【译】一则故事:达到绝对安全的三个最佳措施

过去的一年,我有幸为怎样保护一些重要且易受攻击的网络提供了咨询服务。我说它们易受攻击是因为他们已经遭受过多次攻击。所以,他们需要完善的安全措施。我知道,在网络安全业务中,即便投入了巨额预算,完美的安全保护措施仍是不可能的,相当不错的安全保护措施也很难做到。这就是为什么经常有人问我如何做好安全保护。我写这篇文章的目的就是为了和大家分享,怎样通过3个简单的步骤,得到几乎完美的安全保护。(本文系 OneAPM 工程师编译整理)

一则故事:达到绝对安全的三个最佳措施

第一步:了解你的资产

四处走一走,记下你看到的资产。和工作的人聊一聊,然后写下你之前没有看到的资产。做资产管理。多数人认为资产就是货栈里的金钱和存货。

有时候资产是这些,但是那些可以让你赚钱的东西都算资产,甚至你的安全服务器和安全软件都可以算作资产,因为它们是利润的推动者。所以试想:如果你的业务是火山旅行,那么防火型内衣就是旅行的安全保障和必需品,因此,它也是在恶劣环境中牟利的利器。因特网也是一种恶劣的环境。你需要网络安全才能保证业务平稳运行。因此,网络安全是在因特网中牟利的必需品。

第二步:采用最好的措施

安装和配置以下软件:防火墙、杀毒软件、web应用程序防火墙和入侵检测系统。然后定期进行漏洞扫描、渗透测试和补丁管理。

写一个安全政策并让管理层签字,因为你知道如果他们不签字,是不会重视安全问题的。

制定一个可执行的员工政策,然后让每个人签字。一直督促他们直到他们签字,在必要时可以采取一些威胁措施,并给予签过字的人奖励。

找到一个可靠的备份系统,尽可能频繁地全面备份数据库数据。

把怎样快速推出补丁,如何应对病毒及恶意软件爆发完整地记录下来。

将 IDS,WAF 和 AV 中的日志转化为度量拦截和终止多少恶意行为的指标。

开设网络安全意识课程并让所有的员工观看视频并回答问题。使用系统提醒他们继续未看完或未完成的课程。在不得已的情况下介入并强制他们完成,因为相比于完成课程,更重要的是让他们知道自己受到了监督。

雇佣一个渗透测试公司寻找你的网络弱点。听从他们的建议进行少量的配置更改,比如删除 Web 服务器上的旧文件与重命名文件。如果报告显示你的网络安全性能高,你应该感到高兴。衡量你的进步并定期地向管理层报告。

第三步:受到严重的攻击

不仅是受到严重的攻击,而且是受到令人难堪的严重攻击。这些攻击把公司的邮件和文件放到 Pastebin 上,把 web 服务器上的数据删掉。他们把钱从工资银行账户转移出来。他们使你工作看上去毫无意义。

你要花时间去回复管理层攻击是怎么发生的。感觉你的胸口闷闷的,十分无助。甚至感觉胃也出了问题。你躲在办公室里强忍着不哭,若是有人问起,你只说自己是灰尘过敏。

一则故事:达到绝对安全的三个最佳措施

你意识到需要采取行动。你生气,抛开一切事情调查攻击是怎么发生的。查看历史事件和日志,直到看得头痛欲裂,双眼干涩。你还得不时停止调查来回答管理层的问题。最后放弃调查。告诉每个向你询问情况的人,你真的不知道攻击是怎么发生的。

管理层问你是否应该联系警方,实际上你也不知道。你联系警察,但他们也不知该做什么。你告诉管理层应该联系可能会受到影响的合作伙伴和客户。告诉他们避开记者。他们问你该说如何回应,你不知道,只告诉每个人应该修改密码。

你重点清理涉嫌的缺口,并扫描其他区域,更改所有的密码,在网上阅读其他人如何谈论这次漏洞。你感到胃不舒服。网上的安全专家说的每个人都会受到攻击,因此找到一点安慰。你回家睡觉但是整晚躺在床上睡不着,担忧到了极点。

因为紧急事件你又早早地来到公司。web 服务器页面被标记,数据库崩溃。但是幸而你已经投资了一个牛逼的备份解决方案。看到最近的可追回数据是一个月前的,你又从未测试过恢复系统,真想踢自己。觉得自己愚蠢,生气,捶打备份系统。打完后感觉更加愚蠢。躲在你办公室里,运行扫描。

