17條網路安全守則成就高安全防護水平的公司

沉默術士發表於2017-07-03

覺得自己沒那麼容易被黑?非也!黑客眼裡,絕大多數人都是毫不設防的小綿羊。想維持安全狀態,以下幾個祕密不可不看。

被請去做電腦保安實踐評估的時候,會看到公司整體實踐中哪些有用而哪些根本就是擺設。一名從事資訊保安諮詢20餘年的顧問,每年都會分析20~50家大大小小的公司,他基於這麼多年的評估經驗能出一個結論:成功的安全策略不在於工具——在於團隊。

只要在正確的地方配置對的人,有支援性管理和執行良好的防護過程,無論你使用的是什麼工具,你的公司都會非常安全。瞭解電腦保安的重要性,把安全作為業務關鍵部分,而不僅僅是罪惡之源來看待的公司,也是最不容易遭受災難性資料洩露的公司。每家公司都覺得自己擁有這種公司文化;然而,極少有公司真正做到。

下面列出的,是幾家在安全方面有著非常高的防護水平公司所採用的通行實踐和策略,堪稱保證自身企業重要資產安全的祕籍。

一、關注真正的威脅

一大波威脅正向我們湧來,真真正正是前所未有的,歷史性的挑戰。惡意軟體、人類對手、企業黑客、黑客活動分子、政府(國內外政府均是),乃至內部人士,都是我們面臨的威脅。銅線、能量波、無線電波,甚至光線,都是黑客能用的手段。

因此,我們被灌輸了成千上萬條“安全須知”。我們每年都被要求往作業系統、應用、硬體、韌體、計算機、平板、移動裝置和手機裡打上幾百個補丁,但我們還是會被黑,會被勒索軟體把最重要的資料鎖上。

聰明的公司意識到,大多數安全威脅都只是可以忽略的噪音。他們明白,任何時候,自身風險都只來自於一小撮基本威脅。因此,他們的關注力只放在這些基本威脅上。花點時間識別出自家公司的最主要威脅,排個優先順序,然後集中精力對付威脅列表上最頂級的那些。就是這麼簡單。

然而,大多數公司都沒這麼幹。相反,他們在幾十到幾百個安全專案中來回折騰,最嚴重的缺口一直放著不管,或者只把最輕微的威脅滅殺掉。

好好想想。你曾被人利用SNMP(簡單網路管理協議),或者沒打補丁的伺服器管理介面卡黑過嗎?曾在現實世界中看到過此類報導嗎?那麼,為什麼要讓我把這倆當成最高優先順序寫進我的審計報告裡呢(曾經有個客戶這麼要求過)?同時,你的環境已經被人通過其他更常見的漏洞攻破了……

想要成功緩解風險,弄清哪種風險需要你及時關注,哪種可以稍後再看,是十分必要的。

二、知道你擁有的

有時候,最不起眼的東西才是決勝法寶。在電腦保安上,這意味著建立準確的資產清單,公司的系統、軟體、資料和裝置都要列出來。大多數公司根本不知道自己環境中都執行著些什麼。對根本不知道的東西,你怎麼去保護它的安全?

捫心自問,你的團隊對公司電腦開機執行的所有程式和程式瞭解多少?在一個任何額外程式都會為黑客提供另一個攻擊介面的世界裡,所有這些程式和程式都是員工工作必需的嗎?你的環境中各個程式的副本都有多少?都是哪幾個版本的?有多少業務關鍵程式構建了公司的基礎?它們有什麼依賴關係?

