遭遇严重安全事件的公司几乎总是犯过安全领域七宗罪当中的一项或多项罪名。贵公司也犯有这些罪名吗?
任何一位称职的信息安全从业人士都会告诉你,坚固的防御系统建立在技术、政策和方法组成的多层防线上。这就是深层防御(defense-in-depth)。
当然,技术这层防线是其中的一个关键部分。但遭遇重大网络安全事件的公司经常在一个更加根本的方面没有做到位。以下是网络安全领域的七宗罪,专家们表示它们在企业界“蔚然成风”。你若能避免这几宗罪,无异于向安全网络迈出了关键的一步。
一、没有评估风险
这宗罪通常是指没有全面地评估公司里面最重要的资产以及这些资产的网络配置信息。有句老话说得好,要是不知道王冠上的宝石有哪些、放在哪里,也就无法保护它们。
许多人把“没有网络拓扑结构图或者资产发现软件,因而没法确认网络上有哪些资产、网络运行情况”列为一宗罪,美国邮政总局的公司信息安全服务经理Chuck McGann也是其中之一。
思科系统公司的安全信息经理Michael Leigh表示,如果公司没有准确地评估风险,管理人员就常常会产生虚假的舒适感,以为单单使用反病毒软件和防火墙就很安全了。可坏消息是,其中一些安全技术恰恰会成为公司竭力预防的那个问题。
Leigh说:“我发现,许多公司以为自己的安全硬件/设备(路由器、防火墙和交换机等)很安全,于是没有在这些设备上增设其他防线。这些设备往往坏人是进入公司企业的立足点。”
Forsythe Technology公司的安全解决方案架构师Ken Smith表示,他好多次见过这个问题:还没有明白公司的要求和需求,就贸然实施安全控制和政策。他说:“这是安全从业人士常常被认为刻板或者没有为本公司增添价值的主要原因。如果是这样,用户就会另外想变通办法,而这些办法可能比你所要预防的问题还要来得糟糕。”
犯这宗罪的通常是上层管理人员;这种情况下,公司投入了大量的时间和财力来遵守政府法规和行业标准,比如《健康保险可携性及责任性法案》(HIPAA)或《支付卡行业数据安全标准》(PCI DSS),随后一旦遵守规定的需求一一得到了满足,就不管它了。
专家们一致认为,虽然这些法规在网络安全方面提供了一个良好的开端,但它们绝对没有涵盖保护数据必不可少的所有需求。
加拿大的独立安全顾问Timothy Brush表示,以为遵守规定就安全了这种观点类似这种错误:把安全看成是个项目,而不是看成是个流程。上层管理人员把安全看成是必须上马的一个项目,通常是为了遵守规定,之后就失去了兴趣。
Brush强调:“安全领域(包括技术、厂商、攻击途径和安全漏洞等)在不断变化。最新的技术和程序可能也许会暂时改善一家公司的安全状况。技术包括防火墙、入侵检测系统/入侵预防系统(IDS/IPS)、身份管理系统以及近期流行的厂商驱动技术;程序包括政策、标准、框架和业务流程。”但是过了一年或五年后,最新的技术和程序可能没有太多帮助。
Techtonica公司总裁Daniel Blander是认证信息安全经理(CISM)兼信息系统安全认证专业人员(CISSP),他看到这宗罪一次次地上演。他在最近介绍后PCI时期审计难题的报告中提到了这宗罪。
他说:“管理人员开展了两个PCI项目后,最大的毛病通常是这种观念‘好了,现在遵守规定了,所以大功告成了。’虽然有些管理人员知道为什么要遵守PCI,但不知道全面的风险管理。之后保持注意力才是最大的挑战。”
所有罪有一个相似的地方,就是公司往往把安全看成主要是个技术问题,却忽视了最大的危险来自使用机器、但其实不知道自己在干什么的那些人;或者忽视了这一点:借助普通的社会工程学伎俩,就可以让粗心大意的员工上当受骗。
华盛顿特区休斯网络系统公司的高级安全工程师Matt Polatsek说:“太多人关注用于本公司内部基础架构安全的工具和预算。面对蓄意破坏活动或不小心透露等安全事件,他们往往忽视了人及/或员工这个因素。”