躲了足够长的时间出来向管理层报告。在路上避免与他人有目光接触,告诉管理层你还在调查和清理。接受他们提出的更大预算。但不要告诉他们为时已晚,虽然你是这么想的。你常常这样想。

你思考当初要是有更多的钱,会做哪些不同的事情。告诉自己你会买市场上最好的防火墙,想想你会买哪一个。然后告诉自己无所谓,因为每个人最终都会受到攻击。你感到生气,开车回家的时候也很生气,没有理由地从自己的草坪上开过去。看蹩脚的电视节目,直到你昏睡在沙发上。在接下来的一周中,重复这些事情。

口袋里的手机把你吵醒,再次发现 Web 服务器被标记。直接穿着睡觉穿的衣服去上班,发现其他员工在走廊里躲着你。你团队里的同事告诉你,你看起来糟透了。不要哭,做几次深呼吸,然后躲在办公室里解决web页面问题。意识到标签页的最新数据库备份是一周前的。分析日志和等待扫描完成的时候,你趴在办公桌上昏睡了过去。

你醒来后,决心解决这个问题。冲一杯咖啡,避开他人的目光。走到办公室的白板前,思考攻击是从何而来。制作一张简单,有逻辑的网络图。擦掉它们,再画出逻辑图,画出你的安全覆盖区域,用箭头标记图中可能受到攻击的安全系统和软件,以及可以冲破该覆盖区的攻击类型。然而什么也没学到。擦掉逻辑图,画威胁树。什么也没学到。再次擦掉威胁树,再次画出逻辑图,标出每一个可以入侵的地方,标出数据可以从哪里流出。然后你意识到这没有边界,哪里都可以进出。你的胃又感到不舒服了。

你深呼吸,然后重新开始。思考在哪里采取安全措施可以保障一切进出。意识到你只有过滤器,而没有墙。防火墙是你唯一的墙,但它的设置就像一个过滤器。再深吸一口气。告诉自己,你已经开始学到一些东西了,这是好事。

意识到和管理层的会议迟到了,给他们打电话告诉他们你正在忙,要推迟会议。你想到过去是因为喜欢安全,才进入这一领域。你使用 Wireshark 看看有什么东西运行在你的网络上。尝试去明白混乱的原因,然而这本身就是一团乱麻。

让你的团队停止手头上的工作,开始梳理网络流量。你根据已知的情况建立一张图,分段、隔离网络流量。关掉所有的远程管理和远程连接服务。处理来自 IT 人员的抱怨。终于不用凌晨回家,还能踏踏实实地睡上几个小时。

一则故事:达到绝对安全的三个最佳措施

第二天早上审视与团队一起创建的新图,感觉是错的。你应该做些其他事情,像购置双重认证的标记卡或加密所有工作站。但是你又认为应该控制数据包的走向,所以让团队继续分段和隔离。人们开始抱怨,电脑之间不能再共享文档。将这些人加入白名单,使他们可以访问文件服务器。建立更多的文件服务器。人们抱怨他们的系统更新和防毒更新失败。你决定明天再处理这个问题,回家,好好吃一顿,早早上床睡觉。然而你没有睡好,做了关于黑客的噩梦。

每天你都检查网络流量以改变系统和逻辑图设置。你在 DMZ 区内使用 Wireshark 来整理混乱。加密流量太多。你让团队在所有 web 服务器前端建立 SSL 端点,然后设立堡垒主机,将所有远程访问和管理加入白名单,实行分散管理。这项任务花了几周时间才完成,但你注意到 web 服务器已经不再被标记。想管理层报告这件事,你对此也感觉良好。

剩下的一周,一边整理混乱的数据包,一边清理、分离和删除你不需要的东西。向管理层报告首个好转的消息。获得批准投资安装具有 SOC 功能的混合 SIEM 来帮助你分析网络混乱。选择快速、灵活且支持分析交互信任度的 SIEM 版本。在使用它之前,应该意识到自己对公司流程和交互的了解其实很少。

