如何才能知道你的企业有没有被入侵呢?实际上,这是个很简单的问题,人们的回答往往是你需要某种程度的事件检测能力。然而,在一次网络评估中,一位CIO苦笑着告诉我,如果他当初花费时间和金钱建立一个能真正工作的检测架构,现在可能能证明企业存在着安全问题。但我认为他不完全是在开玩笑。
尽管检测技术取得了重大进展,但是许多企业还是落在了时代的后面,没能建立起强有力的检测功能来识别真正具有威胁的事件。检测不仅仅是一个技术工具集,它还具有一些复杂的功能,其中包括明确定义的技术领域以及过程领域,这需要由称职的人员来管理。任何一个领域出现纰漏都会严重削弱检测的效果。
不幸的是,许多企业并没有把检测看成是一种战略上的安全能力,这导致企业所做的努力仅仅局限于部署基于网络入侵系统(IDS)传感器的签名,跟踪那些明显、简单和那些通常不具威胁性的活动(如端口扫描)。你可能还需要跟踪端口扫描来查清对获悉你的资产配置感兴趣的人,但这些简单的、开箱即用的 IDS技术对于现在的威胁来说其检测能力并不强大。另外,许多公司没有足够的分析能力去分析多点数据之间的关系,从而无法检测出广泛的攻击类型或者复杂的攻击,尽管市面上有很多解决这些问题的技术。
有些企业选择把技术检测设备的管理外包给别的公司。然而,许多企业忽略了那些由服务提供商返回的数据,只是一味自豪地忙着把他们的服务合同给监管人员以及审计人员看,好像合同就是企业检测能力的证据一样。虽然,这样的合同似乎满足了许多监管人员以及审计人员的要求,但是企业不应该把审计人员签发的规则遵从声明看成是企业安全实力的证明。
脆弱的检测能力会带来多重问题。很明显,这些问题会导致企业不断遭到网络入侵者的破坏、造成重大的信息损失,可能还会影响计算资源的可用性。另一个问题是,在发现公司被入侵之后,无法进行适当的安全取证调查。而强有力的检测技术一般都能够提供一些有用的机制来捕获历史数据,这有利于事件发生后的分析工作;分析结果也可以以指标的形式组合起来,从而有利于控制方面的改进。与入侵事件相关的稀少数据还可以减少不必要的民事以及刑事案件,这是企业希望看见的。相反,不具备强有力的检测能力则表明技术管理层面存在着疏忽,进而表明企业没有履行“应尽的责任”。
建立有效的检测能力需要建立一个综合的架构,其中包括能够真正检测出威胁企业财产活动的技术以及过程。它不仅包括技术架构,比如入侵检测与防护以及安全信息和事件管理系统,而且还需要支持监督活动。如果没有足够的操作监控以及响应过程,那么用于检测资产威胁的技术工具集就起不到应有的作用,即使企业这么做是出于对入侵检测设计的重视。
定期的网络入侵测试有时会被曲解成一种有效的检测能力测试。但是,那些测试检测架构有效性的技术(如渗透测试)只有跟相应的响应操作结合起来才能发挥作用。响应操作能够评估技术检测方面(IDS识别这个测试攻击吗?)以及适当防护方面(IDS的所有者注意到自动警报了吗?他们采取了适当的应对行动吗?)的成功程度。我在安全评估过程中使用过一种方法是利用持续增加严重程度来进行测试。换句话说,我们在敲门时逐次增加敲击的力度,然后去观察: (a)敲击被发现的时刻以及(b)与攻击类型相关的响应操作的适当性。这种测试方法支持对整体检测效果的评估。
企业在安全的多个领域中有一个非常明确的选择,我们可以把它归结为一个非常基本的概念:企业的安全目标是为了满足审计人员呢,还是用来真正识别过程中的威胁以便更好的保护信息?那些采取最低限度做法(比如订购管理质量差的检测服务,不具备设计适当的内部数据管理程序)的企业,要么是在跟他们自己开玩笑,要么是在跟他们的监管人员开玩笑,要么这两种情况都有。