【譯】一則故事:達到絕對安全的三個最佳措施

OneAPM官方技術部落格發表於2015-12-30

過去的一年,我有幸為怎樣保護一些重要且易受攻擊的網路提供了諮詢服務。我說它們易受攻擊是因為他們已經遭受過多次攻擊。所以,他們需要完善的安全措施。我知道,在網路安全業務中,即便投入了鉅額預算,完美的安全保護措施仍是不可能的,相當不錯的安全保護措施也很難做到。這就是為什麼經常有人問我如何做好安全保護。我寫這篇文章的目的就是為了和大家分享,怎樣通過3個簡單的步驟,得到幾乎完美的安全保護。(本文系 OneAPM 工程師編譯整理)

一則故事:達到絕對安全的三個最佳措施

第一步:瞭解你的資產

四處走一走,記下你看到的資產。和工作的人聊一聊,然後寫下你之前沒有看到的資產。做資產管理。多數人認為資產就是貨棧裡的金錢和存貨。

有時候資產是這些,但是那些可以讓你賺錢的東西都算資產,甚至你的安全伺服器和安全軟體都可以算作資產,因為它們是利潤的推動者。所以試想:如果你的業務是火山旅行,那麼防火型內衣就是旅行的安全保障和必需品,因此,它也是在惡劣環境中牟利的利器。因特網也是一種惡劣的環境。你需要網路安全才能保證業務平穩執行。因此,網路安全是在因特網中牟利的必需品。

第二步:採用最好的措施

安裝和配置以下軟體:防火牆、防毒軟體、web應用程式防火牆和入侵檢測系統。然後定期進行漏洞掃描、滲透測試和補丁管理。

寫一個安全政策並讓管理層簽字,因為你知道如果他們不簽字,是不會重視安全問題的。

制定一個可執行的員工政策,然後讓每個人簽字。一直督促他們直到他們簽字,在必要時可以採取一些威脅措施,並給予簽過字的人獎勵。

找到一個可靠的備份系統,儘可能頻繁地全面備份資料庫資料。

把怎樣快速推出補丁,如何應對病毒及惡意軟體爆發完整地記錄下來。

將 IDS,WAF 和 AV 中的日誌轉化為度量攔截和終止多少惡意行為的指標。

開設網路安全意識課程並讓所有的員工觀看視訊並回答問題。使用系統提醒他們繼續未看完或未完成的課程。在不得已的情況下介入並強制他們完成,因為相比於完成課程,更重要的是讓他們知道自己受到了監督。

僱傭一個滲透測試公司尋找你的網路弱點。聽從他們的建議進行少量的配置更改,比如刪除 Web 伺服器上的舊檔案與重新命名檔案。如果報告顯示你的網路安全效能高,你應該感到高興。衡量你的進步並定期地向管理層報告。

第三步:受到嚴重的攻擊

不僅是受到嚴重的攻擊,而且是受到令人難堪的嚴重攻擊。這些攻擊把公司的郵件和檔案放到 Pastebin 上,把 web 伺服器上的資料刪掉。他們把錢從工資銀行賬戶轉移出來。他們使你工作看上去毫無意義。

你要花時間去回覆管理層攻擊是怎麼發生的。感覺你的胸口悶悶的,十分無助。甚至感覺胃也出了問題。你躲在辦公室裡強忍著不哭,若是有人問起,你只說自己是灰塵過敏。

一則故事:達到絕對安全的三個最佳措施

你意識到需要採取行動。你生氣,拋開一切事情調查攻擊是怎麼發生的。檢視歷史事件和日誌,直到看得頭痛欲裂,雙眼乾澀。你還得不時停止調查來回答管理層的問題。最後放棄調查。告訴每個向你詢問情況的人,你真的不知道攻擊是怎麼發生的。

管理層問你是否應該聯絡警方,實際上你也不知道。你聯絡警察,但他們也不知該做什麼。你告訴管理層應該聯絡可能會受到影響的合作伙伴和客戶。告訴他們避開記者。他們問你該說如何回應,你不知道,只告訴每個人應該修改密碼。

你重點清理涉嫌的缺口,並掃描其他區域,更改所有的密碼,在網上閱讀其他人如何談論這次漏洞。你感到胃不舒服。網上的安全專家說的每個人都會受到攻擊,因此找到一點安慰。你回家睡覺但是整晚躺在床上睡不著,擔憂到了極點。

