你的信息安全措施管用吗?


作者:Bill Young

对于“设置好即可高枕无忧”(Set it and Forget it)的工作方法,安全工具是个例外。

你的信息安全措施管用吗?

毫无疑问,信息安全市场是跳跃式发展的。但随着不同类型安全设备和技术的复杂性和数量的增长,你的安全水平是否真的在提高呢?你在遵守相关法规方面做得怎么样呢?我们是否虽然愿望良好但却在走下坡路呢?

深层防护

如果问安全工程师晚上让他们睡不着觉的是什么,他们很可能告诉你,是自己环境中某个已知的弱点,而自己又没有时间来解决,也就是他们怀疑自己可能忽略了的某种东西;或者是他们非常怀疑其存在于系统中,但就是不知道到底是什么的某种脆弱性。这些想法像幽灵一样让信息安全专家感到恐惧。

从事安全工作的专业人士承认这些可能性是存在的,也在试图采用深层防护策略来减少它们,从而降低单个的弱点给公司造成的风险。

那么,深层防护到底是什么呢?简单来讲,它就是实施多层保护、减少公司安全隐患的思想。如果“隔离区”(DMZ)中的一种设备或一层出了问题,你仍可保护公司的关键数据或专有数据。成功的深层防护策略要求结合经过专门训练的人员、有效的工具和过程、相关政策和最终用户培训等多方面。深层防护能够提高整个系统的健康和抵抗力,虽然它不可能彻底消除发生个别事件的风险,但却是减少其影响、让自己晚上睡好觉的最有效的方法。

良好愿望

法规遵从性和相关审计在行业中的要求不断普及,越来越多的公司和行业正努力去满足法律所规定的安全要求和其他安全要求。像美国的《萨-奥法案》(Sarbanes-Oxley Act)、《健康保险便利及责任性法案》(HIPAA)和《联邦信息安全管理法案》(FISMA)等,只是促使机构增添更多信息安全控制措施的相关法规中的少数几个。这些控制措施的成功采用应该能增加深层防护的效果。而且,我们的确看到,这些法规正在成功地促使机构以一定的紧迫感去解决安全问题,而不是承诺要在下个财政年度采取更多措施。

每年,美国计算机安全研究所和联邦调查局(FBI)都要发布《计算机犯罪和安全调查报告》。最新的调查是2004年的,它表明,我们也许达到了一个转折点。我们首次看到安全隐患及每次事件的经济损失都呈下降趋势。这是一个令人鼓舞的信号,它的确表明风险是可以降低到可以掌控的水平的,但我们仍有很长的路要走。例如,我们继续看到未经授权的登录、网站入侵和病毒等事件的发生次数在增加。关于新安全隐患的一个详细清单每周发布。

尽管人们的安全意识已经达到历史新高,我们的防护策略却仍有很大的改进空间。

问题出在细节上

虽然安全工程师有一个保护各自机构的共同目标,但他们的技术背景却经常是很不相同的:

  • Windows 管理员
  • UNIX 管理员
  • 网络/防火墙管理员
  • 政策制定者和审计师

这些人员的专业技能中的每一种对于有效的安全保护都是宝贵的。但是,我们通常把重点放在我们特定的优势上,倾向于在我们理解的或感兴趣的东西上花时间。这种倾向造成一种趋势,即我们往往会先采用我们最强领域的安全控制措施,然后再配置能够最终保护系统不受同样或类似问题侵害的其他安全控制措施。

结果是,很多独特的深层防护“层”经常在同一领域内。一个UNIX管理员也许会配置很多不同的安全措施,但如果公司没有一个关于密码的政策,这个系统仍然有可能被轻易突破。

现实就是这样,这也是为什么安全管理员应当避免只在自己觉得熟悉的有限的安全防范区内进行管理,他们需要在所有相关区域采取措施。安全团队可以更好地进行这项工作,因为他们可以进行分工,使团队的成员能够专门去做自己擅长做的事情或自己喜欢做的事情。

工具需要人来操作

在企业继续增加其安全工具的资本预算的同时,它们未必同时增加了正确部署和管理这些产品所需的人员预算。对安全防护策略不断增长的需要,使得可供使用的产品显著增加。每年企业都要批准用于购买“下一个最伟大的安全工具”的预算,而这样做经常是由于前一年的审计工作反映出了问题或出现了网络入侵事件。我们有大量的安全工具可供选择,包括一次性密码生成工具、入侵防护系统、系统加固工具、以及内嵌式网络防病毒应用系统等。

