DoSECU 安全分析 10月9日消息:在本周的新闻报道中,我接触了eIQnetworks的安全和法规遵从专家约翰.林卡斯。 eIQnetworks公司是企业级综合安全,日志管理和法规遵从自动化软件套装SecureVue的制造商。全新的SecureVue 3.2版本是一种6层可升级体系架构,能使安全产品来管理世界上规模最大企业的全球化安全。有了这个架构,SecureVue可每秒以处理高达100万次的安全事件。
作为安全和法规遵从的专家,林卡斯对网络安全问题有着全球化的视野。通过采访林卡斯与我们分享了他的五个关于信息安全的最佳实践方法:
了解你的资产。 如果你不知道你有什么,你就无法管理它。因此对于信息安全管理人员来说,对信息资产具备完整和及时的的最新知识是非常重要的,从基础架构设备,到服务器和工作站,以及诸如数据库和电子邮件系统这样的外围设备和数据存储库都是如此。虽然大多数信息安全企业能肯定他们了解哪些技术资产,这对于他们了解一些意外情况一样重要:比如说新的设备会突然显示在网络上;意想不到的无线接入点,在防火墙内部移动的异常网络协议。这些意外的资产会给环境带来巨大的风险,包括会被黑客利用的新攻击矢量。
减少信息安全监控的噪音级别。 信息安全是以发现异常情况为基础的学科。虽然组建事故响应小组来解决一些明显的问题并非难事,但在整个环境中传播的网络蠕虫病毒可不是那么容易解决,有些情况似乎更加复杂,比如登录失败。
典型的实例是星期一上午的大型企业,安全监管团队可以看到几十,甚至数百名员工因为"胖手指"导致的登录失败。不幸的是,大多数企业没有资源对每一次宕机和失败的登录进行追踪,来判断它是意外还是恶意导致的。相反,他们承认在其控制台上存在这种情况-当然,这并不是真正的安全。
其中一项失败的登录是否就是导致信誉攻击的第一步呢?如果没有通过消除误报来降低"安全监测的噪音级别"的能力,那么安全团队就无法实现真正的安全。
解决这个问题的一个方案就是关联性。举例来说,如果安全监控团队的成员不能触发每一个失败登录的警报,而只是登录优先的成功登录的系统-例如建立一个新的用户账户,或者安装新的软件-安全工程师应该能够围绕初始失败的登录事件来建立上下文,或许只是大家众所周知的"大海捞针"也要去做。
进行量化风险管理。 坏的事情所有时间都是发生在技术方面:从悬挂操作系统过程到来自网络内部和外部的攻击,再到未经授权的配置更改-每种类型的技术都存在风险。关键是了解这些风险存在的地方,最重要的是它们会对业务造成怎样的影响。
对信息安全所采取的量化风险管理需要直接从技术资产中提取真正的数据-比如配置变化,风险简介,异常的系统活动以及其他信息资料-区分风险的不同级别让安全管理者和风险专业人员充分了解一个系统,应用程序或数据库所面临的风险。使用这些信息,安全管理人员可以通过实施新的和更好的安全控制来缓解这些风险,减少在这一过程中可能对业务所产生的影响。
融合安全信息。多数企业都使用信息安全工具的组合来监控和执行安全协议。从反病毒软件到漏洞扫描再到数据防损技术,网络接入控制,IDM,IDS/IDP和SIEM这样的一系列工具,安全专业人士必须熟悉这些所需的工具来维护安全。
不幸的是,这也意味着他们必须经常更改控制台来查看所有这些数据,更重要的是,这些个别问题的解决方案并不彼此关联,这意味着安全专业人员要去进行他们之间数据的手动关联。如果没有一个全面的,对与企业相关的所有安全数据的全盘看法,安全团队就会面临沟通上的鸿沟。
具有多种安全问题解决方案的企业应该考虑各种技术,来帮助他们将所有类型的安全数据(比如说日志,配置和资产数据,网络流量,漏洞,和性能指标等)融合到一个统一的,集成的控制台中来实现从被动到主动的有效的安全性。
系统配置标准化和审计。恶意攻击者和木马程序软件都知道错误配置的操作系统,网络设备发现和应用软件是最容易得手的攻击目标,事实上,整个行业都是围绕安全控制技术建立起来的,比如补丁管理和访问控制管理。
安全管理人员需要确保其系统配置的准确无误,让系统满足企业业务的安全需求,同时保证某些敏感信息得到充分的保护。但是建设安全系统只是完成了整个过程的一半;安全专业人员还需要继续监督这些制度的执行,来确保他们的配置仍是安全的。如没有持续的集中配置审计方式,系统就很容易在升级过程中发生安全配置的故障。