移动安全安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 安全管理 >

尽早防备:成立缝隙治理过程

时间:2013-09-05 14:56来源:TuZhiJiaMi企业信息安全专家 点击:
在安然标题问题上,尽不存在任何完美的收集和利用。检测收集防御中的首要缝隙未必是一个昂贵复杂的任务。假定企业愿意,当然可以花大年夜把的钱往构建一个健旺的、及时的收集缝隙治
Tags谷歌(156)安全管理(325)漏洞扫描(32)  

  在安然标题问题上,尽不存在任何完美的收集和利用。检测收集防御中的首要缝隙未必是一个昂贵复杂的任务。假定企业愿意,当然可以花大年夜把的钱往构建一个健旺的、及时的收集缝隙治理机制,但这并不是上策。按照公司需要呵护的资产类型及资产的地点位置,甲公司的收集缝隙治理可能与乙公司的收集缝隙治理看似迥然不合。任甚么时辰候都不存在甚么模板或最好编制可以呵护公司免受每种缝隙的威胁。但只要企业当真打算,就完全可以将缝隙治理改变成一个有益于确认并解决暗藏安然缝隙的过程。本文将切磋若何构建有效的收集缝隙评估和缝隙治理的东西和最好编制。

  无疑,不管是利用软件仍是把持系统都存在缺点,换言之,没有哪个利用法度或把持系统不存在任何缝隙或不会蒙受报复打击。只要有足够的耐烦、手艺及专业手艺,每种软件都可被操纵缝隙、被粉碎、被禁用或被用于歹意目标。要闪开辟者猜想黑客报复打击利用法度的每种编制是不成能的,所以收集团队需要对针对关头利用的各类不成预感的报复打击。

  针对关头利用或其地点办事器的大年夜大都报复打击,其渠道根基上都来自IP收集。所以,摆设一个健旺的缝隙评估和治理方案有助于削减利用法度中的缝隙。当然,这并不是易事。良多企业的IT开辟者和安然专家常常没有紧密密切协作,所以没法解决利用法度和收集的缝隙标题问题。在利用法度和安然团队之间成立紧密密切联系相当首要,这是因为对利用法度的变动可能会带来安然专家该当体味的新缝隙,而对收集的变动也有可能招致针对利用法度的新报复打击手段。总之,尽不该当把收集缝隙治该当作是一次性的或按期的体检,而该当把它作为一个延续的尺度IT过程。

  削减关头利用蒙受报复打击的最好编制,或削减被报复打击者用没法猜想的编制操纵缝隙的最好编制是,常常查抄黑客用来报复打击关头系统的各类收集缝隙。

  假定你正预备从头开端构建一种缝隙治理编制,最好的解缆点是履行发现和审计。假定你不体味企业在哪里会产生信息泄漏和产生信息泄漏的启事,就没法真正计齐截套延续的收集缝隙扫描的持久策略和过程。缝隙治理其实不但仅是摆设微软肯定的严重等第的Windows补丁。收集缝隙治理的真正含义是,发现每台主机有可能蒙受的报复打击手段,并用一种使报复打击者更坚苦的编制来应对报复打击。

  例如,假定企业的环境首要运行Windows,无妨登录到肆意一台Web办事器或利用办事器,并在号令提示符下运行“netstat -a”来查看办事器正在监听的所有TCP/UDP端口。在收集环境中,在对一台随机选择的办事器的测试过程中,假定发实际验的成果中存在红色标识表记标帜,则表白在将办事器投进到出产环境之前需要解决这些标题问题。

  当然,在一个大年夜型的环境中,先登录到每台办事器,然后再利用netstat号令决定特定主机的透露端口和办事,这是不实际的。审计者及报复打击者更愿意操纵缝隙扫描器或Nmap之类的东西来快速扫描全部子网的端口,查找透露了首要端口的主机。例如,在收集扫描中,RDP成为一种首要的红色标识表记标帜,因为假定报复打击者发现了一套可用的登录凭证,就很等闲打算出收集的残剩部门,并留下后门,为今后的大年夜型报复打击做好预备。