最好的公司對哪個程式執行在哪裡有著嚴格的控制。缺乏一張全面的準確的當前IT資產清單,安全就是空談。

三、去除,然後保護

不必要的程式就是不需要的風險。最安全的公司審視自己的IT資產清單,去除那些不必要的,然後減少所剩資產的風險。

最近我剛給一家公司做了諮詢,那家公司裝了超過80000份沒打補丁的Java,橫跨5個版本。他們的員工從不知道竟然有這麼多Java。域控制器、伺服器、工作站,簡直到處都是。大家都知道,僅僅只有1個業務關鍵程式需要用到Java,而這個程式僅僅只在幾十臺應用伺服器上跑。

他們詢問了全體人員,立即將Java安裝範圍縮小到幾百臺計算機,版本也減少到3個,並且大多打上了補丁。剩下幾十臺打不上補丁的才是重頭戲。他們聯絡了供應商,找到為什麼Java版本不能更新的原因,更換了一些供應商,給打不上補丁的Java設定了風險緩解補償措施。

四、設想風險評估和整體工作量之間的差別

這不僅應用在軟體的每一個位元和硬體上,對資料也適用。先清除掉不必要的資料,然後保護剩下資料的安全。有意的刪除,是最強大的資料安全策略。確保每個新資料收集者定義好自己的資料需要儲存多長時間。給資料打上有效期時限。時候一到,與其主人核對能不能刪除。然後,保護剩下的資料。

五、保持最新版本

最安全的公司,其硬體和軟體都用的最新版本。是的,每家大公司都有舊硬體和老軟體,但其IT資產組成中絕大部分都是最新或次新版的。

不僅僅是硬體和作業系統,應用程式和工具集也是如此。採購成本不僅僅包含購買價格和維護開銷,還包括了未來升級版本的資金。這些資產的主人有責任保持更新。

你也許會想,“為嘛要為了更新而更新呢?”但,這是一種過時的,不安全的想法。最新的軟體和硬體,內建了最新的安全特性,通常還是預設開啟的。上一個版本的最大威脅,在當前版本中很有可能被修復了,也就讓舊版在想要利用已知漏洞的黑客面前更加可口了。

六、速度打補丁

這是一條老生常談的建議:所有關鍵漏洞要在廠商補丁釋出一週之內補上。但是,大多數公司依然留有成千上萬個沒補上的關鍵漏洞。而且,他們還會告訴你說“我們的補丁修復是受控的喲”。

如果你的公司要用超過一週的時間才打上補丁,那被攻破的風險就上升了——不僅僅是因為你家門戶大開,還因為你那些安全的競爭對手已經把自家門戶鎖上了。

按理說,你應該在打補丁前先對補丁包做個測試,但測試不僅難,還浪費時間。想要真正安全,還是儘快打上為妙。如果需要的話,等幾天看有沒有什麼小問題被報導。但,短暫的等待之後,打吧,打吧,打吧。

持反對意見者可能會說,補丁打“太快”會帶來運營上的問題。但是,安全上最成功的公司告訴我,他們並沒有看到太多因為打補丁而出現的問題。很多最安全的公司都說,公司史上就沒有出現過因為補丁導致的當機事件。

七、培訓,培訓,培訓,重要的事情說三遍

培訓是極其重要的。但不幸的是,大多數公司都視使用者培訓為削減開支好去處,或者,即使做培訓,內容也是過時的,充斥著不再應用的場景或拘泥於極少見的攻擊。

好的使用者培訓,著眼公司當前面臨,或很有可能面臨的威脅。培訓應由專業人士指導,甚或更好,有公司同事參加。我看過的一段最有效的防社會工程攻擊的視訊,就是通過凸顯出幾位公司風雲員工是怎麼被騙來達到教育目的的。通過分享自身易騙性的真實故事,這些同事可以教授其他員工怎樣防止成為受害者。這樣的範例,能讓其他員工更願意報告他們自己潛在的過失。

安全團隊同樣需要最新的安全培訓。每個成員,每年必訓。無論是請人來公司培訓,還是把人派去參加外部培訓或會議。這意味著,培訓的內容不僅僅圍繞你購置的東西,還圍繞當前最新的威脅和技術。

八、保持配置的一致性

最安全的公司,在同樣功用的計算機上保持幾乎相同的配置。絕大多數黑客都是耐心超過聰明的。他們不過是不停地探測探測再探測,直到找到成千上萬臺伺服器中你忘了修復的那一個漏洞。