和你的团队一起,与尽可能多的员工交流,了解他们都做什么,在哪里做,以及如何做。了解通过浏览器双向访问系统的外部合作伙伴,以及对电力公司、电话公司和会计师事务等你知之甚少的外部管理访问,了解员工在工作中使用的移动设备。设置更多的分段改变,调整 SIEM,花几个月就做这些。当朋友和同事告诉你其他公司受到了攻击时,你想到每个人都会被攻击,于是只是点点头表示理解。

一天早上你去上班,发现 web 服务器因为新的缓冲区溢出漏洞受到攻击,而这星期早些时候就发现了这个漏洞。用 SOC 检查,确定是你的 WAF 和 IDS 让攻击通过的。向供应商打电话抱怨,被告知是你配置错误。你提醒他们是他们配置的,他们表示否认,你对此感到生气。你去见管理层,表示要与他们终止合作,却从管理层那里发现与供应商的合同还剩下两年多。团队中的某个人告诉你供应商是公司 CEO 的表兄弟。你只能吃块巧克力来泄愤。

用漏洞扫描器扫描 web 服务器,发现他们没有明显的漏洞,你感到泄气。尝试利用漏洞测试服务来测试你的安全控制。你盯着屏幕看它发送过来的攻击通过了你的安全防御系统,到达 DMZ 和内部网络的关键地方。它告诉你45%的攻击被拦截了。你不愿意相信。这消息真是让人泄气。你告诉自己你不在乎。你吃更多的巧克力来安抚自己的情绪。

但你现在终于知道了实际情况。想想当你不知道时有多糟。因为你以前就是不知道。想到大规模的攻击就让你心塞。所以你去找财务总监,后者批准了该漏洞测试服务,因为它满足持续监控的一般目标。你设置它每周测试一次。现在你知道最新的已知攻击如何影响你的网络,你将其视为风险报告的标准。

你想到,如果一个攻击可以通过你的标准防御,那么你需要通过另一种方法来阻止它。所以你订阅漏洞数据库服务以获得针对你的系统的高级、深层次新型攻击的知识,特别是那些在测试服务中显示进入系统的攻击。

你花了几天时间浏览所有可以通过防御的漏洞信息。许多漏洞没有补丁和避免方法,因此你应该直接删除之。你对此感到担心,你知道你没法让整个公司接受删除这些东西的建议。你感到失落,回家然后在电视机前睡着了,一袋薯片还在大腿上。

你醒来以后感觉糟透了。你有的一切关于安全措施的情报告诉你安全防御系统不能起到的作用。你觉得你像拿着学位证和信息安全认证的骗子,不知道如何真正的确保安全。照镜子时,看到你以前的样子,决定做些不同的事情。把衬衫上的碎屑清理掉,把剩下的薯片扔到垃圾桶,洗一个澡然后考虑如何改变。

你上班后开始研究为什么安全措施无法成功。你去咨询安全措施方面的专家,遭到他们的咆哮与怒吼——他们也对此感到厌烦。你找到主流之外有关安全措施的文章,最终发现了OSSTMM

你花了几天阅读它,你把其中有想法的段落复制/粘贴给你的团队。然后向你的团队提出挑战——如何改变网络安全架构来对付每个漏洞与攻击,而不是等待补丁。你看到团队热情高涨地投入挑战中。

在接下来的几周里,你利用这种技术对基础架构实施大的改进,你看到自己避免了各种各样的漏洞。你疑惑为什么在任何最佳措施中都没有提到这种做法。

现在,你觉得网络真的变得安全了。你上床睡觉,醒来后感觉神清气爽。你健健康康地吃饭,不再购买软饮料。你注意到每天上班都目标明确,而不是担心又有什么麻烦。

SIEM 显示 web 应用中有许多奇怪的活动。你与 Web 应用开发人员讨论安全措施,看到他们眼神呆滞。你变换一种方法。你和他们一起设计应用,把它分成不同过程和控制阶段,就像你处理网络流量的过程一样。你向他们展示如何找出受攻击面。

日复一日你解决了新旧应用中的问题。开发者慢慢掌握了安全设计方法,并把它纳入开发流程中。

你看了看正在使用和开发的应用程序的详细目录,发现这些应用没有经过安全测试,你感到恐慌。一个都没有。你看看团队中谁可以胜任这项工作,却意识到你不能这么做,因为这个任务太大以至于无法统一标准进行审核。

