍵性業(yè)務(wù)系統(tǒng)及數(shù)據(jù)存儲(chǔ)內(nèi)容。

這種戰(zhàn)術(shù)可謂屢試不爽，倒在其面前的知名企業(yè)包括Target、Home Depot以及美國(guó)人事管理辦公室等等。面對(duì)這一嚴(yán)峻現(xiàn)狀，各組織機(jī)構(gòu)開始抓緊時(shí)間對(duì)員工及其他授權(quán)用戶進(jìn)行培訓(xùn)，幫助他們更加透徹地了解現(xiàn)有安全風(fēng)險(xiǎn)，從而確保其能夠識(shí)別并抵御這類潛在威脅。

“員工需要切實(shí)了解自身在保護(hù)企業(yè)資產(chǎn)當(dāng)中所扮演的重要角色，”萬事達(dá)卡的Green強(qiáng)調(diào)稱。

在多數(shù)情況下，訪問企業(yè)數(shù)據(jù)的用戶并不會(huì)意識(shí)到自己作為個(gè)人對(duì)所訪問資產(chǎn)承擔(dān)著保護(hù)義務(wù)。而為了鼓勵(lì)這部分用戶積極接納這樣的業(yè)務(wù)系統(tǒng)維護(hù)責(zé)任，Green表示萬事達(dá)卡“建立了一套學(xué)習(xí)文化，這樣我們就能夠定期對(duì)員工進(jìn)行培訓(xùn)，幫助他們了解自己該如何保護(hù)資產(chǎn)安全，特別是在新興威脅不斷涌現(xiàn)的當(dāng)下?！?/p>

作為這項(xiàng)工作的一部分，萬事達(dá)方面將傳統(tǒng)培訓(xùn)手段與Green所說的“寓教于樂”機(jī)制加以結(jié)合，從而向員工傳達(dá)最為重要的信息。“因?yàn)榉缸锓肿觽冏兊迷絹碓铰斆?，所以我們必須得搶在他們前頭培養(yǎng)安全與保護(hù)意識(shí)，”他表示。這一思路旨在為員工留下深刻的印象，強(qiáng)調(diào)他們屬于安全團(tuán)隊(duì)的重要組成部分——即使不會(huì)有人直接向他們匯報(bào)當(dāng)前安全狀況。

“如此一來，我們的安全體系中已經(jīng)開始出現(xiàn)各類極具創(chuàng)造力的實(shí)現(xiàn)途徑，”Green指出。他同時(shí)表示，目前公司開始推行名為SafetyNet的安全項(xiàng)目，旨在保護(hù)自今年10月以來持有萬事達(dá)卡的用戶們的數(shù)據(jù)安全。

5. 保護(hù)業(yè)務(wù)流程

即使擁有了最出色的安全技術(shù)手段，企業(yè)仍然有可能被糟糕的實(shí)踐方式與流程執(zhí)行水平所拖累。為了避免這類狀況，F(xiàn)enwick & West公司的IT部門開始推行被Kesner描述為針對(duì)管理政策與執(zhí)行流程的一系列大大小小的調(diào)整工作，旨在利用新模式處理敏感數(shù)據(jù)。

舉例來說，過去這家法務(wù)企業(yè)的管理政策要求對(duì)往來客戶數(shù)據(jù)盡可能全部進(jìn)行加密，但現(xiàn)在這已經(jīng)成為一條不容商量的硬性規(guī)定——必須加密。Kesner的團(tuán)隊(duì)還推行其它一些新型管理政策，旨在確保企業(yè)存儲(chǔ)區(qū)域網(wǎng)絡(luò)當(dāng)中正在使用以及處于閑置狀態(tài)的數(shù)據(jù)都經(jīng)過加密處理。企業(yè)當(dāng)中所有筆記本電腦及臺(tái)式機(jī)中的敏感數(shù)據(jù)都需要經(jīng)過加密，而IT部門則每六個(gè)月定期對(duì)這方面工作進(jìn)行審計(jì)與測(cè)試。

這家法務(wù)企業(yè)還引入了第三方及安全廠商定期進(jìn)行滲透測(cè)試與模擬攻擊，幫助其尋找還有哪些漏洞可能引發(fā)安全風(fēng)險(xiǎn)?！霸趪?yán)格的保密協(xié)議的要求之下，我們請(qǐng)安全工程師進(jìn)入內(nèi)部環(huán)境，并對(duì)業(yè)務(wù)流程中的每個(gè)環(huán)節(jié)進(jìn)行滲透測(cè)試，”Kesner指出。在此之后，IT團(tuán)隊(duì)會(huì)要求安全廠商出具一份包含五項(xiàng)改進(jìn)舉措的名單，幫助其進(jìn)一步完善現(xiàn)有安全管理政策。

Fenwick&West公司目前要求所有合作伙伴必須以書面形式披露其安全實(shí)踐的完整細(xì)節(jié)，并正式認(rèn)可其了解并遵循這家法務(wù)企業(yè)所做出的一切安全政策及執(zhí)行流程規(guī)定。各合作伙伴必須采用基于令牌的雙因素身份驗(yàn)證機(jī)制，以配合用戶名及密碼一同訪問Fenwick公司的業(yè)務(wù)網(wǎng)絡(luò)。

目前很多企業(yè)都在采取類似的處理辦法。網(wǎng)絡(luò)安全已經(jīng)成為首要任務(wù)之一，而企業(yè)中的領(lǐng)導(dǎo)團(tuán)隊(duì)以及董事會(huì)也認(rèn)清了這一現(xiàn)實(shí)?！倍聲?huì)希望并要求了解公司當(dāng)前的網(wǎng)絡(luò)安全水平，以及立足于控制、治理以及運(yùn)維角度的具體定位，”Viewpost公司的Pierson解釋道。

“如果大家希望留住客戶并取得他們的信任，那么安全與隱私保障成效將成為我們企業(yè)文化及價(jià)值主張的有力基礎(chǔ)?！?/p>