企業安全管理的“六脈神劍”
當考慮確定計算系統、數據和網絡的可用性和完整性控制時,與可考慮潛在機會授權的管理員相比,普通用戶擁有更少的特權。系統管理員、執行備份的操作人員、數據庫管理員、維修技師甚至幫助臺支持人員的運營商,都紛紛在網絡中提升權限。為了確保你系統的安全性,還必須考慮可以防止管理員濫用特權的控制。用于管理日常事務以及組織內的數據訪問的自動化控制不能保證自己的完整性和可用性,避免過度管理任務的控制。如果控制管理使用權限的控件也不強,那么任何其他的控件也會被削弱。下面一起來看企業安全管理的“六脈神劍”——六個最佳實踐:
實踐一:防止權力的濫用行政權力
安全的兩個安全原則將幫助你避免權力得濫用:限制權力及職責的分離。你可以限制權力,通過分配每個員工他或她所做工作需要的權限。在你的IT基礎架構,你有不同的系統,并且每個人都可以自然地分割成不同的權限類別。這種分割的例子是網絡基礎設施、存儲、服務器、臺式機和筆記本電腦。
另一種分配權力的方式是在服務管理和數據管理之間。服務管理是控制網絡的邏輯基礎設施,如域控制器和其他中央管理服務器。這些管理員在管理專門的服務器,在這些服務器上控件運行、將部分用戶分成組、分配權限等等。數據管理,在另一方面,是有關管理文件、數據庫、Web內容和其他服務器的。即使在這些結構中,權力可以被進一步細分,也就是說,角色可以被設計和權限可以被限制。文件服務器備份操作員不應該有特權備份數據庫服務器相同的個體。數據庫管理員也可能被某些服務器限制其權力,與文件和打印服務器管理員一樣。
在大型組織中,這些角色可以無限細分,一些幫助臺運營商可能有權重設賬戶和密碼,而其他人只限于幫助運行應用程序。我們的目標是要認識到,提升權限的所有管理員必須是可信的,而有些人比其他人更應該得到信任。誰擁有全部或廣泛的權限越少,那么可以濫用這些特權的人就越少。#p#
實踐二:確定管理規范
以下管理實踐有助于管理安全性:
· 在遠程訪問和訪問控制臺和管理端口上放置控件。
· 實現帶外訪問控制設備,如串行端口和調制解調器,物理控制訪問敏感設備和服務器。
· 限制哪些管理員可以物理訪問這些系統,或誰可以在控制臺登錄。不能因為雇員有行政地位,就意味著不能限制他或她的權力。
· 審查管理員。IT管理員在一個組織的資產上擁有巨大的權力。每一個擁有這些權限的IT員工應在就業前徹底檢查,包括征信調查和背景調查。
· 使用自動軟件分發方法。使用自動化的操作系統和軟件的安裝方法既保證了標準的設置和安全配置,從而防止意外的妥協,也是抑制權力濫用的一個很好的做法。當系統自動安裝和配置,后門程序的安裝和其他惡意代碼或配置發生的機會就越來越少。
· 使用標準的行政程序和腳本。使用腳本可能意味著效率,但是如果使用了流氓腳本就可能意味著破壞系統。通過標準化的腳本,濫用的機會較少。腳本也可以被數字簽名,這可以確保只有授權的腳本能夠運行。#p#
實踐三:做好權限控制
這些控制包括:
· 驗證控制:密碼、賬戶、生物識別、智能卡以及其他這樣的設備和算法,充分保護認證實踐
· 授權控制:設置和限制特定用戶的訪問設備和組