但是,对于在计算技术领域常见的“设置好即可高枕无忧”(Set it and Forget it)的工作方法,安全工具几乎总是例外情况。需要大量工程资源来使安全产品产生效果,办法是正确安装安全产品,并根据特定环境来改造解决方案。部署新产品也会消耗现有的支持资源。你周围的安全环境在不断变化——新的弱点每周都在出现,用于个人识别的电子签名现在也开始使用了,你还必须让自己的安全工具“意识”到增添到你的网络上的新设备如Web服务器等——因此,这些工具必须不断更新。

如果部署工作的时间不是很充分,或者现有支持资源不够用,这些解决方案中很多从功能上来讲就会被束之高阁,派不上用场。从技术手段来寻求解决问题的办法是常见的做法,但在安全管理和网络管理上,人、时间和系统集成/调试也是有效解决方案所需条件的构成部分。

我经常问工程师们的一个问题是,“为什么”他们最后才检查其防火墙、系统、或IDS日志。我几乎总是得到这样的回答:“因为我在对某个问题进行故障诊断。”这些工具是安装用来监测、保护和向我们通报安全事件的,而我们却没有养成“倾听”它们的习惯。

审计陷阱

审计对于信息安全意识来讲可以说是最好的事情。审计经常导致政策的发展、用户的教育、更好的补丁以及一个机构的安全状况的全面改善。遗憾的是,审计也在将这个行业训练成“一个更会说谎的人”。

是否能够通过一次审计,对于一个企业的继续经营来说经常是非常关键的。这就给工程师们施加了不惜一切代价通过审计的压力,即便这意味着要掩盖已知的问题。当一次审计到来时,大量尘封不用的安全工具都被拿出来,其中很多纯粹是为了应付审计才安装的。工程师称,他们一直在审核和分析数据,当入侵防护系统看到一个问题时,他们会让审计师去看网络运行中心的提示屏(这个提示屏可能只是在审计师到来前的上午才检查过的,目的是确保该提示屏在正常工作)。因为审计涉及很多内容,所以审计师经常并不是所审计的每个领域的合格专家。

审计还会使我们浪费精力。审计工作的一个普遍要求是,安全人员必须首签一个日志的每一页。当每天上午都有100页以上的日志需要首签时,安全人员很少仔细对其进行阅读。安全事件关联和整合工具可用来提高效率,但它们仍然是需要大量资源的,并且可能不能满足审计要求。

在审计完成,结果通过审核之后,最经常出现的两件事情是:

  • 如果没有重大发现,公司会回到老样子,有一种错误的安全感,认为已不存在严重问题。
  • 如果有问题,审计结果会被扔到管理层面前,声称需要额外的资金来购买另一种工具,以确保公司能通过下一次审计。

开始睡个安心觉

即使已经有了一些改善,我们仍然有若干问题需要解决。信息安全的基本原则要求我们了解风险,并在了解情况的前提下进行决策,以对风险做出反应或接受之。技能的缺乏、人员的短缺、以及审计和法规遵从的压力使得其中很多问题不能得到正确评估和处理。

经常,咨询人员可帮助完成一种新产品部署的第一阶段工作。在最初阶段提供充分的资源,能够确保一种产品的部署是完全符合要求的,而这也是确保正确集成所必需的。然而,要想获得成功,需要有效的技术传授和培训。而且,最重要的是,需要足够的全职人员来管理和维护这些工具。

实现信息安全的基础要求是认真执行纪律和流程。陷于有效安全措施的高成本和被黑客攻击的高成本两难之间,使得信息安全必须是一个不断变化和改进的过程。我们在整个行业范围内都取得了进步,并且正在减少攻击的风险和影响。但是,没有一种工具能解决所有安全问题。此外,我们还需要关注事情的“人和流程”的一面。

深层防护的关键是,安全、网络、系统和法规遵从方面的专业人士及管理层之间的充分配合和决心。有了对所需的所有资源(包括人以及工具)的明确认识,就可以执行和维护一个真正有效的深层防护安全计划。

【关于作者】

Bill Young是Chesapeake NetCraftsmen公司(www.netcraftsmen.net)的一名高级安全顾问,该公司为网络设计、操作系统、应用、安全、存储和IP电话等提供高可用性解决方案。