安全自動(dòng)化應(yīng)超越病毒保護(hù)和補(bǔ)丁管理

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

    當(dāng)然，也許這種集中管理站并不能算是集成式的監(jiān)控站，而更像是安全管理員將各個(gè)監(jiān)控站集中到一個(gè)控制臺(tái)中。這也可以算是安全技術(shù)的基本特征之一。不同的安全產(chǎn)品無(wú)法共享網(wǎng)絡(luò)和安全信息，這一問(wèn)題對(duì)安全自動(dòng)化造成了很大的限制，在其他的地方也有一些限制，例如，入侵防護(hù)系統(tǒng)（IPS）自己不能分辨圣誕節(jié)流量暴增和拒絕服務(wù)式攻擊之間的區(qū)別，這也就是為什么很多企業(yè)都在以很有節(jié)制的方式使用入侵防護(hù)系統(tǒng)，有些則根本不用。當(dāng)然，安全工具也不可能根據(jù)您的業(yè)務(wù)獨(dú)有特質(zhì)來(lái)制訂與之相適應(yīng)的安全策略。

    我們完全有理由相信，安全技術(shù)終將實(shí)現(xiàn)自動(dòng)化，但永遠(yuǎn)不可能代替人類的感知能力、直覺(jué)和介入。Unisys公司企業(yè)設(shè)計(jì)師兼安全顧問(wèn)John Pironti總結(jié)道：“您可以搭建自動(dòng)化的安全模型并使其能夠探察問(wèn)題、建立對(duì)抗措施和向人類報(bào)警，而人類負(fù)責(zé)過(guò)濾和制約這些自動(dòng)化技術(shù)。通過(guò)這種方式，人類與計(jì)算機(jī)之間就能夠形成一種融洽的共生關(guān)系?！?

    了解您的業(yè)務(wù)

    目前，入侵檢測(cè)、防病毒、防火墻和反垃圾郵件的技術(shù)都已經(jīng)相當(dāng)成熟，基本上可以實(shí)現(xiàn)自動(dòng)化，也就是說(shuō)，人類對(duì)此類功能的介入可以降至最低程度。一些分析專家指出，安全信息集成和身份管理這兩項(xiàng)技術(shù)卻處于另外一個(gè)極端，遠(yuǎn)遠(yuǎn)沒(méi)有達(dá)到成熟的地步。也就是說(shuō)，這兩種技術(shù)到2010年前后才能有成熟的自動(dòng)化。

    蒙特利爾銀行金融集團(tuán)副總裁兼首席信息安全官Robert Garigue指出，不要僅僅用產(chǎn)品趨勢(shì)來(lái)判斷自動(dòng)化水平。相反，企業(yè)應(yīng)當(dāng)將注意力放在如何使安全特性與企業(yè)的最佳實(shí)踐相匹配，以及如何使自動(dòng)化從單純的安全性提升到企業(yè)一般業(yè)務(wù)運(yùn)營(yíng)的層次上。

    Garigue說(shuō)：“如果我們從產(chǎn)品、從架構(gòu)的角度來(lái)看，自動(dòng)化的發(fā)展都是非常廣泛的。例如，防火墻已經(jīng)成為日常必不可少的產(chǎn)品，因此被嵌入到我們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之中。補(bǔ)丁更新和數(shù)據(jù)質(zhì)量也已經(jīng)不再是特例管理的內(nèi)容，而是正常的操作?！?

    當(dāng)自動(dòng)安全成為日常工作的一部分，安全小組就獲得了更大的自由，能夠?qū)⒏嗑τ脕?lái)對(duì)付新的風(fēng)險(xiǎn)和緊急策略問(wèn)題。他說(shuō)：“目前，我們已經(jīng)能夠?qū)⒆⒁饬Ψ旁诜?wù)導(dǎo)向型架構(gòu)、數(shù)字權(quán)限管理、身份管理和其他新出現(xiàn)的安全問(wèn)題上，而只有建立了完善的最佳實(shí)踐，才能實(shí)現(xiàn)這些功能的自動(dòng)化?！?