他表示,防火墙、虚拟专用网(VPN)、IDS/IPS、安全信息与事件管理工具、远程访问、加密、交换机和路由器,这些都好用而好玩。但到头来,很少有人认识到对广大员工进行安全意识教育的重要性,而且往往缺乏切实可行的政策,规定用户可以在公司机器上做什么、不能做什么。
美国银行前副总裁Gary Bahadur如今是一名业务运营和安全技术主管,他个人把这个问题列为第一宗罪。
他说:“不对最终用户进行基本安全措施方面的教育及培训是一大问题。如果最终用户还是点击不明的电子邮件链接、把密码贴在电脑屏幕上、浏览色情网站,那购买再多的安全设备、投入再多的资金都无济于事。能够带来最大安全投资回报的是用户教育。”
大多数调查对象一致认为,缺乏访问控制这宗罪会让许多公司在将来遇到麻烦。
美国东南部一家教育机构的网络管理员Toivo Voll说:“我见过的最大错误就是,管理人员没有支持制订内容清晰、切实可行的政策所需的必要费用和日常需要;这种政策规定了谁有权做什么,谁负责授予或拒绝访问权限,谁负责审查变更,统一管理这些工作,不至于给公司的业务运营带来太大的负担。”
全国危机和连续性协调中心(NC4)的首席安全官George Johnson表示,IT部门常常为每个人分配管理员权限,以便减轻比较严格的控制所带来的工作负担。他表示,这实际上会招惹重大危害。
不过相反的做法:只为公司主管分配管理员权限,却把其他每个人拒之门外,同样非常危险。
Johnson说:“黑客现在盯上了公司主管――这种手法名为‘鲸钓’(whaling),所以这是一大风险。如果公司老板明显对安全工作满不在乎,这也会严重损害安全工作的可信性。公司文化是自上而下的。”
去年夏天在旧金山的安全事件提供了另一个佐证,表明把太大的控制权交到一个人的手里面临很大风险。旧金山市的那名网络管理员把别人都挡在了关键系统的门外。
一种常见的安全错误源自公司无法及时为的网络上各个设备打上所需的全部补丁。Verizon公司最近的一项调查可以证明这个问题;调查显示,如今得逞的安全攻击有90%涉及相应补丁至少存在了六个月之久的安全漏洞。
Verizon在其2008年发布的《数据失窃调查报告》中称:“对绝大部分针对已知安全漏洞的攻击而言,补丁在攻击发生之前已经存在了好几个月。另外值得一提的是,没有哪起安全事件是由及时打上了补丁的漏洞引起的。”
专家们表示,不法分子知道许多公司迟迟没有打上补丁;于是他们继续针对比较老的安全漏洞做手脚。安全专家们表示,实际上,如今像“冲击波”和“震荡波”这些蠕虫仍在广泛传播。这两种蠕虫四五年前就出现了,相关厂商随后在第一时间提供了相应补丁,但现在还是有人因迟迟没有打上补丁而屡屡中招。
Acxiom公司的IT安全分析师Dan Ward个人认为这宗罪是最严重的几宗罪之一。他表示,这个问题不单单指没有及时为操作系统打补丁,还指没有及时为中间件、应用程序、甚至设备驱动程序打上安全更新版。
这宗罪是指许多公司没有密切关注来自网络上各个设备的所有活动日志。McGann指出,公司必须知道网络上的运行情况,那样才能保护其安全。
Ward同意他的观点。他说:“日志管理是其实没人喜欢应对的那些问题之一。但既然我们是安全专业人士,确实需要深入分析日志数据,了解在终端用户链的各个层面出现的情况。”
据说在网络安全行业,你必须遵守K.I.S.S.原则,即“尽量简单”(keep it simple, stupid)或“为了安全,尽量简单”。遗憾的是,由于公司添加了一个又一个设备,又常常配置不当,结果网络变得越来越复杂。
要是没有对网络的某些部分进行分段,以便与其他部分隔离开来,就会面临灾难。
Brush说:“我能说什么?复杂性很糟很糟。”
FishNet Security公司的数据安全主管Nick Puetz表示,可信网络是IT安全领域的基本概念之一。然而,虽然大多数公司会不惜血本来保护网络边界的安全,“却没有抽出一点时间对内部网络来进行分段。”
因而,几乎不可能掌握了解敏感数据从网络上的一个部分传送到哪个部分。如果你不知道所有数据在网络上的位置,想保护它们就异常困难。这同样让法规遵循审计人员直皱眉头。