安全建设者应该关注的三个问题
目录 |
- 资产 - 入侵者评估 - 安全基线 - 合规要求 - 风险 - 脆弱性 - 恶意代码 - 社会工程 - 内部威胁 - 身份 - 身份管理 - 特权 - 机机账号/密钥 - 审计 - 意识提升指引 - 最后
|
作为一个信息安全行业从业者,在面对不断增加的安全威胁、层出不穷的安全解决方案、数十个不同的供应商时,我认识到:想要摸清楚这个复杂的世界,以我这点水平是完全不可能的。退而求其次,尽管环境不停的变化,但宏观上有一些法则依旧适用。我们可以通过三个问题来协助我们更好地思考如何管理风险:
1、我的网络安全状况如何?
2、如何让组织成员明白他们应该做什么?
3、如何向外部团体或组织证明我们安全合规?
1、我的网络安全状况如何?
在回答这个问题之前,或许应该先回答一个前置问题:我应该从哪些方面来评估我当前的网络安全状态,以及我们正在使用的网络安全方案?
如果对目前市场上安全方案进行分类,那么大部分的解决方案都能归类到下面三个大领域中。
- 资产:所有资产都受到了适当的保护
- 风险:有足够的手段发现层出不穷的风险
- 身份:所有人或机器使用真实身份受控访问
通过分析我们在这三大领域可能遇到的风险,以及我们已部署的应对措施,即可评估出当前的网络安全状况。注意,这三大领域不是相互孤立的,发现资产、梳理访问关系、检测访问中的安全风险,相互结合,相互集成,共享信息。
基于这一认知,我们就可以正式开始评估当前网络安全状态了。这并不难,在最简单的情况下,用一张表格就可以开始。针对一个特定的资产,明确它的使用场景,填入可能的风险,和已有的应对措施,最后根据完善程度进行打分。
当然,如果你建有完善的资产和安全管理系统那做起来会更简单。亦或具备一个能够聚合全局资产数据、跟踪基线变化、生成安全评分的安全管理系统,则能给你加分不少。
资产
资产永远是首位。随着云技术在企业内部的大规模应用,系统和应用程序都在不断的变化。要全面评估网络安全性,确保所有的资产都受到保护,则需要从攻击者的视角,将所有可能被的资产都需要记录下来。包括:
用户和设备信息:IP、端口、服务、操作系统、应用软件、进程等。
资产分组和关系:资产的业务分组、资产之间的访问关系、资产的通信矩阵
资产价值的评估:资产的价值、可用性、完整性、保密性需求
可以结合网络扫描和代理扫描、人工的方式补足所有需要的信息。
入侵者评估
对于可能的入侵者的来源和入侵手段的评估,能够更好地协助我们寻找与之对抗的方法。评估入侵者可能的身份,入侵者的目标,入侵者会使用的手段。常见的对象包括:商业竞争对手、心怀不满的员工、政治对手、投机者(挖矿、勒索)。有经验的团队或许能大致评估出这些角色的技能水平、入侵目标、入侵手段。根据威胁程度确定风险的优先级,并制定下一步的行动。如果实在难以评估或自认为已经考虑得周全了,可以组织一场攻防演练,最后总是能收到“惊喜”。
安全基线
梳理出资产的属性,业务需求、可能的攻击者。才能正确评估资产应该采用哪些风险检测手段和访问者的最小权限。安全基线的建立能够大大提升检测的范围,时刻监控异常的行为。详细的内容可以在之前的文章中。https://www.cnblogs.com/pmyewei/p/12289667.html
合规要求
合规是安全的底线,等保、网络安全法、GDPR、PCI-DSS、ISO、CIS、NIST,各种法规、框架、基准。
根据资产的领域和业务属性,确定每个资产需要遵守的法律范围、找出其中重叠的部分,按照最严格的要求去执行,以保证满足所有法律的要求。合规是强制性的,必须要满足,但合规只划定了安全的底线,不能作为建设的终极目标。
