防火墻維護以及安全測試秘籍
Verizon的2015 PCI合規報告(The Verizon 2015 PCI Compliance Report)指出了缺乏防火墻維護和安全性測試是未能滿足PCI合規的主要原因。專家Kevin Beaver提供了一些成功管理這些任務的小技巧。
關于防火墻和PCI合規之間的關系,Verizon的2015 PCI合規報告很能說明問題。這篇報告揭示了缺乏防火墻維護和安全性測試不僅僅是導致企業未能達到PCI DSS合規的兩個主要原因,也是導致數據泄露的主要原因。
根據這份報告可知,2014年遭受數據泄露的組織只有27%滿足PCI DSS的防火墻維護要求。
雖然我不同意報告中所說的防火墻是組織的第一道防線,因為防火墻可能并沒有辦法管理到企業的移動辦公員工,但是防火墻無疑是安全性和合規性的一個重要組成部分,尤其是在網絡分段和PCI范圍縮小的情況下。不管“老派”網絡邊界安全控制是如何實現的,他們對于企業控制來說很重要。
眾所周知,企業進行防火墻維護的方式各有不同。但是,在這篇文章中,我將討論這些差距以及如何解決這些問題。
防火墻的管理問題
無論您是負責小型或中型企業整體的信息安全,還是在一家大企業專門的防火墻團隊工作,防火墻管理、維護和測試有關的潛在挑戰都非常相似。
一個主要的問題是時間,或者是缺乏時間管理。還有一部分問題和預算有關。再就是“影子IT”的問題了,也就是員工發號施令使其發生變化的部分。
還有就是閑置不用,采購了好的工具,但是尚未部署和實施不當。就像Verizon的報告中所說的:“我們看到了很多這樣的例子。一些組織已經配備了下一代防火墻,但是并沒有使用它的程序感知功能,從而讓他們的網絡暴露給利用社交媒體應用程序的威脅和端口跳轉攻擊”。我在工作中也相當頻繁地看到這個現象。
解決方案
鑒于上述的挑戰和復雜性,IT團隊要如何武裝他們企業的防火墻,有效地管理其規則庫,然后不斷地檢測出弊端?
首先,我不建議手動來管理防火墻,除非你的組織只有一個或兩個防火墻,而且每個防火墻只有少量規則。
改善防火墻管理,處理變化和減少風險的其它幾個必備措施:
• 管理必須要有安全性意識,對于網絡現狀和組織正面臨的挑戰要有清晰的概念,沒有買入,就沒有支持,就是這么簡單。
• 所有關鍵部門之間的溝通都需要得到改善,包括防火墻團隊、安全團隊、IT運營和服務支持團隊。我已經見過無數企業內部的IT部門之間幾乎沒有溝通,和外部的業務團隊也沒有溝通。當溝通癱瘓時,一切也就完了。
• 在系統運行中斷或泄露事件中,真正的業務連續性和應急響應程序必須到位。否則,公司就會在最不合時宜的時候當機。
• 企業的防火墻環境中應該有合理的標準。我看到很多公司的網絡環境中有各個供應商的防火墻。雖然對于某一特定功能,一些供應商的產品會比其它廠商的好,或者為了網絡某一區域,企業需要部署一個下一代防火墻,但是如果一個企業在環境內運行相同或相似系統可以簡化很多事情。
• 安全測試技術必須超越防火墻規則庫分析或單純的審核。測試技術應包括運行漏洞掃描器(網絡和Web),以及任意其他工具,如Metasploit,甚至需要一個知己知彼的網絡分析者來破解防火墻的漏洞。如果企業看得夠深,他們會發現諸如弱口令,過時的協議(SSL和SSH版本1)這些問題。
• 諸如安全性檢測、漏洞檢測、風險防火墻規則,清除過時的規則這些行為都需要執行。這些測試應定期并持續執行,即每季度或每半年,或之后任意重大系統更改。一些企業使用諸如AlgoSec防火墻分析儀這樣的工具幾乎實時來做到這些測試。一旦組織建立了它的測試流程,有些事情就可以在短短幾分鐘內完成。當一個組織在其它領域也這樣采取措施,它就會以更高的標準要求自己,并成功讓自己保持在防火墻監督之上。
如果有必要,企業可以繼續實施信息技術基礎構架庫(ITIL)或其它正式的變更管理流程。然而,值得注意的是,如果人們不按程序辦事,那么這些流程也僅僅只起到了展示的作用。舉個例子:我曾經為一個大型電子商務公司的業務做一個項目。有一天,防火墻的團隊成員沒有遵循既定的變更管理流程,對核心防火墻進行了一些帶外(未經測試)變更。不幸的是,在變更過程中,防火墻規則庫被損壞,電子商務應用和互聯網之間的所有通信被中斷。核心應用中斷,最終后果是幾個小時內對該企業造成了六位數美元損失。
作為負責防火墻的工作人員,安全人員必須在安全和現實之間做好平衡。永遠不要讓審計或合規引起的繁文縟節妨礙到工作。如果一個企業認真地思考一下,在其網絡環境中基于需求使用正確的工具,制定合適的工作流程,那么防火墻維護和管理都可以做得很好。
最后,有一個很重要的問題:當涉及到防火墻管理和合規疏忽,企業是存在技術問題還是人員問題?再多的政府和行業法規,或是新的方法好像都無法解決這個問題,但是紀律可以。紀律可以讓你了解風險在哪里,紀律可以更好地配合安全措施來管理網絡,紀律可以讓你做到需要做的事情,然后反復一遍又一遍地盡我們的能力做到很好的管理。
Jim Rohn曾經說過:“成功是容易的,但疏忽同樣容易”。防火墻維護和管理上的問題不是突然一下子就出現的,是在長時間內做了一系列糟糕的決定,或者不做任何決定而產生的,例如管理者拒絕投資必要的工具和培訓,或IT專業人士不做出任何努力和管理者進行更好的溝通。當關鍵系統,如防火墻和他們日益復雜的規則庫被忽視,那就是不好的事情發生的時候,組織對于安全的真實態度也會自然而然地曝光。