這種情況下,一致性就稱了你的好朋友。每一次,按同樣的方式,做同樣的事。確保安裝的是同樣的軟體。不要留10種連線伺服器的方式。如果裝了某個App或程式,確保其他同類伺服器上都裝的是同一個版本和配置。讓對你的計算機進行對比檢查的人感到厭煩是個不錯的做法。

想要配置一致,缺了配置基準和嚴格的修改及配置控制可不行。管理員和使用者都要清楚,未經許可的情況下,任何的新增或重配置都是不可以的。但是,要注意別讓一個月才碰面一次的完全改變委員會把你的同事搞疲了。這樣會引起企業中風停頓的。要找到控制和靈活性的正確契合點,但又確保任何改變,一旦被批准,就要在所有同類機器上保持一致。不遵從一致性的應有懲罰。

記住,我們討論的是基準,是底線,不是泛泛的配置。事實上,或許從一兩打建議中你就能得出99%的價值了。找出真正需要的配置,放下其他的,但要保持一致。

九、嚴格實踐最小許可權訪問控制

“最小許可權”就是最大安全。然而,你很難找到全面實現這一點的公司。

最小許可權涉及到將僅夠用於完成基本任務的最低許可權分配給需要的員工。大多數安全域和訪問控制列表都充斥著太過開放的許可權,且缺乏審計。訪問控制列表會長大到毫無意義的程度,而且沒人願意談論這個,因為都已經成為企業文化的一部分了。

拿活動目錄林信任做個例子。大多數公司都有這個玩意兒,可被設定成選擇身份驗證或完全身份驗證信任。過去10年裡我審計過的(成千上萬)信任幾乎都是完全身份驗證式的。而當我建議所有信任都用選擇身份驗證時,我聽到的全都是實現起來有多難的抱怨:“要接觸每一個物件,還要明確地告訴系統哪一個能訪問誒!”沒錯,說到點子上了。這就是最小許可權。

訪問控制、防火牆、信任——最安全的公司總是在任何地方都部署最小許可權。他們有自動化過程要求資源擁有者定期重驗證許可權。資源擁有者會收到一封郵件,標明資源名稱和誰有著何種訪問許可權,然後擁有者會被要求確認當前設定。如果擁有者沒能回覆後續郵件,該資源就會隨著之前的許可權和訪問控制列表被清除而被刪除或挪到別的地方。

環境中的每個物件——網路、虛擬區域網(VLAN)、虛擬機器(VM)、計算機、檔案、資料夾等,都應該比照處理:積極審計下的最小許可權。

十、儘量逼近“零管理員”

為做盡壞事,壞人總在尋求控制高許可權的管理員賬戶。一旦被他們掌握了root、域,或者企業管理員賬戶,就回天乏力了。大多數公司在防止高許可權憑證失控上表現不佳。作為反擊手段,高安全性公司通過取消這些賬戶來達到一種“零管理員”的狀態。畢竟,如果你自己的管理員團隊都不用超級賬戶或不怎麼用這些賬戶,那麼這些賬戶就不容易被盜,也更容易檢測並阻止偶發的洩露狀況。

在這裡,憑證衛生的藝術是關鍵。這意味著儘可能少地使用永久超級管理員賬戶,一個都不用,或者儘量趨近於零管理員。永久超級管理員賬戶應被緊密跟蹤,嚴格審計,並限制在少量預定義的區域。而且不應啟用廣泛普及的超級賬戶,尤其是服務賬戶。

但是,萬一有人需要用到超級憑證呢?嘗試使用委託授權吧。這種方式可只賦予請求者訪問特定物件所需的必要許可權。真實世界中,極少有管理員需要對全部物件的完全訪問權。這種事簡直不可理喻,但卻是大多數公司目前的做法。相反,我們應只對修改單一物件、單一屬性,或者最多對修改某個物件子集進行授權。

