在當(dāng)今的網(wǎng)絡(luò)互聯(lián)時(shí)代��,不少公司和解決方案提供商對確保數(shù)據(jù)安全性所采取的方法已經(jīng)落后�。我們通常講的采用防火墻和VPN技術(shù)并不能徹底消除安全隱患�,尤其是對隱藏在內(nèi)部網(wǎng)絡(luò)的合法攻擊者,公司應(yīng)采取何種對策呢�����?
80/20困境
為確保唯有授權(quán)者和特許用戶才能訪問和交換干凈的數(shù)據(jù)��,許多公司部署了防火墻、入侵檢測方案和防病毒軟件���。但是調(diào)查表明����,只有20%的數(shù)據(jù)破壞是由公司外部人所為���。這等于說即便充分利用現(xiàn)有技術(shù)也只能解決五分之一的安全問題。這些解決方案并不能消除來自內(nèi)部授權(quán)用戶的安全隱患����。
入侵檢測軟件包對于來自內(nèi)部的入侵內(nèi)部行無法向管理員做出報(bào)告,更讓人擔(dān)憂的是����,無法調(diào)查內(nèi)部員工在造成的破壞程度。
為克服這個(gè)難題��,許多組織利用基于查詢的內(nèi)部分析工具來加強(qiáng)內(nèi)部安全����,發(fā)現(xiàn)未授權(quán)的活動(dòng)?����;诓樵兊姆治龉ぞ唠m然為發(fā)現(xiàn)安全漏洞或?yàn)E用網(wǎng)絡(luò)權(quán)限提供了有效方法,但最多也只能算是被動(dòng)的補(bǔ)救辦法�����,即使最警惕的基于查詢的分析通常也要晚一個(gè)小時(shí)�。
控制關(guān)鍵的80%
要控制關(guān)鍵的80%的安全漏洞,關(guān)鍵在于解答四個(gè)根本問題:1.發(fā)生了什么��?2.發(fā)生的具體時(shí)間����?3.誰在搞破壞?我們應(yīng)采取什么措施��?
基于查詢的分析工具只能解答頭一個(gè)問題���。在反復(fù)比較以前的報(bào)告時(shí)�,它會(huì)準(zhǔn)確無誤地把重要網(wǎng)絡(luò)參數(shù)的變更記入日志����。但這種工具只能檢查網(wǎng)絡(luò)的目前狀態(tài),沒法記下誰在破壞��、破壞情況及其影響。如果沒有這部分極重要的信息及實(shí)時(shí)跟蹤功能�����,內(nèi)部安全仍將停留于被動(dòng)狀態(tài)���。唯有積極主動(dòng)的安全政策管理才能真正有效地控制難以制服的80%�����。
積極主動(dòng)的安全政策管理把入侵檢測概念提升到了更有效、更合理的入侵者檢測(甚至是內(nèi)部入侵者)層面�����。內(nèi)部安全漏洞在于人���,而不是技術(shù)����。因此���,應(yīng)重點(diǎn)由發(fā)現(xiàn)問題并填補(bǔ)漏洞迅速轉(zhuǎn)向查出誰是破壞者���、采取彌補(bǔ)措施并消除事件再發(fā)的可能性�。如果不知道破壞者是誰�����,就無法解決問題����。
三類內(nèi)部安全危害
內(nèi)部安全危害分為三大類:操作失誤、存心搗亂及用戶無知���。操作失誤包括用戶不經(jīng)意獲得了不應(yīng)該擁有的權(quán)限���,雖然自己沒有惡意,但這些新授權(quán)的用戶無意中會(huì)給數(shù)據(jù)和系統(tǒng)帶來嚴(yán)重破壞�����。正確的措施就是取消過高的權(quán)限����。但基于查詢的分析卻無法顯示,誰擁有引發(fā)問題的權(quán)限��,也無法顯示是誰授予了這些權(quán)限。
以在值員工和已辭職員工的蓄意破壞為例�����,可能存在的企業(yè)內(nèi)部安全漏洞包括:滿腹牢騷的員工離開公司后設(shè)立特洛伊木馬以獲得訪問權(quán)�����,在職員工被解雇或工作變動(dòng)前造成嚴(yán)重破壞等��;對用戶和用戶組權(quán)限管理不善��,會(huì)常常導(dǎo)致員工離開后很長時(shí)間仍能訪問極重要的公司系統(tǒng)�����,對這種惡意事件���,正確措施包括取消權(quán)限、消除搗亂的機(jī)會(huì)���、通知管理員���,若有必要����,收集證據(jù)把非法活動(dòng)記錄在案�。傳統(tǒng)的安全措施如入侵檢測和基于查詢的分析無法顯示這類活動(dòng)的作惡者。
