企业安全管理的“六脉神剑”

企业安全管理的“六脉神剑” 当考虑确定计算系统、数据和网络的可用性和完整性控制时，与可考虑潜在机会授权的管理员相比，普通 用户拥有更少的特权。系统管理员、执行备份的操作人员、数据库管理员、维修技师甚至帮助台支持人员 的运营商，都纷纷在网络中提升权限。为了确保你系统的安全性，还必须考虑可以防止管理员滥用特权的 控制。用于管理日常事务以及组织内的数据访问的自动化控制不能保证自己的完整性和可用性，避免过度 管理任务的控制。如果控制管理使用权限的控件也不强，那么任何其他的控件也会被削弱。下面一起来看 企业安全管理的“六脉神剑”六个最佳实践： 实践一：防止权力的滥用行政权力 安全的两个安全原则将帮助你避免权力得滥用：限制权力及职责的分离。你可以限制权力,通过分配每个 员工他或她所做工作需要的权限。在你的 IT 基础架构，你有不同的系统，并且每个人都可以自然地分割 成不同的权限类别。这种分割的例子是网络基础设施、存储、服务器、台式机和笔记本电脑。 另一种分配权力的方式是在服务管理和数据管理之间。服务管理是控制网络的逻辑基础设施，如域控制器 和其他中央管理服务器。这些管理员在管理专门的服务器，在这些服务器上控件运行、将部分用户分成组、 分配权限等等。数据管理，在另一方面，是有关管理文件、数据库、Web 内容和其他服务器的。即使在这 些结构中，权力可以被进一步细分，也就是说，角色可以被设计和权限可以被限制。文件服务器备份操作 员不应该有特权备份数据库服务器相同的个体。数据库管理员也可能被某些服务器限制其权力，与文件和 打印服务器管理员一样。 在大型组织中，这些角色可以无限细分，一些帮助台运营商可能有权重设账户和密码，而其他人只限于帮 助运行应用程序。我们的目标是要认识到，提升权限的所有管理员必须是可信的，而有些人比其他人更应 该得到信任。谁拥有全部或广泛的权限越少，那么可以滥用这些特权的人就越少。 实践二：确定管理规范 以下管理实践有助于管理安全性: 在远程访问和访问控制台和管理端口上放置控件。 实现带外访问控制设备,如串行端口和调制解调器，物理控制访问敏感设备和服务器。 限制哪些管理员可以物理访问这些系统，或谁可以在控制台登录。不能因为雇员有行政地位，就意味 着不能限制他或她的权力。 审查管理员。IT 管理员在一个组织的资产上拥有巨大的权力。每一个拥有这些权限的 IT 员工应在就 业前彻底检查，包括征信调查和背景调查。 使用自动软件分发方法。使用自动化的操作系统和软件的安装方法既保证了标准的设置和安全配置， 从而防止意外的妥协，也是抑制权力滥用的一个很好的做法。当系统自动安装和配置，后门程序的安装和 其他恶意代码或配置发生的机会就越来越少。 使用标准的行政程序和脚本。使用脚本可能意味着效率，但是如果使用了流氓脚本就可能意味着破坏 系统。通过标准化的脚本，滥用的机会较少。脚本也可以被数字签名，这可以确保只有授权的脚本能够运 行。 实践三：做好权限控制 这些控制包括: 验证控制：密码、账户、生物识别、智能卡以及其他这样的设备和算法，充分保护认证实践 授权控制：设置和限制特定用户的访问设备和组 如果使用得当，账户、密码和授权控制可以派专人负责他们网络上的行为。正确使用是指至少每个员工的 一个账户可授权使用系统。如果两个或更多的人共用一个账号，你怎么能知道哪一个该为公司机密失窃负 责?强密码策略和职工教育也有助于执行该规则。当密码是难以猜测的和员工知道密码是不应该被共享的， 适当的问责制的可能性才会更大。 授权控制确保对资源的访问和权限被限制在适当的人选。例如，如果只有 Schema Admins 组的成员可以在 Windows 2000 下修改 Active Directory 架构，而且架构被修改，那么无论是该组的成员做的还是别人使 用该人的账户做的。 在一些有限的情况下，系统被设置为一个单一的、只读的活动，许多员工需要访问。