风险
脆弱性
脆弱性就包括了漏洞、配置缺陷、弱口令等。脆弱性本身不会招致攻击,但是会让入侵变得简单。几乎99%的入侵都是由于利用已知的漏洞或配置错误造成的。我们也有大量的工具可以用来评估系统的脆弱性,脆弱性的评估特别要关注企业内部的各种定制化系统或历史遗留系统、这些系统如果没有遵守良好的开发规范,那么在编码阶段就会引入大量的漏洞,且因为是定制类的系统通常缺少必须的安全维护,包含大量“历史遗留问题”。
资产一直在变化、资产上的配置也一直在变化,总有新的漏洞被不断发现。脆弱性管理是一个持续的过程,完整的脆弱性管理计划包含计划设计、部署、评估、测量、补救、直到最后终结。
恶意代码
恶意代码包含了病毒、木马、勒索等造成破坏的软件,还包含了入侵者为了实现远程控制目的而安装的带签名的合法软件。最终都是在资源上运行未经授权的代码,损害组织利益。恶意代码只是入侵者的工具,当IT环境中出现恶意代码时,代表着环境中大概率存在可被利用的漏洞、弱口令、被冒用的身份凭证或安全意识不足的用户。
可见单纯的依靠防病毒软件有些不足。不仅要使用最新的防病毒软件,还要及时修复对应的漏洞、增加对主机上未知软件和进程的监控管理、以及员工安全意识的提升。
社会工程
社会工程学难以通过技术手段进行防护,一般人在面对精心设计的陷阱时,很容易被利用。无法让人对每一个电话、每一封邮件、每一个网站都时刻保持警惕。入侵者充分利用了人们的好奇心与信任,其防护方式还是在于安全意识的提升,在遇到未知来源的信息时谨慎点击、涉及到敏感数据的请求一定要二次确认,让组织内部成员学会分辨出虚假的信息,这也是安全建设者需要关注的第二个核心问题。
内部威胁
此处说的内部威胁不是指攻击者使用内部设备作为跳板发动的攻击行为,而是企业内部人员的主观故意的恶意行为。最广为人知的即是“删库跑路”,一个离职的销售可能会带走公司的客户信息。某些特殊职位上的员工可能为了个人利益而违法。内部威胁使用的技术手段都不高深,难的在于管理。
对于内部威胁最重要的就是检测手段和身份管理的结合,确保各类敏感资产没有可利用的漏洞、部署基于角色的访问控制并加入网段和时间的限制、核心资产特权账号单独管理、仅给人员分配最小权限、关键系统还要分权,做好运维操作和完整性审计。
身份
身份包括身份管理、特权、口令(密码)、SSH密钥、机机账号/密钥、合作伙伴账号/身份访问权限。
身份管理
让正确的人在正确时间访问正确的内容,是身份管理需要关注的内容,实际环境中,内部有大量被遗忘、过期、权力过大、共享的账号存在。这些账号随时会成为钓鱼、社会工程学的目标。相比直接攻击一个加固过的系统而言,钓鱼获取管理员的账号会更简单。
- 应对措施
可见性:与资产一样,身份的管理首先要解决也是可见性的问题.收拢资产所有特权账号,包括管理员凭据、默认账户、SSH密钥、机机账号、合作伙伴访问权限/ACL、代理服务器访问权限等。这对于大部分安全建设者来说都是一个巨大的挑战,难以实行。可以确定风险优先级,从关键业务开始。
身份管理:AD或者LDAP,以及各种商用的身份管理系统都能很好地对接入的用户进行验证,并且大部分的解决方案中都支持对用户的多因素认证。身份管理的难题或许已经成了:如何提供跨平台账号一致性,无论用户登陆操作系统、应用、数据库、云资源都能保证权限的一致性。这样无需在不同的系统中建立不同的身份,并能对用户的访问权限和目标系统中的特权进行统一的管理。
对于身份的管理需要结合员工安全意识的建设,定期修改密码、不同共享账号、不要在不安全的环境中登陆业务等,防止来自社会工程学的攻击同等重要。
特权