因為緊急事件你又早早地來到公司。web 伺服器頁面被標記,資料庫崩潰。但是幸而你已經投資了一個牛逼的備份解決方案。看到最近的可追回資料是一個月前的,你又從未測試過恢復系統,真想踢自己。覺得自己愚蠢,生氣,捶打備份系統。打完後感覺更加愚蠢。躲在你辦公室裡,執行掃描。

躲了足夠長的時間出來向管理層報告。在路上避免與他人有目光接觸,告訴管理層你還在調查和清理。接受他們提出的更大預算。但不要告訴他們為時已晚,雖然你是這麼想的。你常常這樣想。

你思考當初要是有更多的錢,會做哪些不同的事情。告訴自己你會買市場上最好的防火牆,想想你會買哪一個。然後告訴自己無所謂,因為每個人最終都會受到攻擊。你感到生氣,開車回家的時候也很生氣,沒有理由地從自己的草坪上開過去。看蹩腳的電視節目,直到你昏睡在沙發上。在接下來的一週中,重複這些事情。

口袋裡的手機把你吵醒,再次發現 Web 伺服器被標記。直接穿著睡覺穿的衣服去上班,發現其他員工在走廊裡躲著你。你團隊裡的同事告訴你,你看起來糟透了。不要哭,做幾次深呼吸,然後躲在辦公室裡解決web頁面問題。意識到標籤頁的最新資料庫備份是一週前的。分析日誌和等待掃描完成的時候,你趴在辦公桌上昏睡了過去。

你醒來後,決心解決這個問題。衝一杯咖啡,避開他人的目光。走到辦公室的白板前,思考攻擊是從何而來。製作一張簡單,有邏輯的網路圖。擦掉它們,再畫出邏輯圖,畫出你的安全覆蓋區域,用箭頭標記圖中可能受到攻擊的安全系統和軟體,以及可以衝破該覆蓋區的攻擊型別。然而什麼也沒學到。擦掉邏輯圖,畫威脅樹。什麼也沒學到。再次擦掉威脅樹,再次畫出邏輯圖,標出每一個可以入侵的地方,標出資料可以從哪裡流出。然後你意識到這沒有邊界,哪裡都可以進出。你的胃又感到不舒服了。

你深呼吸,然後重新開始。思考在哪裡採取安全措施可以保障一切進出。意識到你只有過濾器,而沒有牆。防火牆是你唯一的牆,但它的設定就像一個過濾器。再深吸一口氣。告訴自己,你已經開始學到一些東西了,這是好事。

意識到和管理層的會議遲到了,給他們打電話告訴他們你正在忙,要推遲會議。你想到過去是因為喜歡安全,才進入這一領域。你使用 Wireshark 看看有什麼東西執行在你的網路上。嘗試去明白混亂的原因,然而這本身就是一團亂麻。

讓你的團隊停止手頭上的工作,開始梳理網路流量。你根據已知的情況建立一張圖,分段、隔離網路流量。關掉所有的遠端管理和遠端連線服務。處理來自 IT 人員的抱怨。終於不用凌晨回家,還能踏踏實實地睡上幾個小時。

一則故事:達到絕對安全的三個最佳措施

第二天早上審視與團隊一起建立的新圖,感覺是錯的。你應該做些其他事情,像購置雙重認證的標記卡或加密所有工作站。但是你又認為應該控制資料包的走向,所以讓團隊繼續分段和隔離。人們開始抱怨,電腦之間不能再共享文件。將這些人加入白名單,使他們可以訪問檔案伺服器。建立更多的檔案伺服器。人們抱怨他們的系統更新和防毒更新失敗。你決定明天再處理這個問題,回家,好好吃一頓,早早上床睡覺。然而你沒有睡好,做了關於黑客的噩夢。

每天你都檢查網路流量以改變系統和邏輯圖設定。你在 DMZ 區內使用 Wireshark 來整理混亂。加密流量太多。你讓團隊在所有 web 伺服器前端建立 SSL 端點,然後設立堡壘主機,將所有遠端訪問和管理加入白名單,實行分散管理。這項任務花了幾周時間才完成,但你注意到 web 伺服器已經不再被標記。想管理層報告這件事,你對此也感覺良好。

剩下的一週,一邊整理混亂的資料包,一邊清理、分離和刪除你不需要的東西。向管理層報告首個好轉的訊息。獲得批准投資安裝具有 SOC 功能的混合 SIEM 來幫助你分析網路混亂。選擇快速、靈活且支援分析互動信任度的 SIEM 版本。在使用它之前,應該意識到自己對公司流程和互動的瞭解其實很少。