這種“剛剛夠”的做法應與“適時”訪問相結合,只在預定時段對執行單一任務進行臨時許可權提升。還要加上地點限制(例如:域管理員只能出現在域控制器上)。這樣你就能有非常強的控制了。

注意:超級管理員賬戶並不總是需要全部的許可權。舉個例子,在Windows系統中,用一個單一許可權——比如作為作業系統一部分的除錯許可權(Debug)或備份許可權(Backup),有經驗的攻擊者就足以做一系列危險操作了。要將被提升的許可權當做被升級的賬戶一樣嚴密控制。

委託授權——在正確的區域適時賦予剛剛夠的許可權,能夠幫助你查出壞蛋,因為他們未必知道這一策略。如果你看到有超級賬戶在網路中游弋,或者在錯誤的地方使用了超級許可權,你的安全團隊會去圍追堵截的。

十一、制定基於角色的配置

最小許可權對人對計算機都適用,環境中所有物件都應該依據其扮演的角色進行配置。在理想世界中,應該只在執行時被賦予對特定任務的訪問權。

首先,應調查清楚每個應用必需的各種任務,將通用任務聚集到儘可能少的工作角色中,然後將這些角色分配給需要的使用者賬戶。這樣一來,每個使用者賬戶和個人就會分配到僅用於執行任務所需的必要許可權了。

基於角色的訪問控制(RBAC)應被應用到每一臺計算機上,每一臺計算機的同一角色都具有相同的安全配置。實踐應用繫結的RBAC,如若沒有專門的軟體是很難的。利用現有作業系統工具,可以很方便地實現作業系統和網路RBAC化,不過用第三方RBAC管理工具會更方便。

將來,所有訪問控制都會是RBAC,因為RBAC體現了最小特權和零管理員。最安全的公司已經在可能的地方進行了此項實踐。

十二、隔離,隔離,隔離

良好的安全域衛生是另一個重點。安全域,就是一個或多個安全憑證能在其中訪問物件的(邏輯上)隔離的域。理論上,在未經事前協定或訪問控制修改的情況下,同一個安全憑證不能被用於訪問兩個安全域。防火牆就是最簡單的安全域的例子。同一側的使用者不能輕易過到另一邊,除非通過預定義規則規定的協議、埠之類的。大多數網站都是安全域,大多數公司網路也是,雖然它們可能,也應該,包含有多個安全域。

每一個安全域都應有自己的名稱空間、訪問控制、許可權、角色等等,而且全部都應只能在該名稱空間中有效。確定到底應該設定多少個安全域是件棘手的事。最小特權法應成為確定安全域的指南,但讓每臺計算機都單獨成為安全域就是管理噩夢了。關鍵在於,問問你自己能夠承受多大的損失——如果訪問控制失敗,讓入侵者獲得了某區域完全訪問權的話。如果你不想淪為其他人過失的受害者,可以考慮建立自己的安全域。

如果安全域間通訊是必需的(就像林信任環境),儘量給域間設最小訪問許可權。“外來”賬戶應對除極少量應用以外的物件幾乎沒有訪問權,除了這些應用中必要的基於角色的任務,對其他任務也不應具有訪問權。安全域中的所有其他事務,都應該是不可訪問的。

十三、重視智慧監測實踐和及時響應

大部分黑客活動實際上都是通過事件日誌捕獲的,但確只有在事件發生後才會有人去檢視這些日誌。最安全的公司則會普遍而積極地監測特定異常,設定警報,並進行響應。

最後一部分很重要。良好監測環境不會產生太多警報。在大多數環境中,事件日誌啟用的情況下,每天會產生成千上萬乃至數十億條記錄。不是每個事件都是警報,但不當定義的環境就會產生成千上萬的潛在警報——多到成為類似噪音的存在而最終落到無人理會的境地。過去幾年裡一些大型黑客事件就涉及到被忽略了的警報。這就是設計很差的監測環境的特徵。