特权是高于一般使用者的访问权限,一般业务的会区分访问者、内部用户、管理员。也正式因为特权账号的高权限,使其很容易成为黑客攻击的目标。然而各种特权账号记在员工的大脑中、或者本地某一个文件的下。随着时间的推移,你永远也不知道有多少人掌握着你的服务器SSH密钥,某一个管理员账号是出于什么目的创建的。定期清理是一个好办法,但不是每个业务的负责人都能做到。
- 应对
特权:理想中的特权管理应该按照工单的方式,仅当用户需要执行特定的任务时,才将对应的权限临时授予给他,任务执行完成后收回权限,但这样会带来巨大的管理成本。至少应该做到的是尽量细分权限,分配满足用户工作需求的最小权限。
凭据:所有特权账号和口令不要直接授予给个人,而是通过堡垒机将账号使用权间接授予给运维人员。定期对密码进行变更。并使用堡垒机对所有访问行为进行会话录制。
SSH密钥:与口令一样SSH密钥,同样应该避免直接将SSH密钥授予个人,仅授予密钥的使用权限。并对密钥的注册、分配、使用、销毁进行全过程的管理。
机机账号/密钥
为了实现数据的互换,不同业务之间交互使用的机器-机器账号或系统密钥在企业中广泛存在,而各种边缘业务系统或合作伙伴能够从企业内部读取到大量的数据,当核心系统无法被攻陷时,黑客或许会考虑通过黑入外围系统来获取想要的信息。而这些外围业务的访问密钥可能以明文的方式存储在代码或脚本中。
同理,在新冠疫情下,远程访问包含着同样的问题。
- 应对措施
机机账号:程序账号\密钥\证书能够绕开用户直接访问数据库,同样必须对这类访问进行管理。包括部署KMS、设置软件开发和系统接入规范,禁止使用静态密钥、防止重放攻击、限定访问源、限定可访问的数据集、敏感数据脱敏后再接入等。如果能够通过零信任之类的方案直接对会话进行控制则更安全。
审计
对于身份的审计不能仅依赖操作系统和应用程序的日志,而是要结合第三方的产品对特权账号行为、会话、运行程序等行为进行记录,并且能够最终审计到个人。
2、如何让组织成员明白他们应该做什么?
人是安全的尺度,企业建设的一套高级防护体系可能被企业高管“丢失”的电脑全部绕过。员工遇到真假难辨的钓鱼网站时,可能会上传一整份员工通讯录。求职邮件的附件中,可能隐藏着恶意代码。组织成员的安全意识也能成为整个安全建设的最短板。
在风险领域和身份领域,都曾提到安全意识建设的重要性。当我们讨论内部安全意识建设时,我们是希望组织的成员不仅能够遵守各类内部安全规章制度,还具备恶意信息的判断能力,并从情感上认可安全工作的价值,发展出良好的安全意识。而不是单纯感觉被迫遵守安全规则。
提升安全意识四阶段模型
让内部员工明白组织的安全目标,并主动参与到安全建设中来,是提升内部安全性最重要的途径。CEB组织(IT咨询公司,17年被gartner收购)根据调查的数据,开发了一种模型用来帮忙计划和评估当前组织成员的安全意识阶段。
《提升安全意识和行为的四阶段模型》
第一级、遵守要求。 此阶段是安全团队根据企业自身情况建立安全基线、梳理可能的攻击者和攻击方式、引入安全法、等保等外部的要求。这部分更详细的要求可以参考之前的文章。通过安全基线,建立自己的安全制度并纳入到企业文化中。配套专业安全人员的宣讲、安全事件的分享、模拟演练、特定角色或敏感人员的针对性培训等,形式不一而足。目的是让内部意识到安全建设的重要性。此阶段员工还没能意识到自身行为对于企业信息系统的影响,只是机械地响应着合规要求。
第二级、改变习惯。企业或组织在此阶段应该给出明确的、可执行的检查项,让人员遵守。例如工作账号不要复用私人账号的密码、不向他人共享账号、检查浏览器证书、不下载不明来源的文件等。对于研发人员遵守一定的编码规范、不将代码上传到公司以外的源。通过各种可执行、可落地的要求逐步的提升组员安全意识,养成良好的安全习惯。这将显著降低企业信息系统的会面临的风险。