    在規(guī)范較為嚴(yán)格的行業(yè)中，最佳實(shí)踐和安全自動(dòng)化總是形影相隨的。費(fèi)城證券交易所負(fù)責(zé)質(zhì)量保證的副總裁Bernie Donnelly認(rèn)為，這一點(diǎn)非常重要，尤其是當(dāng)我們需要證明誰(shuí)訪問(wèn)了敏感數(shù)據(jù)以及包含敏感數(shù)據(jù)的網(wǎng)絡(luò)中發(fā)生過(guò)什么情況時(shí)，就顯得更加突出。

    他說(shuō)：“在以前的安全自動(dòng)化工作中，我必須向內(nèi)部審查小組、外部審查小組和證券交易委員會(huì)證明這些問(wèn)題。”

    Donnelly說(shuō)，近年來(lái)，這家交易所已經(jīng)建立起了多元化的貿(mào)易系統(tǒng)平臺(tái)，而當(dāng)前那些調(diào)節(jié)機(jī)構(gòu)要求的審查蹤跡也不再由大型機(jī)訪問(wèn)控制來(lái)提供。新的系統(tǒng)可以提供大量的報(bào)告數(shù)據(jù)，交易所的人員再?gòu)倪@些數(shù)據(jù)中篩選出調(diào)節(jié)機(jī)構(gòu)感興趣的信息。

    Donnelly說(shuō)：“我們希望利用一套系統(tǒng)來(lái)整合這些信息。因此我們與Consul進(jìn)行了合作，它是IBM負(fù)責(zé)遠(yuǎn)程訪問(wèn)控制設(shè)施的分支企業(yè)。目前我們?cè)谧约旱沫h(huán)境中仍然在使用其產(chǎn)品。Consul可以從所有三個(gè)平臺(tái)中收集數(shù)據(jù)并將其匯總到一臺(tái)中心服務(wù)器中。在中心服務(wù)器上，我們利用單一的語(yǔ)言就能對(duì)所有數(shù)據(jù)進(jìn)行檢索。

    該交易所與其他組織很相似，都需要通過(guò)人工建立過(guò)濾器的方法來(lái)縮減數(shù)據(jù)，從而使數(shù)據(jù)達(dá)到可管理的水平。另外，要想從數(shù)據(jù)中檢索出重要的信息，仍然需要進(jìn)行大量的手工操作。

    Meta公司負(fù)責(zé)安全管理的副總裁Chris Byrnes說(shuō)：“安全信息包含在數(shù)百個(gè)潛在的信息源中，因此，其中的關(guān)鍵就是去除那99%您不關(guān)心的數(shù)據(jù)，而留下1%真正有用的內(nèi)容?！?

    他認(rèn)為，實(shí)現(xiàn)安全事件管理自動(dòng)化的關(guān)鍵是找出數(shù)據(jù)來(lái)源并且分離出其中有用的信息，然后對(duì)這些信息實(shí)施自動(dòng)化的關(guān)聯(lián)和分析功能。不過(guò)，如果企業(yè)的擁有者不知道應(yīng)該向分析引擎提出什么樣的問(wèn)題，那么即使實(shí)現(xiàn)了關(guān)聯(lián)和分析功能的自動(dòng)化也沒(méi)有太大的意義。

    Byrnes指出：“如果知道應(yīng)該向這些工具提出什么樣的問(wèn)題，那么它們就可以向您提供答案。但用戶必須知道自己要找的是什么，并且要給出具體的關(guān)聯(lián)規(guī)則。目前，廠商提供的產(chǎn)品仍然需要定制，還沒(méi)有具備普遍適用的能力?！?

    此外，安全信息管理（SIM）工具也不能充分利用已經(jīng)存在于網(wǎng)絡(luò)中的信息，除非這些信息來(lái)自SIM廠商開(kāi)發(fā)和支持的產(chǎn)品或系統(tǒng)。因此，要想從更深層次的關(guān)聯(lián)和分析中收集信息，就必須在整個(gè)網(wǎng)絡(luò)中添加一些節(jié)點(diǎn)和內(nèi)嵌式的設(shè)備。

    Computer Associates公司執(zhí)行安全顧問(wèn)Diana Kelley說(shuō)：“無(wú)論是在有線通信還是在無(wú)線通信領(lǐng)域，情況都是如此。這是一場(chǎng)爭(zhēng)奪安全管理控制臺(tái)的戰(zhàn)斗。如果我們想實(shí)現(xiàn)自動(dòng)化，這類控制臺(tái)就必須是集成式的，而且是開(kāi)放的。我們可能配備來(lái)自不同廠商的IDS、防火墻和其他報(bào)告機(jī)制，但在自動(dòng)化過(guò)程中必須拋棄門(mén)派之見(jiàn)，從所有的產(chǎn)品中獲取我們想要的信息。在這一過(guò)程中，標(biāo)準(zhǔn)是必不可少的。為此，我們需要一整套的標(biāo)準(zhǔn)。”