如果使用得當,賬戶、密碼和授權控制可以派專人負責他們網絡上的行為。正確使用是指至少每個員工的一個賬戶可授權使用系統。如果兩個或更多的人共用一個賬號,你怎么能知道哪一個該為公司機密失竊負責?強密碼策略和職工教育也有助于執行該規則。當密碼是難以猜測的和員工知道密碼是不應該被共享的,適當的問責制的可能性才會更大。
授權控制確保對資源的訪問和權限被限制在適當的人選。例如,如果只有Schema Admins組的成員可以在Windows 2000下修改Active Directory架構,而且架構被修改,那么無論是該組的成員做的還是別人使用該人的賬戶做的。
在一些有限的情況下,系統被設置為一個單一的、只讀的活動,許多員工需要訪問。而不是提供每一個人一個賬戶和密碼,使用一個賬戶和限制訪問。這種類型的系統可能是一個倉庫的位置信息亭,游客信息亭等。但是,在一般情況下,系統中的每個賬戶應該僅分配給一個單獨的個人。
所有的行政人員應至少有兩個賬戶:一個普通特權的“正常”賬戶供他們訪問電子郵件、查找互聯網上的信息、并做其他事情時使用;和不同的賬戶,他們可以用它來履行行政職責。
對于一些高權限的活動,一個賬戶可能被分配特權,但是應該由兩個值得信賴的員工各創造一半的密碼。兩者都不能單獨執行該活動,它需要兩者共同來做。此外,由于有可能被追究責任,每人都會監視對方履行義務。這種技術通常用于在Windows服務器上保護原始管理員賬戶。此賬戶也可以被分配一個長而復雜的密碼,然后不能使用,除非當關鍵管理人員離開公司或其他一些突發事件發生后,管理賬戶的密碼忘記或丟失時不得不恢復服務器。然后其他管理賬戶被創建并用于正常管理。另一個特別賬戶可能是根證書頒發機構的管理賬戶。當需要使用這個賬戶,比如更新此服務器的證書,兩名IT員工必須同時在場登錄,減少該賬戶受到損害的機會。#p#
實踐四:獲取外部信息作為內部管理借鑒
安全專家面臨緊跟當前安全形勢的艱巨任務。你應該及時了解當前威脅和適用于你組織的核心業務流程和高價值目標相應的保護措施。
你可以從眾多資源中汲取更多以了解當前的威脅環境。領先的安全廠商,包括Symantec,該公司出版了年度互聯網安全威脅報告;McAfee 實驗室,它提供了一個季度的威脅報告; IBM X-Force,產生了威脅和風險趨勢報告;以及思科,該公司出版了安全威脅白皮書,他們都用有效資源不斷更新有威脅的環境。此外,還有一些提供威脅情報的各種組織,包括卡內基•梅隆大學軟件工程研究所( CERT ) ,它研究的Internet安全漏洞,并進行長期的安全性研究;美國政府的應急準備小組( US-CERT ) ,它提供技術安全警報和公告; SANS協會,發布頂端的網絡安全風險列表;和計算機安全協會( CSI),其出版年度計算機犯罪和安全調查。除了這些資源,專業協會,如國際信息系統安全認證聯盟( ISC2 )提供廠商中立的培訓、教育和認證,包括為安全專業開展的CISSP 。信息系統審計與控制協會(ISACA )從事開發、采納和使用全球公認的,業界領先的知識和實踐信息系統,如COBIT標準和CISA認證信息系統。
對于已確定的各項資產,你必須為執行建議的保護措施負責。安全專業人員所遇到的問題是如何知道什么時候一個系統或應用程序需要一個修補程序或補丁應用。大多數供應商為安全更新、提供安全警示,以及一個維護訂閱被購買的信息提供一個郵件列表。市面上有許多安全郵件列表,但近年來最流行的是Bugtraq和Insecure.org提供的Full Disclosure名單。請記住,最新的漏洞和黑客不在任何網站上發表,廠商也不能意識到“零日漏洞”,直到攻擊發生。但是訂閱這些郵件列表,將隨時向你通報,就像任何人都可以被通知一樣。#p#
實踐五:實施安全監控與審計
系統監控和審計活動很重要的原因有兩個。首先,監測活動告知系統管理員系統的操作方式,系統故障在哪里,在什么地方性能是一個問題,什么類型的負載系統在任何給定的時間負荷著大量負載。這些細節允許被適當的維護和發現性能瓶頸,并且指出進一步調查的領域是很有必要的。聰明的管理員使用一切可能的工具來確定一般的網絡和系統的健康,然后采取相應的行動。其次,安全性感興趣是可疑活動的暴露,正常和非正常使用的審核跟蹤,以及法醫證據在診斷攻擊或誤用時是非常有用的,這樣有可能捕捉和起訴攻擊者。可疑活動包括明顯的癥狀,如已知的攻擊代碼或簽名,或可能的模式是有經驗的,意味著可能嘗試或成功的入侵。
從日志中提供的信息和從其他監測技術中受益,你必須了解信息可用的類型以及如何獲得它。你還必須知道如何處理它。三種類型的信息是有用的:
· 活動日志
· 系統和網絡監控
· 漏洞分析
1. 審計活動日志
每個操作系統、設備和應用程序可以提供大量的日志記錄活動。不過,管理員這樣做必須做出記錄多少活動的決定。默認登錄信息的范圍各不相同,什么東西可記錄,應該用來記錄什么,這沒有明確的答案。答案取決于活動和日志記錄的原因。
當檢查日志文件時,了解哪些內容需要被記錄,而哪些內容不重要。日志中包含的信息因日志的類型、事件的類型、操作系統和產品、是否可以選擇額外的事情以及數據的類型而變化。此外,如果你正在尋找“誰”參加了此次活動,或者他們使用了“什么”機器,這些信息可能會或可能不會是日志的一部分。Windows Server 2003之前的Windows事件日志,例如,不包括計算機的IP地址,只有主機名。和Web服務器日志不包括確切信息,無論它們是什么品牌。很多Web活動通過代理服務器,所以你會發現,雖然你知道網絡來源,但不知道來自具體的哪個系統。
在確定是什么日志的時候,一般情況下,你必須回答以下問題:
· 什么是默認登錄?這不僅包括典型的安全信息,如成功和不成功登錄或訪問文件,而且還包括在系統上運行服務和應用程序的行為。
· 信息被記錄哪里在?這可能會記錄到多個位置。
· 隨著添加的信息,日志文件的大小是無限的增長還是應當設置文件大小?如果是后者,那么日志文件已滿的時候又怎么辦?
· 可以記錄哪些類型的附加信息?你又怎么選擇這些選項呢?
· 什么時候需要特定的日志活動?在一些環境下,記錄特定的項目是合適的,但對其他環境卻不合適?適合某些服務器,但不適合其他服務器?適合服務器,但卻不適合桌面系統?
· 應歸檔哪些日志和應歸檔保存多長時間?
· 如何讓記錄免受意外或惡意修改或篡改?
不是每一個操作系統或應用程序日志記錄相同類型的信息。知道配置什么,在哪里可以找到日志,日志中的哪些信息在需要了解具體的系統時是有用的。綜觀在一個系統中的示例日志是非常有用的,然而,因為它賦予問題類型許多含義,所以這些問題你需要問和回答。Windows和Unix日志是不同的,但是對于二者,你可能要能夠識別誰、什么、何時、何地以及為什么事情會發生。下面的例子討論Windows日志。
在Windows NT、XP、Windows2000、Vista和Windows7中,默認情況下,Windows的審計日志是關閉的。Windows Server 2003和更高版本有一些審計日志功能在默認情況下是打開的,可以被記錄的事情都顯示在圖1。管理員可以打開所有或某種可用類別的安全日志記錄并且可以通過直接指定對象訪問注冊表、目錄和文件系統設置額外的安全記錄。甚至可以使用組策略(本機的配置,安全性,應用程序的安裝和腳本庫的實用程序)為Windows 2000或Windows Server 2003域的所有服務器和臺式機設定審計要求。
什么時候使用Windows Server 2003,了解記錄什么是很重要的,因為Windows Server 2003默認策略值記錄了只有小數目的活動。不用說,打開所有的日志類別也是不合適的。例如,在Windows安全審核,分類審核過程跟蹤將不適用于大多數生產系統,因為它記錄了每一個過程活動中的每一個位,而對于正常驅動器配置和審計日志審查來說,則存在著過多的信息。然而,在開發環境或者當審查定制軟件以確定它說了什么做了什么時,開啟審核過程追蹤可能為開發商排除故障代碼或分析檢查它提供了必要信息的數量。
記錄在每一個Windows NT(及更高版本)計算機的特殊本地安全事件日志的審核事件是配置審核的安全事件。事件日志位于%WINDIR%\ SYSTEM32\ config文件夾下。除了安全事件,許多可能會提供安全性或活動跟蹤信息的其他事件也會記錄到應用程序日志、系統日志或者Windows 2000和更高版本的域控制器——DNS服務器日志、目錄服務日志、或文件復制服務日志中。
此外,許多進程提供額外的日志記錄功能。例如,如果安裝了DHCP服務,它也可以被配置為記錄的附加信息,例如當它租用一個地址,在域中它是否被授權,以及網絡中的另一臺DHCP服務器是否被發現。這些事件不會記錄在安全事件日志,而是DHCP事件記錄到%WINDIR%\ SYSTEM32\ DHCP。
圖1 Windows審計日志選項
通常情況下,你可以打開記錄了許多服務和應用程序的額外的日志,而這一活動被記錄到Windows事件日志、系統或應用程序日志、或者服務或應用程序創建的特殊的日志中。微軟的IIS遵循這種模式,和Microsoft服務器應用程序如Exchange,SQL Server和ISA服務器一樣。聰明的系統管理員以及審計員,將決定在Windows網絡系統上運行什么,什么日志記錄功能可用于每個服務或應用程序。雖然大多數的日志信息,僅涉及系統或應用程序操作,但它可能成為一個取證調查的一部分,如果它是必要或保證其重建活動的。記住這包括什么信息被記錄在每個系統上以及被記錄到哪里。
許多特殊的應用程序日志中是基本的文本文件,但是特殊的“事件日志”卻不是。這些文件有自己的格式,你可以管理訪問它們。雖然任何應用程序可以通過編寫事件記錄到這些日志文件,但是在日志中,事件無法修改或刪除。
事件日志本身不自動存檔,它們必須給定一個大小,他們可以覆蓋舊的事件,停止記錄直到手動清零,或者在安全選項中,當日志文件已滿時停止系統。最佳實踐建議建立一個龐大的日志文件,并允許事件被覆蓋,但對這些完整文件的監控和頻繁的歸檔,所以沒有記錄丟失。
早期的安全和系統管理員的建議強調,日志必須每天進行審查,并假設有時間這樣做。我們現在知道,除非在特殊情況下這不會發生。現在在采取下列行動的最佳實踐建議:
· 發表日志數據到外部服務器。
· 日志整合到一個中央源。
· 應用過濾器或查詢來產生有意義的結果。
發布日志數據到外部服務器有助于保護日志數據。如果服務器被攻破,攻擊者也無法修改本地日志和掩蓋他們的蹤跡。日志整合到一個中央源,使數據更易于管理,因為查詢只需要對一個批次的數據運行處理。Unix的系統日志工具,使用的時候,可以讓你將日志數據張貼和鞏固到一個中央系統日志服務器。一個版本的系統日志也可用于Windows。
其他技術日志整合的例子包括
· 收集安全事件日志的副本并定期將他們歸檔到一個數據庫中,然后開發SQL查詢以完成報告或使用現成的產品直接對特定類型的日志查詢這個數據庫。
· 投資于第三方安全管理工具,讓它可以收集和分析特定類型的日志數據
· 使用安全信息和事件管理(SIEM)系統從許多來源——安全日志、Web服務器日志、IDS日志等來收集日志數據和警報。
· 使用系統管理工具或服務管理平臺或服務的日志管理功能。
2. 監控系統和網絡活動
除了記錄數據,系統和網絡活動可以提醒有見識的管理員潛在的問題。系統和網絡應進行監測,不僅在修復關鍵系統和性能瓶頸的調查和解決時,也在你知道一切都好,或者攻擊正在進行中。是由于硬盤崩潰無法訪問系統?還是拒絕服務攻擊的結果?為什么今天會從一個忙碌的網絡出現突然激增的數據包?
有些SIEM工具還尋求提供網絡活動的圖片,以及系統活動的許多管理工具的報告。此外,IDS系統、協議分析者可以提供訪問網絡上流量的內容。
連續監測也許是出于安全操作的最好防御。安全操作必須能夠產生、收集和查詢日志文件,如主機的日志和代理、認證和歸屬日志。安全操作必須具有技能設置為執行涵蓋了網絡所有關鍵的“瓶頸點”(入口和出口)的深度包檢測。許多商業監測包也可用,與事件關聯引擎一樣。開源的替代方案也可以,但是卻拿不出在發生安全事故時或在事后剖析通常需要的專業支持團隊。決定監視什么和如何監視這是一個重大的努力。
安全專業人士如果參考美國國家標準與技術研究院(NIST)的特別出版物800-37,“聯邦信息系統運用風險管理框架的指南:一種安全的生命周期方法”會做得很好。本文檔提供了連續監測戰略的指導。高價值目標(資產)需要重點監測。擁有當前和相關威脅情報的安全操作,結合著廣泛和有針對性的監測策略和技巧,可能抓住網絡刑事犯一個APT攻擊的行為。
3. 漏洞分析
沒有一個缺少弱點掃描器的安全工具包是完整的。這些工具對眾所周知的配置缺陷、系統漏洞和補丁級別提供當前可用系統的審計。它們可以是全面的,能夠掃描多種不同的平臺;也可以只對應于特定的操作系統;或者它們可以唯一地固定在一個單一的漏洞或服務,如惡意軟件檢測工具。他們可以是非常地自動化,只需要一個簡單的啟動命令,或者他們可能需要復雜的知識或完成一長串的活動。
使用漏洞掃描器,或委托這樣的掃描之前,需要時間來了解將會顯示什么樣的潛在結果。即使是簡單的,單一的漏洞掃描程序也可能會不識別漏洞。相反,他們可能簡單地表明,特定弱勢的服務是運行在一臺計算機上的。更復雜的掃描可以產生數百頁的報告。所有的項目是什么意思?他們中有些項目可能是誤報,有些可能需要高級的技術知識來了解或減輕;還有一些可能是漏洞,你對此無能為力。例如,運行一個Web服務器確實讓你比你不運行服務器更容易受到攻擊,但如果Web服務器是你組織運作中至關重要的一部分,那么你必須同意承擔這個風險。
雖然漏洞掃描產品有所不同,重要的是要注意一個基本的漏洞評估和緩解不需要花哨的工具或昂貴的顧問。免費和可用的低成本工具,和脆弱性列表的許多免費資源一起存在。特定的操作系統列表可以在互聯網上從操作系統供應商獲得。
國家標準與技術研究所出版了可免費下載的“信息技術系統的自我評估指南”。雖然一些指南的具體情況可能只適用于政府機關,但是大部分的建議對任何組織還是有用的;文檔提供了問卷的格式,像一個審計師的工作表,可以幫助信息安全新人執行評估。在調查問卷中覆蓋了風險管理、安全控制、IT生命周期、系統安全計劃、人員安全、物理和環境的保護、輸入和輸出控制、應急規劃、硬件和軟件的維護、數據的完整性、文檔、安全意識培訓項目、事件響應能力、識別和認證、邏輯訪問控制和審計跟蹤等問題。#p#
實踐六:充分部署事件響應
一個組織的檢測能力和復雜攻擊的反應能力是依賴于一個事件響應小組的有效性和能力。這個團隊由超過一個人組成,因為對一個事件的響應將由各種各樣的角色實施。從管理者到員工,內部到外部的專業人士,如IT員工、業務合作伙伴、安全運營、人力資源、法律、財務、審計、公共關系和執法。計算機安全事件響應小組(CSIRT)是任何安全運營功能的重要組成部分。