而不是提供每一个人 一个账户和密码，使用一个账户和限制访问。这种类型的系统可能是一个仓库的位置信息亭，游客信息亭 等。但是，在一般情况下，系统中的每个账户应该仅分配给一个单独的个人。 所有的行政人员应至少有两个账户：一个普通特权的“正常”账户供他们访问电子邮件、查找互联网上的 信息、并做其他事情时使用;和不同的账户，他们可以用它来履行行政职责。 对于一些高权限的活动，一个账户可能被分配特权，但是应该由两个值得信赖的员工各创造一半的密码。 两者都不能单独执行该活动，它需要两者共同来做。此外，由于有可能被追究责任，每人都会监视对方履 行义务。这种技术通常用于在 Windows 服务器上保护原始管理员账户。此账户也可以被分配一个长而复杂 的密码，然后不能使用，除非当关键管理人员离开公司或其他一些突发事件发生后，管理账户的密码忘记 或丢失时不得不恢复服务器。然后其他管理账户被创建并用于正常管理。另一个特别账户可能是根证书颁 发机构的管理账户。当需要使用这个账户，比如更新此服务器的证书，两名 IT 员工必须同时在场登录， 减少该账户受到损害的机会。 实践四：获取外部信息作为内部管理借鉴 安全专家面临紧跟当前安全形势的艰巨任务。你应该及时了解当前威胁和适用于你组织的核心业务流程和 高价值目标相应的保护措施。 你可以从众多资源中汲取更多以了解当前的威胁环境。领先的安全厂商，包括 Symantec，该公司出版了 年度互联网安全威胁报告;McAfee 实验室，它提供了一个季度的威胁报告; IBM X-Force，产生了威胁和 风险趋势报告;以及思科，该公司出版了安全威胁白皮书，他们都用有效资源不断更新有威胁的环境。此 外，还有一些提供威胁情报的各种组织，包括卡内基梅隆大学软件工程研究所( CERT ) ，它研究的 Internet 安全漏洞，并进行长期的安全性研究;美国政府的应急准备小组( US-CERT ) ，它提供技术安全 警报和公告; SANS 协会，发布顶端的网络安全风险列表;和计算机安全协会( CSI)，其出版年度计算机犯 罪和安全调查。除了这些资源，专业协会，如国际信息系统安全认证联盟( ISC2 )提供厂商中立的培训、 教育和认证，包括为安全专业开展的 CISSP 。信息系统审计与控制协会(ISACA )从事开发、采纳和使用 全球公认的，业界领先的知识和实践信息系统，如 COBIT 标准和 CISA 认证信息系统。 对于已确定的各项资产，你必须为执行建议的保护措施负责。安全专业人员所遇到的问题是如何知道什么 时候一个系统或应用程序需要一个修补程序或补丁应用。大多数供应商为安全更新、提供安全警示，以及 一个维护订阅被购买的信息提供一个邮件列表。市面上有许多安全邮件列表，但近年来最流行的是 Bugtraq 和 I 提供的 Full Disclosure 名单。请记住，最新的漏洞和黑客不在任何网站上发 表，厂商也不能意识到“零日漏洞”，直到攻击发生。但是订阅这些邮件列表，将随时向你通报，就像任 何人都可以被通知一样。 实践五：实施安全监控与审计 系统监控和审计活动很重要的原因有两个。首先，监测活动告知系统管理员系统的操作方式，系统故障在 哪里，在什么地方性能是一个问题，什么类型的负载系统在任何给定的时间负荷着大量负载。这些细节允 许被适当的维护和发现性能瓶颈，并且指出进一步调查的领域是很有必要的。聪明的管理员使用一切可能 的工具来确定一般的网络和系统的健康，然后采取相应的行动。其次，安全性感兴趣是可疑活动的暴露， 正常和非正常使用的审核跟踪，以及法医证据在诊断攻击或误用时是非常有用的，这样有可能捕捉和起诉 攻击者。可疑活动包括明显的症状，如已知的攻击代码或签名，或可能的模式是有经验的，意味着可能尝 试或成功的入侵。 从日志中提供的信息和从其他监测技术中受益，你必须了解信息可用的类型以及如何获得它。