  在作者的实验过程中,发现有几台新设备都启用了默许的只读字串。在查抄几台新路由器的SNMP时,可以等闲地发现正在运行的路由器类型,和正在运行的代码版本。报复打击者只要有了这些信息,花点时候就足以拟定出报复打击进进路由器或互换根本架构的策略。在扫描子网中的其它主机时,作者还发现一台在80号端口监听的APC的UPS(不间断电源)。经由过程谷歌搜刮得知,这类UPS的默许用户名和口令都是“APC”。因此,笔者就可以够轻松地拜候UPS并且可以经由过程收集封锁它。有些治理员可能觉得以默许用户名和口令运行的UPS不是缝隙,其实不然。

  不管企业范围若何,加快缝隙发现过程的最好编制是礼聘外部的审计人员。在发现缝隙的过程中不该当求全谴责谁,更不该该把此刻的治理团队说得一无可取。事实,每个治理员城市犯弊端,并且在某种程度上每个环境都有可能蒙受报复打击。良多企业***仓猝地摆设了某种办事,成果使安然成了次要标题问题。在企业迫于无奈而摆设办事时,IT常常会为没有益用最好编制而惭愧。可是,在转向了下一个任务或项目后,你遗留的缝隙便有可能持久存在。为了削减缝隙,系统治理员该当有条不紊地摆设新办事。

  为了安然地摆设办事,安然团队在发现和审计过程(包含渗入测试在内)中有可能要求治理人员赐与更多资本。对系统治理员来讲,这个过程可以作为教育IT人员封锁各类报复打击媒介和手段的编制,或是可以摆设新办事以便于使安然缝隙起码化的一种路子。

  企业现有的发现缝隙的尽力必然会揭露一些缝隙,并可能发当今朝的策略造成安然缝隙的路子和编制。这当然是功德,因为成立一套悠长高效的缝隙治理过程的最好编制之一就是,评估现有的IT过程若何造成差能人意的缝隙治理状况。

  下面列示的是一些用于成立健旺的安然过程的最好编制。

  1、对新办事器和桌面的摆设,强化一个以安然为中间的过程

  企业的主机在IP收集大将会蒙受报复打击,所以该当确保所有的办事器(新的和已有的)都利用一套尺度安然模板(可以或许解除不需要的办事和端口,不然这些端口和办事有可能被用作报复打击通道)。这该当作为一个缝隙治理项目标核心IT过程。

  摆设一台新办事器或桌面PC或许很简单,但保障新桌面和办事器的安然确保缝隙数量最小化就不那么简单了。采取一种面向过程的编制来摆设新系统相当首要,因为最终你的主机将成为蒙受报复打击的靶子,而这类报复打击是经由过程收集产生的。

  以安然为中间的过程要求企业花时候确认用来强化把持系统(Web、利用法度、数据库等的运行与其紧密密切相干)的编制。这包含断根所有供给商所供给的软件后门、不首要的和不需要的办事,并封锁任何可乃至使办事器打开一个UDP/TCP端口的不需要的利用,还要求你摆设恰当的端点呵护,用来跟踪建设上产生的改变,并禁止绕过外围防御的报复打击。

  假定你已从安然的角度确认了尺度桌面和办事器该当具有的特点,下一个首要标题问题是验证参数,并在一个模板中捕获这些参数以有益于将来的摆设。企业还要有一个过程,确保在将一台办事器投进到出产环境之前,就利用尺度的安然模板。作为一个尺度的软件开产生命周期的一部门,新代码要颠末一个质量包管过程。一样,所有新摆设的办事器都该当在投进到出产环境之前,由其它的监督机制来包管其质量。经由过程强化关头利用软件赖以运行的桌面和办事器,安然团队不需编写一行代码便可以改良利用法度的安然性。

  2、每天监督与日记和事务相干的数据

  大年夜型企业花良多钱用于日记治理、安然信息和事务的治理,但常常贫乏一个强有力的过程,没法将这些信息用作缝隙治理项目标一部门。在报复打击者开端操纵一个已知或未知的缝隙时,总会留下线索,但假定你不查找就永久看不到这些线索,并且也没法依托主动化和警告法则往通知需要响应的每个安然事务。