最安全的公司會對所有日誌源和警報物件建立比較判斷矩陣。將此矩陣與威脅列表進行對比,匹配能被當前日誌或配置檢測到的每一個威脅任務。然後,對事件日誌進行調整,儘可能彌補空白。

更重要的是,只要警報產生,他們會立即響應。如果我被告知某個團隊監測某個特定威脅(比如口令猜解),我會在之後嘗試觸發警報以檢視警報產生後是否有人進行響應。大多數情況下都沒人響應。安全的公司則一有警報觸發,就會有人從座位上跳起來,詢問別人出了什麼事。

十四、從頭開始實踐所有權和問責制

每個物件和應用都應該有個所有者(或所有者組),控制著使用情況並對其存在負責。

典型的公司裡,大多數物件都沒有所有者,IT團隊也不清楚到底是誰最先請求的某個資源,更不用說知曉該資源是否仍被需要了。事實上,大多數公司裡,建立的群組個數是比活躍使用者數多的。換句話說,IT團隊可以為每個個體分配他/她自己的自定義組,公司也可以建立比當前數量更少的群組以便管理。

然而,沒人知道某個群組是否應被移除。他們害怕刪除任何一個組。畢竟,萬一那個組是某個關鍵活動需要的,無意刪除了會導致某個任務依賴的功能失效呢?

另一個普遍的例子是,被攻破後公司需要重置環境內所有口令的時候。但是你卻不能隨意這麼做,因為其中有些是關聯到應用的服務賬戶,口令要改就得應用內和服務賬戶本身同時改。

然後問題來了,沒人知道給定的應用是否在使用中,是否需要一個服務賬戶,或者口令是否可修改——因為沒有在一開始就指定所有者和相關責任,也沒有人可以詢問。最終,問題應用還是被留下了,因為導致關鍵操作中斷遠比你讓某個黑客在公司網路裡暢遊,更有可能讓你被解僱。

十五、快速決策優先

大多數公司都受困於分析無能。一致性、問責制和所有權的缺乏,讓每個人都懼怕改變。而當問題涉及到IT安全,快速行動的能力卻是關鍵。

最安全的公司會在控制和快速決策之間建立很強的平衡,使之形成公司文化的一部分。我甚至見過將精挑細選的專案經理投入到長期專案中,僅僅是為了完善專案本身。這些特別的專案經理被賦予了一定的預算控制權,可以在事後記錄所做改變,且有一直犯錯的空間。

對快速行動而言,留有犯錯空間是關鍵。在安全上,我特別贊同“無論如何,先做決策;如有必要,過後再道歉”的態度。

對比典型公司,大多數問題都不敢觸碰,安全顧問建議修復的問題到第二年依然還是問題。

十六、玩得開心

同志情誼不能忽視。認為做正確的事就意味著要犧牲掉自由和樂趣的公司,其數量之巨,可能令人震驚。對他們而言,來自同事的怨恨必須是安全專家正在履職盡責的象徵。簡直錯到離譜!當你擁有了高效安全團隊,你就不會被不得不經常性重構計算機和伺服器的壓力搞得不堪重負,也不會成天憂慮不知道什麼時候就又被黑了。因為你清楚局勢在自己控制之下,所以一臉淡定。

這並不是說,在最安全的公司上班就輕鬆愜意。但總的來說,比在其他公司更有趣,同事間也更友愛。

十七、著手去做

高安全性公司的共有特性或許看起來很容易理解,甚至在某些方面是老生常談,比如說快速打補丁和保護配置安全。但先別忙著為自己的安全實踐知識自滿。成功護住自家重要資產的公司,和遭受資料洩露的公司,僅僅是在兩個主要特徵上有差異:專注於正確的元素,以及根植做正確的事的文化,而不是僅僅口頭上這麼說。祕訣已經列出,要不要捲起袖子開工實踐,就是你自己的事了。
本文轉自d1net(轉載)


相關文章