    尋求標(biāo)準(zhǔn)

    在過(guò)去的兩年中，CA一直在與IETF的開(kāi)放安全交換小組進(jìn)行密切的協(xié)作，目的是開(kāi)發(fā)出一種在多種品牌和類型設(shè)備之間識(shí)別和共享安全事件信息通用的方法。這項(xiàng)名為開(kāi)放源代碼漏洞數(shù)據(jù)庫(kù)的計(jì)劃,于2002年8月在DEFCON大會(huì)上正式啟動(dòng)。該數(shù)據(jù)庫(kù)可以在現(xiàn)有的多種漏洞管理系統(tǒng)之間共享通用的漏洞定義。數(shù)十年來(lái)，網(wǎng)絡(luò)管理廠商一直在使用IETF著名的SNMP協(xié)議，而這種協(xié)議如今仍然是企業(yè)中一種必不可少的工具。

    Coast Capital Savings公司已經(jīng)將其安全管理的未來(lái)都押在了SNMP協(xié)議上。Surrey是加拿大的一家銀行信用企業(yè)聯(lián)盟。它在50家零售企業(yè)中擁有2000家用戶，并且正在通過(guò)兼并、收購(gòu)和新建等方式迅速擴(kuò)展其在加拿大的業(yè)務(wù)規(guī)模。為了支持該公司激進(jìn)的發(fā)展計(jì)劃，公司的高級(jí)系統(tǒng)工程師Andrew Banman正在開(kāi)發(fā)一種名為“套裝分行”的模塊，使新建的分行能夠立即安裝和運(yùn)行標(biāo)準(zhǔn)化的安全系統(tǒng)，而且可以通過(guò)單個(gè)控制臺(tái)對(duì)其實(shí)施完善的管理。

    Banman的小組正在執(zhí)行一項(xiàng)為期兩年的計(jì)劃，利用SNMP來(lái)統(tǒng)一所有的安全和管理信息。該小組已經(jīng)使用了F5 Networks公司的FirePass SSL VPN來(lái)檢查遠(yuǎn)程計(jì)算機(jī)的安全完整性，只有當(dāng)這些計(jì)算機(jī)通過(guò)了安全檢查后才能獲得訪問(wèn)數(shù)據(jù)中心的權(quán)力。

    Banman說(shuō)：“如果要監(jiān)視所有的數(shù)據(jù)，那肯定會(huì)是一場(chǎng)可怕的噩夢(mèng)。因此，我們根據(jù)具體情況決定應(yīng)該購(gòu)買(mǎi)哪些功能，自己編寫(xiě)哪些功能，并且利用SNMP管理功能來(lái)幫助我們整合所有的數(shù)據(jù)?！?

    利用您的基礎(chǔ)設(shè)施

    等到所有的標(biāo)準(zhǔn)都像SNMP一樣成熟時(shí)，從不同的設(shè)備中采集和關(guān)聯(lián)安全信息的過(guò)程仍然會(huì)是一項(xiàng)非常昂貴和困難的工作。

    于是，人們想到了將安全管理功能集成到交換機(jī)管理平臺(tái)中：根據(jù)3Com的計(jì)劃，該公司將把今年年初從TippingPoint Technologies公司收購(gòu)來(lái)的IPS技術(shù)集成到自己的平臺(tái)中，而Cisco在去年也推出了具備安全訪問(wèn)、IPS和安全監(jiān)視等功能的自防御網(wǎng)絡(luò)概念。另外，Enterasys Networks公司也開(kāi)始提供集成式的殺毒與策略管理產(chǎn)品。

    北卡羅來(lái)那大學(xué)已經(jīng)采用了Enterasys的安全管理產(chǎn)品，用來(lái)在交換機(jī)端口上阻斷病毒或攻擊。這種產(chǎn)品最大的優(yōu)勢(shì)之一就是，無(wú)須在每一臺(tái)交換機(jī)和終端上安裝節(jié)點(diǎn)。北卡羅來(lái)那大學(xué)數(shù)據(jù)聯(lián)網(wǎng)副主任Mike Hawkins指出，當(dāng)這種產(chǎn)品發(fā)現(xiàn)某個(gè)特定的端口上出現(xiàn)黑客或病毒活動(dòng)，就會(huì)將這臺(tái)計(jì)算機(jī)置于補(bǔ)救狀態(tài)下，直至該計(jì)算機(jī)被修復(fù)。為了對(duì)抗層出不窮的威脅，北卡羅來(lái)那大學(xué)還使用Netsight Policy Manager在邊緣交換機(jī)上實(shí)施通訊阻斷策略。

