安全自動化應(yīng)超越病毒保護和補丁管理

申請免費試用、咨詢電話：400-8352-114

    當然，也許這種集中管理站并不能算是集成式的監(jiān)控站，而更像是安全管理員將各個監(jiān)控站集中到一個控制臺中。這也可以算是安全技術(shù)的基本特征之一。不同的安全產(chǎn)品無法共享網(wǎng)絡(luò)和安全信息，這一問題對安全自動化造成了很大的限制，在其他的地方也有一些限制，例如，入侵防護系統(tǒng)（IPS）自己不能分辨圣誕節(jié)流量暴增和拒絕服務(wù)式攻擊之間的區(qū)別，這也就是為什么很多企業(yè)都在以很有節(jié)制的方式使用入侵防護系統(tǒng)，有些則根本不用。當然，安全工具也不可能根據(jù)您的業(yè)務(wù)獨有特質(zhì)來制訂與之相適應(yīng)的安全策略。

    我們完全有理由相信，安全技術(shù)終將實現(xiàn)自動化，但永遠不可能代替人類的感知能力、直覺和介入。Unisys公司企業(yè)設(shè)計師兼安全顧問John Pironti總結(jié)道：“您可以搭建自動化的安全模型并使其能夠探察問題、建立對抗措施和向人類報警，而人類負責過濾和制約這些自動化技術(shù)。通過這種方式，人類與計算機之間就能夠形成一種融洽的共生關(guān)系?！?

    了解您的業(yè)務(wù)

    目前，入侵檢測、防病毒、防火墻和反垃圾郵件的技術(shù)都已經(jīng)相當成熟，基本上可以實現(xiàn)自動化，也就是說，人類對此類功能的介入可以降至最低程度。一些分析專家指出，安全信息集成和身份管理這兩項技術(shù)卻處于另外一個極端，遠遠沒有達到成熟的地步。也就是說，這兩種技術(shù)到2010年前后才能有成熟的自動化。

    蒙特利爾銀行金融集團副總裁兼首席信息安全官Robert Garigue指出，不要僅僅用產(chǎn)品趨勢來判斷自動化水平。相反，企業(yè)應(yīng)當將注意力放在如何使安全特性與企業(yè)的最佳實踐相匹配，以及如何使自動化從單純的安全性提升到企業(yè)一般業(yè)務(wù)運營的層次上。

    Garigue說：“如果我們從產(chǎn)品、從架構(gòu)的角度來看，自動化的發(fā)展都是非常廣泛的。例如，防火墻已經(jīng)成為日常必不可少的產(chǎn)品，因此被嵌入到我們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之中。補丁更新和數(shù)據(jù)質(zhì)量也已經(jīng)不再是特例管理的內(nèi)容，而是正常的操作。”

    當自動安全成為日常工作的一部分，安全小組就獲得了更大的自由，能夠?qū)⒏嗑τ脕韺Ω缎碌娘L險和緊急策略問題。他說：“目前，我們已經(jīng)能夠?qū)⒆⒁饬Ψ旁诜?wù)導(dǎo)向型架構(gòu)、數(shù)字權(quán)限管理、身份管理和其他新出現(xiàn)的安全問題上，而只有建立了完善的最佳實踐，才能實現(xiàn)這些功能的自動化?！?

    在規(guī)范較為嚴格的行業(yè)中，最佳實踐和安全自動化總是形影相隨的。費城證券交易所負責質(zhì)量保證的副總裁Bernie Donnelly認為，這一點非常重要，尤其是當我們需要證明誰訪問了敏感數(shù)據(jù)以及包含敏感數(shù)據(jù)的網(wǎng)絡(luò)中發(fā)生過什么情況時，就顯得更加突出。

    他說：“在以前的安全自動化工作中，我必須向內(nèi)部審查小組、外部審查小組和證券交易委員會證明這些問題?！?

    Donnelly說，近年來，這家交易所已經(jīng)建立起了多元化的貿(mào)易系統(tǒng)平臺，而當前那些調(diào)節(jié)機構(gòu)要求的審查蹤跡也不再由大型機訪問控制來提供。新的系統(tǒng)可以提供大量的報告數(shù)據(jù)，交易所的人員再從這些數(shù)據(jù)中篩選出調(diào)節(jié)機構(gòu)感興趣的信息。

    Donnelly說：“我們希望利用一套系統(tǒng)來整合這些信息。因此我們與Consul進行了合作，它是IBM負責遠程訪問控制設(shè)施的分支企業(yè)。目前我們在自己的環(huán)境中仍然在使用其產(chǎn)品。Consul可以從所有三個平臺中收集數(shù)據(jù)并將其匯總到一臺中心服務(wù)器中。在中心服務(wù)器上，我們利用單一的語言就能對所有數(shù)據(jù)進行檢索。