第三级,分辨是非。此阶段员工已经积累足够的知识和经验,在面对各种混淆、模拟两可的信息时,能够依靠自身知识和经验判断出哪些是可信的、哪些是恶意的。例如,点击邮件附件或网页上的链接时,能够检查附件或链接是否来自可信的源。输入各种个人信息前能判断对方是否有权获取这些信息。
第四级,成为“特工”。最后员工成为信息安全组织的延伸,他们不仅在生活和工作中规避安全风险,而且在发现可疑情况时会主动通知信息安全部门。来自一线人员上报的信息能够极大地提升安全部门应对威胁时的响应和调查能力。
意识提升指引
可惜的是这个模型只能用于评估人员安全意识的状态,关于如何提升和建设并没有给出明确的建议。
但是CEB的研究报告同样也指出,普通员工在增强安全意识的过程最大的障碍还是心理因素,包括:缺乏安全策略知识,对安全缺乏内在兴趣,对组织风险的认识不足,缺少主观能动性,以及认为安全策略会增加他们的负担。最后是对信息的判断能力。
或许安全专家们在进行安全风险意识培训时,可以强调良好的安全意识对于其生活中保护个人财产和隐私也同样有效。并尽量让员工克服心理障碍,实现安全并不困难,养成一些小的习惯即可获得不错的效果。
3、如何向外部团体或组织证明合规?
所有法规都只是资产防护的最底线要求,且大部分合规要求自提出后就已经开始落后于时代的发展,不能将合规作为安全建设的最终目标。
但是合规又如此重要,甚至成为安全建设者的考核指标,以致于无法忽视。安全合规建设需要将重心放在合规性的持续监控上,而不是将合规当作阶段性的任务。通过安全将安全基线与持续的合规性评估相结合,将等保、法规中的各种安全控制点进行数字化。使用自动化的手段对资产数据、安全设备、安全策略、日志等进行持续的监控,并生成合规性报告,以提供给外部的测评师/审计师。这样合规性的证明将是一件很轻松的事情。
最后需要强调的是,合规≠安全,合规仅仅只是安全的底线,如果以合规作为安全建设的最终目标,以做作业的方式执行合规要求,认证通过后不闻不问,那可能正中入侵者的下怀。
一百年前,“永不沉没”的泰坦尼克号撞上冰山后沉没。1500多人丧生。造成这一大规模死亡人数的原因有好几个,但最关键的可能是根本没有足够的救生艇。这艘船上有2224人,但只有不到一半的人能挤进船里。
然而不太为人所知的是,泰坦尼克号提供的救生艇完全符合当时生效的英国海事法规。法律规定这艘船必须携带16艘救生艇;泰坦尼克号实际上有20艘救生艇。
仅实现合规并不能让安全建设者免除风险和责任。在企业风险和安全领域,网络安全和隐私问题已经关系到企业的信誉与消费者的安全,每个组织都有比仅仅遵守规章制度更大的责任。
最后
个人水平有限,写这些只是希望能多提供一些看待问题的角度。安全建设从来没有灵丹妙药,也不会有一个一劳永逸的方案消灭所有问题,只能依靠安全建设者们在威胁形势不断演变的情况下不断求索。
当新的技术和新的威胁出现,我们试图理解层出不穷的安全事件时,需要谨记:大多数威胁都不是使用了闻所未闻的顶尖技术。相反,他们采取的是最容易的方式,利用众所周知的漏洞。因此,通过实施基本的安全措施可以缓解其中许多威胁。
社会工程会永远流行,因为它利用了人性,很难通过技术手段阻挡。因此持续教育组织人员,提高安全意识,这样可以降低组织的风险,在保护资产安全和提升效率之间取得平衡。
参考:
资产攻击向量
特权攻击向量
Proactive, Actionable Risk Management with the Fortinet Security Rating Service