對高度重視存儲(chǔ)空間和工作效率的公司來說�����,由于員工無知引起的安全漏洞會(huì)造成極大的代價(jià)��。如員工下載大量MP3和圖像文件而使服務(wù)器不堪重負(fù)����,負(fù)荷過重會(huì)危及整個(gè)網(wǎng)絡(luò)的性能。合理的安全政策響應(yīng)機(jī)制包括教育用戶��、刪除違反政策的文件及通知管理員和管理部門�����?;诓樵兊姆治鼍蜔o法采取這些行動(dòng)。
公司利用包括實(shí)時(shí)事件跟蹤和自動(dòng)執(zhí)行政策的積極主動(dòng)的安全政策管理工具���,就能夠成功瓦解違反內(nèi)部安全政策的每次破壞���。不管居心不良還是破壞危害極大����,由具有實(shí)時(shí)執(zhí)行功能的實(shí)時(shí)審查工具跟蹤的合理政策幾乎能夠消除所有重大安全漏洞�。這種工具可以揭示誰破壞了安全、破壞情況及何時(shí)發(fā)生���,但也許更重要的是���,它能采取自愈行動(dòng),使系統(tǒng)回到攻擊前的狀態(tài)����。
用好安全管理工具
真正的安全政策管理的最佳工具應(yīng)包括實(shí)時(shí)審查目錄和服務(wù)器的功能具體包括:不斷地自動(dòng)監(jiān)視目錄,檢查用戶權(quán)限和用戶組賬戶有無變更���;警惕地監(jiān)視服務(wù)器,檢查有無可疑的文件活動(dòng)���。無論未授權(quán)用戶企圖訪問個(gè)人文件還是工作厭煩的員工下載MP3文件�,真正的安全政策管理工具會(huì)通知相應(yīng)管理員�����,并自動(dòng)采取預(yù)定行動(dòng)。
有了這種實(shí)時(shí)跟蹤�����、通知及修復(fù)功能���,內(nèi)部安全破壞的危害會(huì)變得極容易控制����,所需的管理時(shí)間也較少��。然而�,倘若已辭職員工通過特洛伊木馬開始訪問重要數(shù)據(jù),這種工具會(huì)同時(shí)通知管理員���、全面地審查跟蹤活動(dòng)���、消除后門,把所有受影響的數(shù)據(jù)恢復(fù)到破壞前的狀態(tài)�。
遵守規(guī)則的唯一方式
目前,許多國家實(shí)施了數(shù)據(jù)安全立法。例如����,美國的醫(yī)療信息便攜性和責(zé)任法(HIPAA)新規(guī)定的安全要求對公司對待數(shù)據(jù)安全的方式產(chǎn)生了重要影響。HIPAA包括嚴(yán)格確定的一系列需求的安全措施�。首先就是要求審查跟蹤。當(dāng)然����,僅僅知道事件并不能給予你所需的安全,組織一定要跟蹤誰是破壞者、發(fā)生時(shí)間及什么影響�。明智的公司要求有一種全面、迅即的方式修復(fù)破壞��。如果你想提供所有這些好處���,唯一的選擇就是使用安全政策管理工具���。
80/20法則告訴我們什么
在網(wǎng)絡(luò)安全行業(yè)內(nèi)流行著這樣一條80/20法則:80%的安全威脅來自網(wǎng)絡(luò)內(nèi)部。也就是說�,黑客再狡猾、再危險(xiǎn)��,但真正的“敵人”還是隱藏在內(nèi)部的�����。所以�,要想保證網(wǎng)絡(luò)的安全,在做好邊界防護(hù)的同時(shí)���,更要做好內(nèi)部網(wǎng)絡(luò)的管理����。所以�,目前有關(guān)安全的觀點(diǎn)是:安全的最高境界不是產(chǎn)品,也不是服務(wù)����,而是管理。沒有好的管理思想���,嚴(yán)格的管理制度����,負(fù)責(zé)的管理人員�,和實(shí)施到位的管理程序,就沒有真正的安全�。
------------------------------- · 相關(guān)文檔瀏覽 · --------------------------------------------------------------------- · 熱門文檔瀏覽 · -------------------------------------