你和管理层讨论,让他们为自动化应用安全管理项目投资。得到钱之后,花几个小时与供应商讨论实施基于云的评估程序。花几周时间与开发团队建立应用持续改进进程。将应用程序管理项目的指标与SIEM相结合。在那一刻,一切似乎都走到了一起。你感觉终于防患于未然了。一整个周末,你都不用考虑工作上的问题。

周一上午,你让团队回到员工中去。让员工向你展示他们如何使用电脑,了解他们电脑遇到的问题或奇怪的事情。不要拷问他们是如何发生的,只是鼓励他们,当有奇怪或异常的事情发生时,毫无保留地说出来。

做大量的笔记。对桌面环境做大量的改动。减少互动服务、分离特权,落实安全措施。

向员工介绍这些改变。强迫他们在不同的环境中使用不同的浏览器。帮助他们找到他们需要的替代工具,尽管你觉得没必要安装这些应用。向他们解释可能发生的攻击后果以及它们如何发生。你注意到一小群员工在倾听。向他们解释网络钓鱼和人们是如何以及为什么会掉进骗局里。你看到有东西在他们的眼睛里闪烁。你意识到这是一直该做的事情。这是人们学习的过程。取消机械的安全意识培训视频,以突击测验替代之。

花更多的时间与员工单独或分组讨论。你发现自己在倾听他们的担忧,在思考如何安全地实现他们想做的事。尽管政策上你不用这么做,你开始帮助他们了解自己的工具,解释为什么他们的邮件或工作文档不应该出现在别处(出于责任的原因)。不要与那些不理解的人争论。相反,试着从他们的角度思考他们想这么做的原因。让他们妥协和接受在他们的设备进行的安全措施更改,使他们以更安全的方式完成工作。

一天早上,你在吃早餐的时候想起,那次大规模黑客攻击已经过去一年了。现在想起来虽然仍觉得有些刺痛,但已经跟之前不同了。现在的刺痛是感到背叛,而不再觉得无助。

来到公司,注意到在黑板上没有意外事件。仔细检查档案,看到几周以来,帮助台上都没有标记任何需要处理的紧急事件。

慢慢地,你注意到办公室似乎运行得越发顺畅,你和管理层的会议也越来越快,你不再觉得必须要围着指标团团转。相反,你已经不再报告给机器打补丁有多快,AV 拦截了多少病毒,扫描器发现了多少漏洞,IDS阻挡了多少攻击。而且,你发现管理层也没有想念这些报告。

回办公室的路上,有人在走廊叫住你,告诉你你看起来很不错。你报以微笑,感谢他们。你确实感觉很好。

你的安全团队提醒道,你没有解决几个月前对网络进行分段改动时桌面修补和杀毒软件更新产生的问题。尽管如此,并没有什么问题。你不再和不法分子在补丁上较量,而将打补丁的这项工作交给IT团队,让他们做变更控制,让他们决定他们想要的更新。你甚至考虑废除杀毒软件以减少你的受攻击面,但你不能,处于合规性考虑。

一天天的几乎没有压力。你留意你的网络流量。无论何时,当员工认为他们的计算机或者设备出现问题时,你都会从团队中派人去查看。每天,你都在做一些小的安全改进。

随着紧急状况逐渐消失,你不再需要火急火燎的解决问题,你发现自己不断地将新的IT技术安全地引入办公室。你未雨绸缪,为 beta 测试创建网段。你尝试运用新的安全工具和系统。你的团队也似乎更加享受这些工具。即使是喜怒无常的 Linux 管理员,这些天也心情很好。主要地,你意识到自己真正喜欢安全工作。

有一天,你正在阅读新闻,因为现在你有时间阅读新闻了,然后你读到一篇关于如何用三个简单步骤完美地保护数据的文章。文章写到设置防火墙,在所有机器上安装杀毒软件,并使用24/7自动更新和补丁系统。你放声大笑,连鼻涕都出来了。

原文地址:https://www.veracode.com/blog/2015/10/3-easy-steps-making-perfect-security-possible

如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneASP 自适应安全平台集成了预测、预防、检测和响应的能力,为您提供精准、持续、可视化的安全防护。想阅读更多技术文章,请访问 OneAPM 官方技术博客

本文转自 OneAPM 官方博客

posted @ 2015-12-30 10:59  OneAPM官方技术博客  阅读(278)  评论(0编辑  收藏  举报
OneAPM - 端到端的应用性能管理云解决方案! | OneAPM博客