和你的團隊一起,與儘可能多的員工交流,瞭解他們都做什麼,在哪裡做,以及如何做。瞭解通過瀏覽器雙向訪問系統的外部合作伙伴,以及對電力公司、電話公司和會計師事務等你知之甚少的外部管理訪問,瞭解員工在工作中使用的移動裝置。設定更多的分段改變,調整 SIEM,花幾個月就做這些。當朋友和同事告訴你其他公司受到了攻擊時,你想到每個人都會被攻擊,於是只是點點頭表示理解。

一天早上你去上班,發現 web 伺服器因為新的緩衝區溢位漏洞受到攻擊,而這星期早些時候就發現了這個漏洞。用 SOC 檢查,確定是你的 WAF 和 IDS 讓攻擊通過的。向供應商打電話抱怨,被告知是你配置錯誤。你提醒他們是他們配置的,他們表示否認,你對此感到生氣。你去見管理層,表示要與他們終止合作,卻從管理層那裡發現與供應商的合同還剩下兩年多。團隊中的某個人告訴你供應商是公司 CEO 的表兄弟。你只能吃塊巧克力來洩憤。

用漏洞掃描器掃描 web 伺服器,發現他們沒有明顯的漏洞,你感到洩氣。嘗試利用漏洞測試服務來測試你的安全控制。你盯著螢幕看它傳送過來的攻擊通過了你的安全防禦系統,到達 DMZ 和內部網路的關鍵地方。它告訴你45%的攻擊被攔截了。你不願意相信。這訊息真是讓人洩氣。你告訴自己你不在乎。你吃更多的巧克力來安撫自己的情緒。

但你現在終於知道了實際情況。想想當你不知道時有多糟。因為你以前就是不知道。想到大規模的攻擊就讓你心塞。所以你去找財務總監,後者批准了該漏洞測試服務,因為它滿足持續監控的一般目標。你設定它每週測試一次。現在你知道最新的已知攻擊如何影響你的網路,你將其視為風險報告的標準。

你想到,如果一個攻擊可以通過你的標準防禦,那麼你需要通過另一種方法來阻止它。所以你訂閱漏洞資料庫服務以獲得針對你的系統的高階、深層次新型攻擊的知識,特別是那些在測試服務中顯示進入系統的攻擊。

你花了幾天時間瀏覽所有可以通過防禦的漏洞資訊。許多漏洞沒有補丁和避免方法,因此你應該直接刪除之。你對此感到擔心,你知道你沒法讓整個公司接受刪除這些東西的建議。你感到失落,回家然後在電視機前睡著了,一袋薯片還在大腿上。

你醒來以後感覺糟透了。你有的一切關於安全措施的情報告訴你安全防禦系統不能起到的作用。你覺得你像拿著學位證和資訊保安認證的騙子,不知道如何真正的確保安全。照鏡子時,看到你以前的樣子,決定做些不同的事情。把襯衫上的碎屑清理掉,把剩下的薯片扔到垃圾桶,洗一個澡然後考慮如何改變。

你上班後開始研究為什麼安全措施無法成功。你去諮詢安全措施方面的專家,遭到他們的咆哮與怒吼——他們也對此感到厭煩。你找到主流之外有關安全措施的文章,最終發現了OSSTMM

你花了幾天閱讀它,你把其中有想法的段落複製/貼上給你的團隊。然後向你的團隊提出挑戰——如何改變網路安全架構來對付每個漏洞與攻擊,而不是等待補丁。你看到團隊熱情高漲地投入挑戰中。

在接下來的幾周裡,你利用這種技術對基礎架構實施大的改進,你看到自己避免了各種各樣的漏洞。你疑惑為什麼在任何最佳措施中都沒有提到這種做法。

現在,你覺得網路真的變得安全了。你上床睡覺,醒來後感覺神清氣爽。你健健康康地吃飯,不再購買軟飲料。你注意到每天上班都目標明確,而不是擔心又有什麼麻煩。

SIEM 顯示 web 應用中有許多奇怪的活動。你與 Web 應用開發人員討論安全措施,看到他們眼神呆滯。你變換一種方法。你和他們一起設計應用,把它分成不同過程和控制階段,就像你處理網路流量的過程一樣。你向他們展示如何找出受攻擊面。

日復一日你解決了新舊應用中的問題。開發者慢慢掌握了安全設計方法,並把它納入開發流程中。

你看了看正在使用和開發的應用程式的詳細目錄,發現這些應用沒有經過安全測試,你感到恐慌。一個都沒有。你看看團隊中誰可以勝任這項工作,卻意識到你不能這麼做,因為這個任務太大以至於無法統一標準進行稽核。

