關于信息安全評估,需要get的重點
測定信息安全風險的最佳方法是什么?最佳方法是馬上檢測所有系統和應用程序的漏洞;這跟通過磁共振成像、血液分析等檢查人體健康一樣。有些人將這些工作稱為IT安全審計。有些人則稱為滲透測試。然而,對環境執行深度分析并不是簡單地對比所制定政策與實際運行情況——IT安全審計,也不是通過攻擊證明某個位置的安全——滲透測試,因此我更愿意將這些工作稱為信息安全評估。它們的涵義更寬泛一些、更中肯一些,它們有助于證明安全策略和流程在哪里方面有問題。
安全測試的語義可能讓人難以理解,但是最終目標是在有人遇到之前找到和修復漏洞。安全專家的職責就是保證用正確的步驟去檢查所有問題,從而使發現的風險能夠讓人理解、解決或者作為一個問題進入信息風險管理周期。下面列舉了有效信息安全評估中所包含的關鍵組成部分。要拋開派別和偏見,保證所有這些方面都在考慮范圍之內并且得到足夠的重視:
支持
如果沒有管理層的支持,則不會出現一個好的信息安全評估項目,也不會實現長期的成功目標。其中的原因很簡單。如果領導層不愿意投入所需要的資源實實在在地審視企業信息系統環境,那么所有其他工作都很難開展。要注重并保持任用正確的人員。工作職責不在于管理層,而在于IT和安全成員和領導人員。
范圍
理論上,這是一個扎實信息安全評估的最重要階段。我曾經看到過無數的錯誤例子,他們把系統、應用程序甚至整個網絡環境者排隊在安全測試之外。這樣的原因總是一樣:“沒有足夠的時間或金錢,”以及“我們不需要測試這些那些系統。”設定范圍是正確的,但是你必須保證要覆蓋所有關鍵系統——要盡快而不是留到以后。最后,你需要檢查整個環境,因為往往就是一個看似正常的系統、網絡片段或安全流程致使所有方面出現問題。一定要考慮外部系統、內部系統和在第三方云中托管的系統——包括營銷網站。此外,一定要在操作系統和Web應用程序上都授權執行安全測試。保證所有方面都進行公平的測試——包括人員、流程和物理安全系統。
測試
要從漏洞掃描開始,篩選掃描結果,進行人工分析,然后在你的環境和業務中查看有哪些漏洞可能被攻擊。從大的角度看,確實就是這么簡單。這個階段應該包括破解密碼、無線網絡分析及特別重要的網絡釣魚郵件。有很多書描述了這個安全評估階段應該要做的全部工作,如我自己寫的書《Hacking For Dummies》(黑客入門)。一定要以惡意用戶的角度去看待整個企業環境,尋找有哪些可以攻擊點,然后演示可能造成的后果,這樣才能分析問題和在需要的時候解決問題。
報告
漏洞掃描程序產生的500頁PDF報告并不是重點。要有一個清晰具體的安全評估報告概括描述按優化級劃分、淺顯易懂的結果和建議。最終報告并不一定要很長。只需要抓住重點,概括出從安全專家角度需要注意的具體漏洞——同樣,要考慮系統和業務所處的環境。報告中可以加入滲透測試和IT安全審計方面的元素。我并不推崇盲目跟從供應商漏洞優先級列表的常見做法。漏洞掃描程序就是一個例子,它通常都遵從常見漏洞打分系統(Common Vulnerability Scoring System)或類似的排名方式,它通常將非關鍵網絡打印機上用默認通信字符啟動的簡單網絡管理協議標記為嚴重級別。如果這種結果也標記為嚴重,那么更嚴重的防火墻密碼、核心Web應用程序的SQL注入或關鍵服務器缺少防止遠程攻擊的補丁又該標記為什么級別呢?關鍵是要根據所在的環境及常識。最糟糕的信息安全評估就是沒能產生一份正式報表的評估,因為無法知道到底出現哪些問題,更不用說解決問題了。
解決問題
發現問題之后,要解決問題。我經常看到一些安全評估報告,其中所包含的具體結果一直處于未確認狀態——或者至少在下一次安全評估之前仍未處理。這種問題很容易處理:將責任分配到人,保證所有人都各司其職。半年或一年后的下一次信息安全評估將確定之前的問題是否已經解決。此外,也可以考慮對嚴重和高優先級結果執行一次修復驗證,作為安全評估的后續工作,時間可以設定為報告提交和任務分配之后30~45天左右。
疏忽
保證安全評估之間的持續安全性需要進行一些簡單的工作,如調整現有系統和軟件,實現一些新的技術控制,以及徹底改變一些策略和流程。不要試圖實現一種完美的安全性,前進的目標應該是合理的安全性,使發現問題和解決問題的時間間隔越來越短。而且,管理層一定要保持介入。在合規性和合同義務等都需要由執行主管來決定。無論他們是否關注這個方面,都需要他們參與其中。要在安全評估周期中讓必要人員準時出現。這不僅能證明他們的投資回報,也是持續參與的重要條件。否則,安全就會游離在他們的思想意識之外,不會得到應有的重視。
底線是每一個企業都有一些信息和計算資產可能受到黑客或惡意內部人員的攻擊,也可能由于用戶失誤而遭受破壞。千萬別天真地認為,自己不知道的信息風險是不會降臨到自己的頭上。企業不能只依靠IT安全審計或滲透測試。忽視安全評估并不是一種正確的職業方式。而且,發現信息風險但是不重視它是一種安全自殺行為——也可能導致職業生涯徹底失敗。要投入足夠的時間去規劃信息安全評估,保證做完應該完成的工作,以及IT、開發、管理等相關人員都知道檢查結果,這樣問題才能得到解決。
由于有許多安全專家和供應商值得依賴,因此信息安全評估并非一種很難的工作,而且投資回報能夠保證的情況下也不一定需要很大的投入。Warren Buffett曾經說過:“只要你別做太多的錯事,在你的生命中你只需要做一些為數不多的正確事情。”信息安全計劃就是一種投入或不投入的體現,當然這其中也包括持續安全評估計劃。要保證它處于優先執行的位置。即使周期性持續地執行,這些評估也不解決所有安全問題的完美方法。然而,可以肯定的一點是,如果選擇忽視這些重要工作,歷史悲劇肯定會再一次重復。