    該交易所與其他組織很相似，都需要通過人工建立過濾器的方法來縮減數(shù)據(jù)，從而使數(shù)據(jù)達到可管理的水平。另外，要想從數(shù)據(jù)中檢索出重要的信息，仍然需要進行大量的手工操作。

    Meta公司負責安全管理的副總裁Chris Byrnes說：“安全信息包含在數(shù)百個潛在的信息源中，因此，其中的關(guān)鍵就是去除那99%您不關(guān)心的數(shù)據(jù)，而留下1%真正有用的內(nèi)容。”

    他認為，實現(xiàn)安全事件管理自動化的關(guān)鍵是找出數(shù)據(jù)來源并且分離出其中有用的信息，然后對這些信息實施自動化的關(guān)聯(lián)和分析功能。不過，如果企業(yè)的擁有者不知道應(yīng)該向分析引擎提出什么樣的問題，那么即使實現(xiàn)了關(guān)聯(lián)和分析功能的自動化也沒有太大的意義。

    Byrnes指出：“如果知道應(yīng)該向這些工具提出什么樣的問題，那么它們就可以向您提供答案。但用戶必須知道自己要找的是什么，并且要給出具體的關(guān)聯(lián)規(guī)則。目前，廠商提供的產(chǎn)品仍然需要定制，還沒有具備普遍適用的能力。”

    此外，安全信息管理（SIM）工具也不能充分利用已經(jīng)存在于網(wǎng)絡(luò)中的信息，除非這些信息來自SIM廠商開發(fā)和支持的產(chǎn)品或系統(tǒng)。因此，要想從更深層次的關(guān)聯(lián)和分析中收集信息，就必須在整個網(wǎng)絡(luò)中添加一些節(jié)點和內(nèi)嵌式的設(shè)備。

    Computer Associates公司執(zhí)行安全顧問Diana Kelley說：“無論是在有線通信還是在無線通信領(lǐng)域，情況都是如此。這是一場爭奪安全管理控制臺的戰(zhàn)斗。如果我們想實現(xiàn)自動化，這類控制臺就必須是集成式的，而且是開放的。我們可能配備來自不同廠商的IDS、防火墻和其他報告機制，但在自動化過程中必須拋棄門派之見，從所有的產(chǎn)品中獲取我們想要的信息。在這一過程中，標準是必不可少的。為此，我們需要一整套的標準?！?

    尋求標準

    在過去的兩年中，CA一直在與IETF的開放安全交換小組進行密切的協(xié)作，目的是開發(fā)出一種在多種品牌和類型設(shè)備之間識別和共享安全事件信息通用的方法。這項名為開放源代碼漏洞數(shù)據(jù)庫的計劃,于2002年8月在DEFCON大會上正式啟動。該數(shù)據(jù)庫可以在現(xiàn)有的多種漏洞管理系統(tǒng)之間共享通用的漏洞定義。數(shù)十年來，網(wǎng)絡(luò)管理廠商一直在使用IETF著名的SNMP協(xié)議，而這種協(xié)議如今仍然是企業(yè)中一種必不可少的工具。

    Coast Capital Savings公司已經(jīng)將其安全管理的未來都押在了SNMP協(xié)議上。Surrey是加拿大的一家銀行信用企業(yè)聯(lián)盟。它在50家零售企業(yè)中擁有2000家用戶，并且正在通過兼并、收購和新建等方式迅速擴展其在加拿大的業(yè)務(wù)規(guī)模。為了支持該公司激進的發(fā)展計劃，公司的高級系統(tǒng)工程師Andrew Banman正在開發(fā)一種名為“套裝分行”的模塊，使新建的分行能夠立即安裝和運行標準化的安全系統(tǒng)，而且可以通過單個控制臺對其實施完善的管理。

    Banman的小組正在執(zhí)行一項為期兩年的計劃，利用SNMP來統(tǒng)一所有的安全和管理信息。該小組已經(jīng)使用了F5 Networks公司的FirePass SSL VPN來檢查遠程計算機的安全完整性，只有當這些計算機通過了安全檢查后才能獲得訪問數(shù)據(jù)中心的權(quán)力。

    Banman說：“如果要監(jiān)視所有的數(shù)據(jù)，那肯定會是一場可怕的噩夢。因此，我們根據(jù)具體情況決定應(yīng)該購買哪些功能，自己編寫哪些功能，并且利用SNMP管理功能來幫助我們整合所有的數(shù)據(jù)。”