你还必须知 道如何处理它。三种类型的信息是有用的： 活动日志 系统和网络监控 漏洞分析 1. 审计活动日志 每个操作系统、设备和应用程序可以提供大量的日志记录活动。不过，管理员这样做必须做出记录多少活 动的决定。默认登录信息的范围各不相同，什么东西可记录，应该用来记录什么，这没有明确的答案。答 案取决于活动和日志记录的原因。 当检查日志文件时，了解哪些内容需要被记录，而哪些内容不重要。日志中包含的信息因日志的类型、事 件的类型、操作系统和产品、是否可以选择额外的事情以及数据的类型而变化。此外，如果你正在寻找 “谁”参加了此次活动，或者他们使用了“什么”机器，这些信息可能会或可能不会是日志的一部分。 Windows Server 2003 之前的 Windows 事件日志，例如，不包括计算机的 IP 地址，只有主机名。和 Web 服务器日志不包括确切信息，无论它们是什么品牌。很多 Web 活动通过代理服务器，所以你会发现，虽然 你知道网络来源，但不知道来自具体的哪个系统。 在确定是什么日志的时候，一般情况下，你必须回答以下问题： 什么是默认登录?这不仅包括典型的安全信息，如成功和不成功登录或访问文件，而且还包括在系统上 运行服务和应用程序的行为。 信息被记录哪里在?这可能会记录到多个位置。 随着添加的信息，日志文件的大小是无限的增长还是应当设置文件大小?如果是后者，那么日志文件已 满的时候又怎么办? 可以记录哪些类型的附加信息?你又怎么选择这些选项呢? 什么时候需要特定的日志活动?在一些环境下，记录特定的项目是合适的，但对其他环境却不合适?适 合某些服务器，但不适合其他服务器?适合服务器，但却不适合桌面系统? 应归档哪些日志和应归档保存多长时间? 如何让记录免受意外或恶意修改或篡改? 不是每一个操作系统或应用程序日志记录相同类型的信息。知道配置什么，在哪里可以找到日志，日志中 的哪些信息在需要了解具体的系统时是有用的。综观在一个系统中的示例日志是非常有用的，然而，因为 它赋予问题类型许多含义，所以这些问题你需要问和回答。Windows 和 Unix 日志是不同的，但是对于二 者，你可能要能够识别谁、什么、何时、何地以及为什么事情会发生。下面的例子讨论 Windows 日志。 在 Windows NT、XP、Windows2000、Vista 和 Windows7 中，默认情况下，Windows 的审计日志是关闭的。 Windows Server 2003 和更高版本有一些审计日志功能在默认情况下是打开的，可以被记录的事情都显示 在图 1。管理员可以打开所有或某种可用类别的安全日志记录并且可以通过直接指定对象访问注册表、目 录和文件系统设置额外的安全记录。甚至可以使用组策略(本机的配置，安全性，应用程序的安装和脚本 库的实用程序)为 Windows 2000 或 Windows Server 2003 域的所有服务器和台式机设定审计要求。 什么时候使用 Windows Server 2003，了解记录什么是很重要的，因为 Windows Server 2003 默认策略值 记录了只有小数目的活动。不用说，打开所有的日志类别也是不合适的。例如，在 Windows 安全审核，分 类审核过程跟踪将不适用于大多数生产系统，因为它记录了每一个过程活动中的每一个位，而对于正常驱 动器配置和审计日志审查来说，则存在着过多的信息。然而，在开发环境或者当审查定制软件以确定它说 了什么做了什么时，开启审核过程追踪可能为开发商排除故障代码或分析检查它提供了必要信息的数量。 记录在每一个 Windows NT(及更高版本)计算机的特殊本地安全事件日志的审核事件是配置审核的安全事 件。事件日志位于%WINDIR% SYSTEM32 config 文件夹下。除了安全事件，许多可能会提供安全性或活 动跟踪信息的其他事件也会记录到应用程序日志、系统日志或者 Windows 2000 和更高版本的域控制器 DNS 服务器日志、目录服务日志、或文件复制服务日志中。 此外，许多进程提供额外的日志记录功能。例如，如果安装了 DHCP 服务，它也可以被配置为记录的附加 信息，例如当它租用一个地址，在域中它是否被授权，以及网络中的另一台 DHCP 服务器是否被发现。这 些事件不会记录在安全事件日志，而是 DHCP 事件记录到%WINDIR% SYSTEM32 DHCP。 图 1 Windows 审计日志选项 通常情况下，你可以打开记录了许多服务和应用程序的额外的日志，而这一活动被记录到 Windows 事件日 志、系统或应用程序日志、或者服务或应用程序创建的特殊的日志中。微软的 IIS 遵循这种模式，和 Microsoft 服务器应用程序如 Exchange，SQL Server 和 ISA 服务器一样。聪明的系统管理员以及审计员， 将决定在 Windows 网络系统上运行什么，什么日志记录功能可用于每个服务或应用程序。虽然大多数的日 志信息，仅涉及系统或应用程序操作，但它可能成为一个取证调查的一部分，如果它是必要或保证其重建 活动的。记住这包括什么信息被记录在每个系统上以及被记录到哪里。 许多特殊的应用程序日志中是基本的文本文件，但是特殊的“事件日志”却不是。这些文件有自己的格式， 你可以管理访问它们。虽然任何应用程序可以通过编写事件记录到这些日志文件，但是在日志中，事件无 法修改或删除。 事件日志本身不自动存档，它们必须给定一个大小，他们可以覆盖旧的事件，停止记录直到手动清零，或 者在安全选项中，当日志文件已满时停止系统。最佳实践建议建立一个庞大的日志文件，并允许事件被覆 盖，但对这些完整文件的监控和频繁的归档，所以没有记录丢失。 早期的安全和系统管理员的建议强调，日志必须每天进行审查，并假设有时间这样做。我们现在知道，除 非在特殊情况下这不会发生。现在在采取下列行动的最佳实践建议： 发表日志数据到外部服务器。 日志整合到一个中央源。 应用过滤器或查询来产生有意义的结果。 发布日志数据到外部服务器有助于保护日志数据。如果服务器被攻破，攻击者也无法修改本地日志和掩盖 他们的踪迹。日志整合到一个中央源，使数据更易于管理，因为查询只需要对一个批次的数据运行处理。 Unix 的系统日志工具，使用的时候，可以让你将日志数据张贴和巩固到一个中央系统日志服务器。一个 版本的系统日志也可用于 Windows。 其他技术日志整合的例子包括 收集安全事件日志的副本并定期将他们归档到一个数据库中，然后开发 SQL 查询以完成报告或使用现 成的产品直接对特定类型的日志查询这个数据库。 投资于第三方安全管理工具，让它可以收集和分析特定类型的日志数据 使用安全信息和事件管理(SIEM)系统从许多来源安全日志、Web 服务器日志、IDS 日志等来收集日 志数据和警报。 使用系统管理工具或服务管理平台或服务的日志管理功能。 2. 监控系统和网络活动 除了记录数据，系统和网络活动可以提醒有见识的管理员潜在的问题。系统和网络应进行监测，不仅在修 复关键系统和性能瓶颈的调查和解决时，也在你知道一切都好，或者攻击正在进行中。是由于硬盘崩溃无 法访问系统?还是拒绝服务攻击的结果?为什么今天会从一个忙碌的网络出现突然激增的数据包? 有些 SIEM 工具还寻求提供网络活动的图片，以及系统活动的许多管理工具的报告。此外，IDS 系统、协 议分析者可以提供访问网络上流量的内容。 连续监测也许是出于安全操作的最好防御。安全操作必须能够产生、收集和查询日志文件，如主机的日志 和代理、认证和归属日志。安全操作必须具有技能设置为执行涵盖了网络所有关键的“瓶颈点”(入口和 出口)的深度包检测。许多商业监测包也可用，与事件关联引擎一样。开源的替代方案也可以，但是却拿 不出在发生安全事故时或在事后剖析通常需要的专业支持团队。