你和管理層討論,讓他們為自動化應用安全管理專案投資。得到錢之後,花幾個小時與供應商討論實施基於雲的評估程式。花幾周時間與開發團隊建立應用持續改進程式。將應用程式管理專案的指標與SIEM相結合。在那一刻,一切似乎都走到了一起。你感覺終於防患於未然了。一整個週末,你都不用考慮工作上的問題。

週一上午,你讓團隊回到員工中去。讓員工向你展示他們如何使用電腦,瞭解他們電腦遇到的問題或奇怪的事情。不要拷問他們是如何發生的,只是鼓勵他們,當有奇怪或異常的事情發生時,毫無保留地說出來。

做大量的筆記。對桌面環境做大量的改動。減少互動服務、分離特權,落實安全措施。

向員工介紹這些改變。強迫他們在不同的環境中使用不同的瀏覽器。幫助他們找到他們需要的替代工具,儘管你覺得沒必要安裝這些應用。向他們解釋可能發生的攻擊後果以及它們如何發生。你注意到一小群員工在傾聽。向他們解釋網路釣魚和人們是如何以及為什麼會掉進騙局裡。你看到有東西在他們的眼睛裡閃爍。你意識到這是一直該做的事情。這是人們學習的過程。取消機械的安全意識培訓視訊,以突擊測驗替代之。

花更多的時間與員工單獨或分組討論。你發現自己在傾聽他們的擔憂,在思考如何安全地實現他們想做的事。儘管政策上你不用這麼做,你開始幫助他們瞭解自己的工具,解釋為什麼他們的郵件或工作文件不應該出現在別處(出於責任的原因)。不要與那些不理解的人爭論。相反,試著從他們的角度思考他們想這麼做的原因。讓他們妥協和接受在他們的裝置進行的安全措施更改,使他們以更安全的方式完成工作。

一天早上,你在吃早餐的時候想起,那次大規模黑客攻擊已經過去一年了。現在想起來雖然仍覺得有些刺痛,但已經跟之前不同了。現在的刺痛是感到背叛,而不再覺得無助。

來到公司,注意到在黑板上沒有意外事件。仔細檢查檔案,看到幾周以來,幫助臺上都沒有標記任何需要處理的緊急事件。

慢慢地,你注意到辦公室似乎執行得越發順暢,你和管理層的會議也越來越快,你不再覺得必須要圍著指標團團轉。相反,你已經不再報告給機器打補丁有多快,AV 攔截了多少病毒,掃描器發現了多少漏洞,IDS阻擋了多少攻擊。而且,你發現管理層也沒有想念這些報告。

回辦公室的路上,有人在走廊叫住你,告訴你你看起來很不錯。你報以微笑,感謝他們。你確實感覺很好。

你的安全團隊提醒道,你沒有解決幾個月前對網路進行分段改動時桌面修補和防毒軟體更新產生的問題。儘管如此,並沒有什麼問題。你不再和不法分子在補丁上較量,而將打補丁的這項工作交給IT團隊,讓他們做變更控制,讓他們決定他們想要的更新。你甚至考慮廢除防毒軟體以減少你的受攻擊面,但你不能,處於合規性考慮。

一天天的幾乎沒有壓力。你留意你的網路流量。無論何時,當員工認為他們的計算機或者裝置出現問題時,你都會從團隊中派人去檢視。每天,你都在做一些小的安全改進。

隨著緊急狀況逐漸消失,你不再需要火急火燎的解決問題,你發現自己不斷地將新的IT技術安全地引入辦公室。你未雨綢繆,為 beta 測試建立網段。你嘗試運用新的安全工具和系統。你的團隊也似乎更加享受這些工具。即使是喜怒無常的 Linux 管理員,這些天也心情很好。主要地,你意識到自己真正喜歡安全工作。

有一天,你正在閱讀新聞,因為現在你有時間閱讀新聞了,然後你讀到一篇關於如何用三個簡單步驟完美地保護資料的文章。文章寫到設定防火牆,在所有機器上安裝防毒軟體,並使用24/7自動更新和補丁系統。你放聲大笑,連鼻涕都出來了。

原文地址:https://www.veracode.com/blog/2015/10/3-easy-steps-making-perfect-security-possible

如今,多樣化的攻擊手段層出不窮,傳統安全解決方案越來越難以應對網路安全攻擊。OneASP 自適應安全平臺整合了預測、預防、檢測和響應的能力,為您提供精準、持續、視覺化的安全防護。想閱讀更多技術文章,請訪問 OneAPM 官方技術部落格

本文轉自 OneAPM 官方部落格

相關文章