    利用您的基礎(chǔ)設(shè)施

    等到所有的標準都像SNMP一樣成熟時，從不同的設(shè)備中采集和關(guān)聯(lián)安全信息的過程仍然會是一項非常昂貴和困難的工作。

    于是，人們想到了將安全管理功能集成到交換機管理平臺中：根據(jù)3Com的計劃，該公司將把今年年初從TippingPoint Technologies公司收購來的IPS技術(shù)集成到自己的平臺中，而Cisco在去年也推出了具備安全訪問、IPS和安全監(jiān)視等功能的自防御網(wǎng)絡(luò)概念。另外，Enterasys Networks公司也開始提供集成式的殺毒與策略管理產(chǎn)品。

    北卡羅來那大學(xué)已經(jīng)采用了Enterasys的安全管理產(chǎn)品，用來在交換機端口上阻斷病毒或攻擊。這種產(chǎn)品最大的優(yōu)勢之一就是，無須在每一臺交換機和終端上安裝節(jié)點。北卡羅來那大學(xué)數(shù)據(jù)聯(lián)網(wǎng)副主任Mike Hawkins指出，當這種產(chǎn)品發(fā)現(xiàn)某個特定的端口上出現(xiàn)黑客或病毒活動，就會將這臺計算機置于補救狀態(tài)下，直至該計算機被修復(fù)。為了對抗層出不窮的威脅，北卡羅來那大學(xué)還使用Netsight Policy Manager在邊緣交換機上實施通訊阻斷策略。

    了解用戶的角色

    以身份管理為例，如果對每一項應(yīng)用都實施層次分明的精細訪問權(quán)限管理，企業(yè)就必須對所有的定制應(yīng)用和廠商的非集成式應(yīng)用重新編寫定制策略定義。但是，PricewaterhouseCoopers公司安全及隱私管理合伙人Brad Bauch認為，從企業(yè)的角度來看，這種精細的方式根本不可能實現(xiàn)用戶角色和供應(yīng)資源的自動化。

    然而，那些比較容易實現(xiàn)自動化的身份管理功能都確實已經(jīng)實現(xiàn)了自動化，不再是安全問題的范疇，而成為了企業(yè)日常運營中的一部分。這與Garigue的安全成熟性模型完全一致。

    Bauch指出，自助式的口令設(shè)置已經(jīng)成為一項非常普及的功能，并且已經(jīng)證明可以在某企業(yè)中將幫助人員的呼叫量減少70%，具備很高的投資回報率。在他的客戶站點上，取消服務(wù)的工作已經(jīng)實現(xiàn)了完全的自動化，因而在很大程度上已經(jīng)變成了一種人力資源功能。另外，用戶自己就可以啟動新的賬戶請求。

    例如，在Nextel公司，員工和承包商可以利用Thor Technologies公司的身份管理系統(tǒng)申請自己的用戶ID，該系統(tǒng)在工作時位于該公司的PeopleSoft人力資源應(yīng)用前端。用戶申請好自己的ID后，系統(tǒng)就可啟動工作流程電子郵件并為用戶提供相應(yīng)的資源。

    但Nextel公司IT戰(zhàn)略及架構(gòu)主任Tom Deffet說，Nextel稱自己并沒有向用戶角色提供精細的屬性和適應(yīng)這些屬性的獨特資源，因為要想實現(xiàn)這些功能，就需要對數(shù)百種定制應(yīng)用開發(fā)一種系統(tǒng)，而這種開發(fā)工作所耗費的時間將是非常驚人的。

    Deffet解釋說：“角色和應(yīng)用之間的組合是多種多樣的，所以，實現(xiàn)全部這些組合的自動化供應(yīng)是一件非常讓人困惑的事情。因此，我們決定先摘一些容易摘到的果子，這樣進展就可以快一些?！?

    Nextel設(shè)置了四種主要的用戶角色 :員工、承包商、業(yè)務(wù)伙伴和客戶，在這些角色范圍內(nèi)，所有用戶都可以自動獲得訪問共同資源的權(quán)限。例如，分析給員工的資源包括局域網(wǎng)、電子郵件、VPN和Internet接入。差不多一年后，Nextel公司希望進一步開發(fā)更詳細的屬性，如部門和職務(wù)。

    Garigue說，所有的安全自動化都會呈現(xiàn)出這樣一種形式。首先，找出風險，然后開發(fā)標準，并最終實現(xiàn)最佳實踐的自動化。這種形式在未來還會繼續(xù)適用，尤其是對那些為了分布式服務(wù)密集型計算而部署新型數(shù)據(jù)中心架構(gòu)的企業(yè)來說，這將是一條必經(jīng)的道路。

    來源：CCW