决定监视什么和如何监视这是一个重大的 努力。 安全专业人士如果参考美国国家标准与技术研究院(NIST)的特别出版物 800-37，“联邦信息系统运用风 险管理框架的指南：一种安全的生命周期方法”会做得很好。本文档提供了连续监测战略的指导。高价值 目标(资产)需要重点监测。拥有当前和相关威胁情报的安全操作，结合着广泛和有针对性的监测策略和技 巧，可能抓住网络刑事犯一个 APT 攻击的行为。 3. 漏洞分析 没有一个缺少弱点扫描器的安全工具包是完整的。这些工具对众所周知的配置缺陷、系统漏洞和补丁级别 提供当前可用系统的审计。它们可以是全面的，能够扫描多种不同的平台;也可以只对应于特定的操作系 统;或者它们可以唯一地固定在一个单一的漏洞或服务，如恶意软件检测工具。他们可以是非常地自动化， 只需要一个简单的启动命令，或者他们可能需要复杂的知识或完成一长串的活动。 使用漏洞扫描器，或委托这样的扫描之前，需要时间来了解将会显示什么样的潜在结果。即使是简单的， 单一的漏洞扫描程序也可能会不识别漏洞。相反，他们可能简单地表明，特定弱势的服务是运行在一台计 算机上的。更复杂的扫描可以产生数百页的报告。所有的项目是什么意思?他们中有些项目可能是误报， 有些可能需要高级的技术知识来了解或减轻;还有一些可能是漏洞，你对此无能为力。例如，运行一个 Web 服务器确实让你比你不运行服务器更容易受到攻击，但如果 Web 服务器是你组织运作中至关重要的一 部分，那么你必须同意承担这个风险。 虽然漏洞扫描产品有所不同，重要的是要注意一个基本的漏洞评估和缓解不需要花哨的工具或昂贵的顾问。 免费和可用的低成本工具，和脆弱性列表的许多免费资源一起存在。特定的操作系统列表可以在互联网上 从操作系统供应商获得。 国家标准与技术研究所出版了可免费下载的“信息技术系统的自我评估指南”。虽然一些指南的具体情况 可能只适用于政府机关，但是大部分的建议对任何组织还是有用的;文档提供了问卷的格式，像一个审计 师的工作表，可以帮助信息安全新人执行评估。在调查问卷中覆盖了风险管理、安全控制、IT 生命周期、 系统安全计划、人员安全、物理和环境的保护、输入和输出控制、应急规划、硬件和软件的维护、数据的 完整性、文档、安全意识培训项目、事件响应能力、识别和认证、逻辑访问控制和审计跟踪等问题。 实践六：充分部署事件响应 一个组织的检测能力和复杂攻击的反应能力是依赖于一个事件响应小组的有效性和能力。这个团队由超过 一个人组成，因为对一个事件的响应将由各种各样的角色实施。从管理者到员工，内部到外部的专业人士， 如 IT 员工、业务合作伙伴、安全运营、人力资源、法律、财务、审计、公共关系和执法。计算机安全事 件响应小组(CSIRT)是任何安全运营功能的重要组成部分。 卡内基梅隆大学的 CERT 程序为事件响应提供了一个良好的模型和有用的材料。CERT 成立于 1988 年，由 国防部 DARPA 机构资助，以应付第一个自我繁殖的互联网恶意软件(被称为“Morris 蠕虫”)的爆发。由 康奈尔大学研究生罗伯特莫里斯释放到早期的互联网，莫里斯蠕虫在电脑上自我复制和传播，通过重载 受害者电脑上无止境的任务以造成拒绝服务的攻击。CERT 为计算机安全事件响应小组(CSIRT)提供了一个 手册。该指南涵盖了从建议的框架到响应小组会遇到的基本问题。 为建立自己的事件响应团队的 CERT 过程已提供给公众，大家可以在 找到，它包括以下步骤。 第一步，最可靠的努力，是从组织的高层管理人员获得赞助。资金和资源都依赖于这种支持，所以团队的 权威是从组织内各部门借用人员。最终，团队的成功是与高层管理人员的支持相关的。 下一步是为事件响应小组制定高级别战略计划。规划目标、时限和成员考虑到团队面临的依赖和约束提供 了一个实现 CSIRT 路线图和项目计划。 从组织中收集信息是在确定 CSIRT 的角色和它需要资源中重要