卡內基梅隆大學的CERT程序為事件響應提供了一個良好的模型和有用的材料。CERT成立于1988年,由國防部DARPA機構資助,以應付第一個自我繁殖的互聯網惡意軟件(被稱為“Morris蠕蟲”)的爆發。由康奈爾大學研究生羅伯特•莫里斯釋放到早期的互聯網,莫里斯蠕蟲在電腦上自我復制和傳播,通過重載受害者電腦上無止境的任務以造成拒絕服務的攻擊。CERT為計算機安全事件響應小組(CSIRT)提供了一個手冊。該指南涵蓋了從建議的框架到響應小組會遇到的基本問題。
為建立自己的事件響應團隊的CERT過程已提供給公眾,大家可以在www.cert.org找到,它包括以下步驟。
第一步,最可靠的努力,是從組織的高層管理人員獲得贊助。資金和資源都依賴于這種支持,所以團隊的權威是從組織內各部門借用人員。最終,團隊的成功是與高層管理人員的支持相關的。
下一步是為事件響應小組制定高級別戰略計劃。規劃目標、時限和成員考慮到團隊面臨的依賴和約束提供了一個實現CSIRT路線圖和項目計劃。
從組織中收集信息是在確定CSIRT的角色和它需要資源中重要的下一步。在這個步驟中,你發現你所需要的其他組織所擁有的資源,以及如何使用它們。例如,人力資源、法律、審計和通信(也許營銷部)的代表,當然還有IT,所有的這些人,可能還有更多,扮演不同的角色,他們各自有自己的目標和在團隊中他們想要看到的優先級。在信息收集階段,你也將決定需要哪些外部資源參與,如執法和公共CSIRT組織一樣。
創建和交流一個愿景、使命、章程以及下一步是規劃團隊的未來,而這些步驟提供了一個焦點,可以幫助團隊成員理解什么需要他們以及組織與CSIRT的交互方式。在這個步驟中CERT也包括預算編制。
所有的規劃完成后的下一步,就是創造團隊。在這個步驟中,員工匯聚在一起訓練,采購設備來支持團隊憲章中定義的功能。一旦團隊已經啟動并運行,通知被發送到整個組織和通信程序付諸實施。在一個計劃 - 執行 - 檢查 - 行動循環的精神中,最后一步是評估團隊的效率,以深入了解作出改善。
事件響應和安全小組論壇(FIRST)是另一個CSIRT組織,類似于CERT。他們自稱為“受信任的合作處理計算機安全事故的計算機事件響應小組,促進事故預防計劃的國際聯盟。”根據他們的任務說明,FIRST 組織中的成員開發和共享技術信息、工具、方法、流程和最佳實踐;鼓勵和推動優質安全的產品、政策和服務的開發,制訂并推廣最佳的計算機安全實踐,以及利用他們的綜合知識、技能和經驗,以促進一個安全的和更安全的全球電子環境。
在今天混合威脅的環境下,一個單一組織的事件響應團隊將不足以提供所需的覆蓋范圍。安全操作必須配合有信譽的事件響應組織。此外,安全運營組織需要有一定的無論在內部或外部分析惡意軟件的等級,因為這技能處于高需求的狀態。安全操作必須持續監控和事件響應優先來滿足在當今復雜的、網絡化的、全球經濟所帶來的挑戰。阻止網絡罪犯的能力取決于該組織的檢測和響應的承諾。