    了解用戶的角色

    以身份管理為例，如果對(duì)每一項(xiàng)應(yīng)用都實(shí)施層次分明的精細(xì)訪問(wèn)權(quán)限管理，企業(yè)就必須對(duì)所有的定制應(yīng)用和廠商的非集成式應(yīng)用重新編寫(xiě)定制策略定義。但是，PricewaterhouseCoopers公司安全及隱私管理合伙人Brad Bauch認(rèn)為，從企業(yè)的角度來(lái)看，這種精細(xì)的方式根本不可能實(shí)現(xiàn)用戶角色和供應(yīng)資源的自動(dòng)化。

    然而，那些比較容易實(shí)現(xiàn)自動(dòng)化的身份管理功能都確實(shí)已經(jīng)實(shí)現(xiàn)了自動(dòng)化，不再是安全問(wèn)題的范疇，而成為了企業(yè)日常運(yùn)營(yíng)中的一部分。這與Garigue的安全成熟性模型完全一致。

    Bauch指出，自助式的口令設(shè)置已經(jīng)成為一項(xiàng)非常普及的功能，并且已經(jīng)證明可以在某企業(yè)中將幫助人員的呼叫量減少70%，具備很高的投資回報(bào)率。在他的客戶站點(diǎn)上，取消服務(wù)的工作已經(jīng)實(shí)現(xiàn)了完全的自動(dòng)化，因而在很大程度上已經(jīng)變成了一種人力資源功能。另外，用戶自己就可以啟動(dòng)新的賬戶請(qǐng)求。

    例如，在Nextel公司，員工和承包商可以利用Thor Technologies公司的身份管理系統(tǒng)申請(qǐng)自己的用戶ID，該系統(tǒng)在工作時(shí)位于該公司的PeopleSoft人力資源應(yīng)用前端。用戶申請(qǐng)好自己的ID后，系統(tǒng)就可啟動(dòng)工作流程電子郵件并為用戶提供相應(yīng)的資源。

    但Nextel公司IT戰(zhàn)略及架構(gòu)主任Tom Deffet說(shuō)，Nextel稱自己并沒(méi)有向用戶角色提供精細(xì)的屬性和適應(yīng)這些屬性的獨(dú)特資源，因?yàn)橐雽?shí)現(xiàn)這些功能，就需要對(duì)數(shù)百種定制應(yīng)用開(kāi)發(fā)一種系統(tǒng)，而這種開(kāi)發(fā)工作所耗費(fèi)的時(shí)間將是非常驚人的。

    Deffet解釋說(shuō)：“角色和應(yīng)用之間的組合是多種多樣的，所以，實(shí)現(xiàn)全部這些組合的自動(dòng)化供應(yīng)是一件非常讓人困惑的事情。因此，我們決定先摘一些容易摘到的果子，這樣進(jìn)展就可以快一些?！?

    Nextel設(shè)置了四種主要的用戶角色 :員工、承包商、業(yè)務(wù)伙伴和客戶，在這些角色范圍內(nèi)，所有用戶都可以自動(dòng)獲得訪問(wèn)共同資源的權(quán)限。例如，分析給員工的資源包括局域網(wǎng)、電子郵件、VPN和Internet接入。差不多一年后，Nextel公司希望進(jìn)一步開(kāi)發(fā)更詳細(xì)的屬性，如部門(mén)和職務(wù)。

    Garigue說(shuō)，所有的安全自動(dòng)化都會(huì)呈現(xiàn)出這樣一種形式。首先，找出風(fēng)險(xiǎn)，然后開(kāi)發(fā)標(biāo)準(zhǔn)，并最終實(shí)現(xiàn)最佳實(shí)踐的自動(dòng)化。這種形式在未來(lái)還會(huì)繼續(xù)適用，尤其是對(duì)那些為了分布式服務(wù)密集型計(jì)算而部署新型數(shù)據(jù)中心架構(gòu)的企業(yè)來(lái)說(shuō)，這將是一條必經(jīng)的道路。

    來(lái)源：CCW