  企业该当集中治理安然日记,并且该当有人(抱负环境下应超越一人)往查抄这些日记,以此作为平常过程的一部门。

  一个健旺的日记治理或SIEM系统将成为缝隙治理项目标一个关头要素。缝隙扫描器可以帮忙你揭露已知的威胁和暗藏的报复打击手段,可是日记可帮忙你发现黑客是不是拜候过一个互换机或路由器。你还该当利用可以帮忙你查找关头系统上产生改变的建设治理东西,要知道这类改变可能带来新缝隙,或表白某种报复打击正在产生。

  对预算严重的中小型企业来讲,开源或轻量级的系统日记办事器起码可帮忙企业构建一个安然和事务相干数据的集中化揭示。中小型企业还可以经由过程利用Windows中的相干安然和策略功能来解决建设治理标题问题。你或许达不到专有产品的节制和陈述程度,但起码不破钞甚么代价便可以避免打开新缝隙和安装歹意软件。

  3、让每天搜刮新缝隙成为一个相当首要的IT过程

  用户和系统治理员迟早会对桌面和办事器做出变动,这会带来新缝隙。大都系统变动是善意的,但常常会产生负面的安然影响。例如,治理员启用一台关头办事器的长途桌面,就会背反安然策略;用户为完成某些工作,在家里安装了长途拜候客户端软件来拜候公司的利用;用户或利用法度有时会禁用Windows的更新办事或反病毒扫描器在主机上运行;治理员无意地摆设了一台路由器,却没有更改默许的用户名和口令,等等。

  在系统变动或新的摆设带来新缝隙时,企业需要检测这个缝隙,并快速地用一种面向过程的编制来解决缝隙。

  当令地搜刮和禁止收集缝隙要求企业有完美的东西。最初的投资该当是一个缝隙扫描器。而云供给商也能够扫描企业的IP地址块,这对中小型企业发现防御缝隙是一种好编制。别的,Nmap也可用于发现多台主机的开放端口。

  你还需要利用智能的网关防御,用来限制可能带来安然标题问题标各类利用法度。用户安装的把系统透露在互联网上的不法软件,本身就是一个需要解决的缝隙。假定企业的端点防御或安然策略没有禁止用户安装未经许可的软件,安然团队就该当确保防火墙可以或许在外围过滤利用法度。企业需要向外围增加一些呵护和检测功能,该当在外围过滤已知的歹意软件和缝隙。希看依托端点防御来避免缝隙是不成靠的,因为端点的呵护常常其实不完全。

  4、交换和通知新发现的缝隙

  几近任何企业的缝隙扫描器都能检测和确认严重的新缝隙,标题问题在于:你若何对待这些信息。安然团队该当将新发现的缝隙传达给利用法度的开辟团队,并附上具体的解救打算,这该当作为甲等大年夜事。企业还要以一种面向过程的编制来监督缝隙信息的传达和交换,将其作为企业收集缝隙治理项目标一部门。企业该当为把新风险传达给公司利用开辟团队而构建一个调和杰出的过程,这该当作为利用团队和收集团队常常交换的首要内容。

  5、严格限制对关头系统的拜候

  无疑,可以长途拜候的任何办事器都易蒙受报复打击,但在今天,关于办事器治理的事实是,IT不克不及简单地禁用长途拜候。IT仍可利用户更安然地连接到办事器,并且可使黑客在利用这类报复打击手段时更坚苦。

  解决此标题问题标一种编制是,禁用长途桌面并依托IP KVM和带外治理。安然人员还可以仅承诺从可托的安然VLAN长途拜候办事器。对安然VLAN的长途拜候该当要求双身分呵护,并且不该当承诺利用一般账户(包含“administrator”账户)的身份验证。别的,还该当记实所有的长途连接。

  此刻,良多与安然相干的最好实践可呵护企业免受缝隙的威胁。但对企业来讲,更大年夜的坚苦在于将这些最好实践和东西改变成一套可行法则。在摆设新系统或利用时,企业必需视缝隙标题问题。企业需要当真对待若何环绕最好实践慢慢地构建一个可实施的IT过程,不然必将遭受惨败。

------分隔线----------------------------

推荐内容