咨询公司Trustwave的高级安全团队SpiderLabs刚刚发布了2011年全球安全报告。该报告是根据过去一年进行的220多项事故反应调查和2000项人工渗透测试编写的。SpiderLabs的Nicholas Percoco分享了他最重要的“11项11”安全措施,每个组织都应该采取这些措施,以减少代价高昂的安全漏洞风险。
当涉及到计算机安全时,最好了解公司遭受的入侵类型,以及导致这些入侵发生的实际或疑似漏洞是什么。正是本着这种精神SpiderLabs,内部的高级安保团队网络爬行,发表了他们的2011年全球安全报告.该报告基于2010年SpiderLabs在全球范围内进行的220多项事故响应调查和2000多项渗透测试。
关于这类报告,我发现了一个有趣的地方,那就是无论公司构建了多少个安全层,网络犯罪分子还是能找到一种方式来得到他们想要的东西,而且他们的方式越来越复杂。但复杂并不总是必要的。有时是对小事的疏忽导致了大问题。例如,88%的SpiderLabs的调查涉及诸如默认供应商提供的凭据和不安全的远程访问应用程序等缺陷。它不需要火箭科学家猜测默认密码和获得未经授权访问重要的网络资源。
这份报告充满了非常好的信息和见解。这绝对值得一读。在您有时间浏览全部55页之前,我将为您提供SpiderLabs团队提供的Cliffs Notes版本的建议。Nicholas Percoco是SpiderLabs的高级副总裁,他为每个组织提供了“11对11”的战略倡议建议。如果您遵循Percoco的建议,您应该能够极大地降低公司遭遇安全漏洞的风险。
1.评估、减少和监控客户端攻击面
2010年,客户端攻击发生的速度超出了所有人的预期。有时,浏览器、插件和查看器的软件开发人员每隔几周就会发布安全更新。
为了解决这个问题,为不同类别的应用程序创建一个组织标准。监视这些版本,并开发一种对应用程序进行分类的方法,以衡量应用程序是否符合标准。最后,开发一种评估风险的方法,在需要时进行沟通,并在需要时迅速进行修补。
2.拥抱社交网络,但教育员工
这种流行媒介不会很快消失;企业现在正利用社交网络来提高品牌知名度、降低成本并与客户建立联系。随之而来的是风险,比如私人公司信息的公开曝光,或者网络罪犯通过挖掘社交资料获取个人信息来识别目标。
制定一项政策,规定哪些公司信息和活动可以由非官方用户共享。对工作人员进行这一政策的教育,并为他们提供额外的意识培训,让他们了解如何保护自己和组织免受基于社交网络的攻击。
3.开发一个移动安全程序
拥有公司发放的智能手机、笔记本电脑和其他设备的员工无论走到哪里都随身携带着公司的知识产权。这些设备是有吸引力的目标,因为它们可能不像其他公司资源那样安全。
评估员工使用的各种平台,确定那些不能执行企业概要文件的平台,并决定如何逐步淘汰它们。在接下来的几年里,移动设备受到的攻击可能会超过台式电脑。获得对移动设备配置的尽可能多的控制,就像桌面和服务环境一样,将有助于组织开始降低风险。
4.使用多因素身份验证
如果允许,人们会选择容易记住的(糟糕的)密码。即使实施了密码复杂度规则,许多人仍然经常选择强度较弱的密码。
多因素身份验证并非在任何地方都有效,但应该尽可能地加以考虑。对于外围访问(如VPN或远程访问)至关重要的是,实现多因素解决方案的成本远远低于企业网络重大漏洞和数据丢失的影响。
5.根除明文交通
网络罪犯知道企业通过私人网络发送敏感数据是透明的。可以通过为基于web的交易实现SSL证书、使用电子邮件加密或为交易处理系统使用端到端加密来加强安全性。
6.实际上修补web应用程序直到修复
内部和外部Web应用程序都应该使用手动和自动方法进行持续测试,以识别安全问题。在开发出完整的补丁之前,漏洞可以收到一个虚拟补丁。
可以通过实现Web应用程序防火墙(WAF)并根据安全测试的结果应用虚拟补丁来保护应用程序来实现这一点。然后,开发团队可以为该漏洞创建一个修复程序。一旦验证成功,虚拟补丁就可以安全地从WAF中删除。
7.授权事件反应小组
一个组织的内部事件响应小组应该调查异常情况。如果没有事件响应团队,考虑创建和维护一个。
事件响应团队应该能够访问安全团队的通知或存储在日志聚合或分析系统中的信息,例如安全信息和事件管理(SIEM)系统。授权团队去调查甚至是最模糊的问题。在调查各种数据泄露事件时,SpiderLabs经常发现,在外部专家介入之前的几个月,内部人员发现了轻微的犯罪活动迹象,但没有人进行调查。安全团队经常被告知要等到下一次大规模入侵或hr发布指令后才采取行动,而不是寻找最初攻击活动的迹象。
8.对第三方关系实施安全性
第三方供应商及其产品引入了漏洞,主要是由于默认的、供应商提供的凭据和不安全的远程访问实现。
组织需要了解哪些法规或行业要求适用于他们,以及需要他们的第三方供应商了解这些供应商是否符合要求。对于大型战略合作伙伴,组织应该要求他们的合作伙伴定期进行第三方安全测试,并与安全团队共享测试结果。除了功能测试,组织还应该努力在与供应商的协议中包括实现、维护和支持服务的非功能安全需求。
9.实现网络访问控制
由SpiderLabs测试的大多数内部网络环境的安全状况都很差。在外部,攻击者只能利用OSI层3及以上进行攻击。在内部网络上,它们可以从OSI第2层开始。这意味着,像中间人这样的攻击不仅有效,而且在大多数企业环境中很容易执行。
结合细分策略的网络访问控制解决方案可以帮助内部网络像外部保护的周界一样抵御攻击。
10.分析所有事件
网络设备、服务器、工作站和应用程序都可以生成事件。我们通常不让他们这样做,因为他们制造的“噪音”会让保安人员不知所措。然而,这些事件经常作为实际攻击起源的早期指标。
实现安全信息和事件管理(SIEM)系统,通过将策略和工作流应用于环境事件,帮助将噪音转化为行动。
11.实施全组织的安全意识计划
安全意识培训可能无法阻止心怀恶意的内部人员,但它可能意味着更早地检测和通知潜在事件。即使是初入职场的员工,如果接受过安全意识培训,也可能会注意到一些问题。这种对员工的安全意识培训在应对社会工程带来的风险方面尤其有效。
组织应该实施安全意识培训计划,并强制每个员工,无论其头衔或职能。这种培训应该至少每年重复一次,并使其成为所有新员工培训的一部分。
有关Trustwave 2011年全球安全报告以及SpiderLabs关于如何改善组织安全状况的建议的更多信息,请阅读报告在https://www.trustwave.com/GSR上。
Linda Musthaler, Essential Solutions Corporation首席分析师。你可以通过mailto:LMusthaler@essential-iws.com给她写信。
______________________________________________________________基本的解决方案研究信息技术的实用价值,以及它如何使个体工人和整个组织更有生产力。基本解决方案为计算机行业和企业客户提供咨询服务,帮助定义和实现IT的潜力。
关于Essential Solutions Corp: