安全问题往往似乎闷得比燃烧得更厉害,但这六个问题肯定能够在IT专业人士的瞬间点燃一团火。小心轻放。
服务器虚拟化值得冒险吗?
从传统服务器转移到虚拟机(VM)安排是硬件整合和卓越灵活性的成本节约。但不太欢迎后果可能是安全差距和虚拟服务器蔓延,从审计师那里吸引火灾的风险。
英国电信(BT)新兴技术办公室高级顾问、支付卡行业(PCI)标准审计员道格拉斯·德鲁(Douglas Drew)表示,虚拟机安全问题往往是事后才被解决的。“你如何处理访问控制或审计?”假设我将虚拟机的一个实例从机架a迁移到机架B:一个是需要物理标识才能到达控制台的锁定机架,而另一个不需要?虚拟机管理程序是否允许管理员A和管理员B分离,使管理员A只能在逻辑上接触系统A,管理员B只能接触系统B?您是如何基于架构变更重新进行风险评估的?”
Drew说,像更传统的网络一样,虚拟机环境,无论是基于VMware、XenSource还是Microsoft,都要求应用ISO 27002安全系统标准下定义的最佳实践。“我们看到有些情况下,人们接受虚拟机的速度很慢,因为他们还没有接受这个技术。”
很多人说是VM软件打开盒子是不够安全的。
“虚拟机是可移动的,它们被设计成可移动的,”大卫·林奇说,他是一家制造虚拟机生命周期管理软件的初创公司Embotics的营销副总裁。“你可以使用物理服务器并复制它。你失去了物理服务器的身份,但你现有的管理工具是基于你有一个物理服务器的理念。”
如今所设计的,VMware的VirtualCenter管理不会阻止VM蔓延,因为可以更改和重新设置VM ID号,Lynch竞争。他补充说是不可能为使用多个VirtualCenter的企业提供唯一的VM ID系统。
与VirtualCenter一起使用的磁头软件尝试通过使用加密哈希来补偿与VM Meta-Data合作,以将VM ID品牌作为合法和真实的。其他初创企业,包括Fortisphere和管理员,也在解决VM蔓延问题。
一些安全厂商认为,主要的虚拟机软件开发人员急于推出自己的产品,以抢占市场份额,正如Q1实验室的产品项目经理Andrew Hay所说,“安全是事后才考虑的。”
Hay指出,没有netflow支持的虚拟交换机来帮助监控活动。海伊说:“你正在创建一个恰好位于盒子上的独立网络。”“但在虚拟世界中,没有人会推动流分析。”
所有这些都应该阻止IT经理走向虚拟世界吗?海依表示,底线是:“最好在全力投入之前研究一下你的选择。”
阻止数据泄露能吸引律师吗?
防止数据丢失(DLP)——或者称之为数据泄漏保护——可以让你监视未经授权的传输内容。(相比数据泄漏防护产品)。但正在积累经验的组织发现,DLP为企业网络的黑暗角落带来了如此多的光明,以至于it和业务经理可能会发现自己处于监管和法律危险之中。
信用信息服务公司Equifax信息安全高级副总裁托尼•斯皮内利(Tony Spinelli)描述了部署该系统的早期阶段赛门铁克DLP在他的组织。DLP成为黑暗中的聚光灯,暴露了需要改进的数据存储实践。
这使得业务和IT管理人员都必须立即做出改变。越来越多的安全管理人员发现,挑剔的审计人员——一旦他们知道DLP工具已经到位——就会要求进行安全更改,而企业忽视这些更改将面临法律风险。
那么,这种“看到一切,知道一切”的方面——再加上DLP仍然可能很昂贵的事实——是否足以让潜在买家望而却步?也许吧,但这将意味着放弃最有前途的内容监控方法,这可能是帮助你的公司摆脱监管和法律麻烦的迫切需要的方法。
安全管理人员事先知道DLP可能是一种颠覆性技术,因此可以制定计划,让业务管理人员(大多数公司眼中合法的数据所有者)以及审计人员和法律工作人员做好准备。
拥有DLP经验的安全专业人士罗恩·巴克尔兹(Ron Baklarz)最近离开MedStar Health,加入美国铁路公司(Amtrak)担任首席信息系统官。他说,他在MedStar使用Reconnex DLP时采取的方法是让商业人士参与到数据监管过程中。
巴克拉尔兹建议:“你需要在合规方面与他们合作。”授权业务人员登录技术DLP系统可以使他们积极参与数据丢失预防工作。
云安全:梦幻还是危险?
据John Pescatore说,一位Gartner安全专家,他们在云内安全服务上保持标签,关于它们的基本事项 - 是他们电子邮件,拒绝服务(DOS)保护,漏洞扫描或Web过滤 - 是他们在购买软件或设备方面的DO-IT方法的替代方案。
通过购买服务来提升到云中的强烈理由 - 但也以自己的东西留在越来越地的域名。
为了开始,Pescatore建议,它值得思考Enterprise In-Cloud安全服务作为两种基本类型。第一个是基于带宽的,例如基于载波或ISP的DOS保护和响应。
“AT&T例如,可以这样做比你能更好,更便宜,而且他们的佩斯特尔说,他们的攻击进一步上游进一步上游,“Pescatore说。替代方案将从乔木等公司购买防DOS设备网络和设置保护。
佩斯卡托雷表示,云计算中的第二种类型是Gartner所称的“安全即服务”,它“完全脱离了带宽服务”。例如,使用反垃圾邮件服务需要将MX记录重定向到服务提供商,但不需要绑定到单个运营商的特定带宽服务。
这种类型包括电子邮件垃圾邮件和防病毒过滤;漏洞扫描;和Web过滤。它不包括和大,是DLP内容监视和过滤或身份访问和管理,它紧紧地耦合到内部业务变化。
Pescatore说,在云计算中使用“安全作为一种服务”对于保护移动笔记本电脑或为分布广泛的分支机构提供保护很有意义。他表示:“对于非常大的全球企业来说,这是有吸引力的。”
然而,大多数公司可能会发现,通过部署自己的安全设备来过滤垃圾邮件、病毒和限制Web访问,继续保护内部操作是很容易和划算的。
过滤服务存在潜在的风险。您可能不希望通过这种第三方服务传输敏感的业务事务。而且,总有可能会出现服务中断的情况。
Pescatore说,所有这些云服务都是相当新的,只是在过去三年才出现了迅猛的增长,MessageLabs,微软那谷歌的Postini和Websense也在供应商之列。Gartner估计,云电子邮件安全服务在整个电子邮件安全市场的份额不会超过20%,但到今年年底将跃升至35%,到2013年将跃升至70%。
根据研究公司IDC的数据,去年电子邮件安全软件的市场规模为13.8亿美元,家用电器市场规模为6.922亿美元。云服务(IDC称之为托管服务)的收入为4.54亿美元。软件和设备预计将继续稳定增长(见图表),托管服务今年将跃升至6.38亿美元,到2011年将达到13.9亿美元。
这种云服务的扩展鼓励了Jericho论坛,一个由大约60家公司组成的组织,该组织一直在积极推动创新的电子商务安全,达到传统企业边界的边界。
杰里科论坛董事会成员保罗·西蒙兹说:“云网络过滤只是在过去16个月才开始使用。”“与几年前相比,现在有更多的云服务。”Simmonds说,企业网络中“消失的边界”使云安全服务成为一个吸引人的选择,许多企业都在探索。微软会有安全性吗?
在安全方面,微软可以得到任何尊重吗?
就连比尔•盖茨(Bill Gates)也不时谦卑地解释,为什么微软(Microsoft)在安全问题上总是笨手笨脚。他最后一次公开露面RSA 2007会议在与克雷格•蒙迪(Craig Mundie)同台时,两人就微软的软件为何表现不佳做出了认错的解释。蒙迪将指导产品安全的指挥棒交给了蒙迪。
“人类是人类和他们犯错误,“蒙迪说,两人后来表明不够安全困扰微软软件在过去可以追溯到早期的天真基于感知的几个控制需要,因为“每个人都真的很好”数据中心似乎小心藏。雷竞技电脑网站
Nemertes Research的高级副总裁兼创始合伙人安德里亚斯•安托诺普洛斯(Andreas Antonopoulos)表示,这个几十年的包袱对微软来说仍然是一个负担。
Antonopoulos说:“即使在今天,25年前做出的基本设计决策仍然困扰着微软。“Windows Vista不是一个新的操作系统;隐藏在幕后的是许多较老的操作系统,它们背负着过去20年的包袱,以确保应用程序的向后兼容性。”
安托诺普洛斯断言,微软陷入了一个难题。如果该公司真的决定在软件上重新开始,它可能不得不牺牲财务优势。“这不太可能发生,”他说。
Burton Group Analyst Dan Blum表示类似的意见,说:“他们受到这种感觉的损害。他们有对落后兼容性的限制。”
几年前,微软试图与过去决裂下一代安全计算基地(NGSCB)项目,但“他们杀了它,”Blum说。
根据Blum的说法,微软仍然沿着“方便、灵活和向后兼容”的道路前进,这使他们在市场上拥有最大的优势。布鲁姆沉思着,如果他是比尔盖茨,他会尝试“并行方法”来开发下一代可信赖的操作系统,即使它与现有的应用程序有冲突。
在其他方面,微软已经制定了一个可行的整体身份战略,Blum说,但它被它的窗户为中心的方法。他说:“他们从不在任何不同的平台上盖章。”例如,微软缺乏对SAML标准的支持,“这是一个大错误,不符合行业的最佳利益。”
安托诺普洛斯认为,Linux、Unix和Macintosh操作系统比微软的操作系统具有更好的“设计安全性”。
但安东诺柳洛斯和博姆人认为微软已经改进了Vista和XP2。
安托诺普洛斯说:“问题是微软的名声一直不好,很难摆脱这种坏名声。”微软有很多才华横溢的工程师,他们有自己的身份和值得信任的专业知识,但他们在工程会议上表达的想法似乎很少被微软的软件采用。“我认为他们必须被否决。”
对于一些与微软密切合作的第三方安全软件供应商来说,微软有时也在尝试。
利伯曼软件公司(Lieberman Software)总裁菲尔·利伯曼(Phil Lieberman)说:“这就像坐过山车。”利伯曼软件公司生产与微软桌面和服务器产品配套的密码和管理工具。“微软的问题在于,它不仅仅是一家公司;这是不同的人在不同的道路上互相争斗。”
在微软的一些部门,比如那些管理CRM或Office产品的部门,没有努力与第三方应用程序合作以保证安全,而“核心操作系统部门更加开放,”利伯曼说。
但是,与微软一起使用的部分 - 可能是有必要获得官方的Microsoft认证 - 这是该公司并未跟上技术文件。
利伯曼说:“大量的操作系统是没有文件记录的。”“他们发展得太快了,发布和更新太多了,没人知道他们在做什么。例如,如果微软在Patch Tuesday中更改了一些内容,并且更改了一个[Data Link Library],他们不会费心去更改文档,那么你的应用程序就会停止工作。我们必须对此进行研究,我们发现他们已经改变了它。”
虽然承认微软的轨道记录不佳,但其他人是一个更调解的塔德。
赛门铁克安全响应部门主管奥利弗•弗里德里希斯(Oliver Friedrichs)表示,微软的改进努力产生了“积极影响”。“我们不得不承认微软在操作系统安全方面的进步。”
在过去的几年中,还没有出现像Code Red、Blaster和Nimbda这样的破坏性蠕虫攻击,它们利用微软产品中的漏洞在世界各地造成严重破坏。
“今天的攻击者专注于第三方网站插件,”弗里德里奇增加了。
“很容易挑选微软,因为他们肆无忌地且历来有问题,”SystemExperts的Jon Gossels说。“但是经过一年,他们的产品越来越好,而且有很多专业人士试图找到错误。“
NAC:你的防火墙够了吗?
网络访问控制(NAC)不是每个人,但它可以是控制个人获得网络访问的情况的有价值的工具。(相比网络访问控制产品。)
这对受到严格监管的企业来说可能很有价值。NAC可以在终端被允许接入公司网络之前对它们进行全面检查,这种检查可以帮助安抚监管机构,这些监管机构要求执行有关必须如何配置合法终端的政策。
大多数NAC平台不仅执行该功能,而且还保存执行该功能的记录,这是各种法规的要求,如支付卡行业(PCI)标准和健康保险可携性和责任法案(HIPAA)。
根据Gartner的说法,甄别客户是NAC能够很好解决的一个特别问题。Gartner分析师劳伦斯•奥兰斯在一份报告中表示:“大多数计划部署NAC的Gartner客户报告称,他们的首要任务是实现客户网络。”“在2007年,许多将NAC视为战略性安全流程的安全经理能够利用客户网络的短期好处来证明开始使用NAC是合理的。”如果企业有各种各样的全职员工、承包商和客户定期使用他们的网络,NAC可以帮助确保他们用于连接的设备满足配置策略。对于失败的机器,NAC可以修复它们,隔离它们,或者允许它们访问资源有限的网段,在那里它们可以造成有限的破坏。
同样,需要基于部门或作业职能进行其网络的业务可以在NAC中使用NAC的授权控件在相当详细的水平上。
弗雷斯特研究公司(Forrester Research)的分析师罗布•怀特利(Rob Whitely)表示:“如果公司有多种合规要求(萨班斯-奥克斯利法案、PCI、HIPAA)、多样化的劳动力(雇员、承包商、远程工作人员、合作伙伴、供应商)和全球业务(按地区、业务单位和其他细分环境的需要),我们就会看到一场完美风暴。”
NAC最终将成为更少依赖外围的分层安全架构的一个元素防火墙作为主要的堡垒,更多的是寻求减轻威胁的安全层,惠特利说。“这是去边缘化大趋势的一部分。NAC不是必需的,但将成为这些新的安全架构的关键组件。
大多数网络没有NAC也能运行。该技术降低了被侵入的机器获得网络接入的风险,以及如果它们设法进入网络,可能造成损害的风险。但这并不能保证安全。NAC的出现是为了应对传统的第三层防火墙无法处理的威胁,也有一些威胁是NAC无法处理的,但它可以做出重要的贡献。
“问问你自己:你的防火墙够了吗?”怀特利说。如果是这样的话,NAC很可能就没有必要了。它提供了额外的主机完整性检查,但除了更细粒度的身份验证和授权之外,这几乎没有什么价值——这实际上只是试图弥补当今防火墙的缺点。”
IT部门是否解决了补丁管理问题?
补丁和漏洞管理工具可以在静态的、受控的环境中检测和保护脆弱的机器。(相比补丁和漏洞管理产品。)技术领域被认为是IT经理的优先事项,他们很可能已经花了多年时间完善他们的漏洞扫描、补丁测试和软件发布流程。
根据企业管理协会(EMA)的一项调查,在接受调查的250名IT经理中,超过四分之三(76%)的人拥有某种补丁管理产品,并表示补丁对于非常重要的过程来说是非常重要的。VanDyke Software对300名网络管理员进行的第五次年度企业安全调查显示,30%的人仍然担心打补丁,这一数字近年来有所下降。一些行业观察人士推测,担忧的减轻反映了补丁管理产品和IT经理流程的成熟。
“我们真的没有任何改变需要修补的东西,除了远程访问用户之外,普拉斯维尔的ImproseCrech in Imprace的网络管理员克莱格布什说:”目前,我们必须等到客户端连接到我们的VPN以使更新发生的更新,这并不总是常规。“
布什表示,他的补丁过程是成熟的,但供应商可以通过在时间跨越分布式机器滚动之前能够正确地测试补丁来缓解过程。
他说:“在推出补丁之前,供应商应该确保对补丁进行了广泛的测试。”“对于开源技术来说,这比像微软这样的封闭源代码公司容易得多,后者往往需要更长的准备时间来打补丁和修复。”
然而,行业观察人士表示,目前和未来的补丁问题更多地与用户环境有关,而不是与供应商更新有关。他们警告说,虽然补丁管理技术可以被认为是成熟的,但随着环境的发展,包括更多的虚拟化和复杂的应用程序基础设施,补丁需要不断发展。反过来,Altiris(现在是赛门铁克),Bigfix,CA,St.Bernard软件,PatchLink和Shavlik技术需要为虚拟化和其他技术提供支持,以充分修补客户环境。
“这是一项相对成熟的技术,但这并不意味着它在控制之中。目前,虚拟化等领域的补丁仍相当不成熟;服务器和桌面虚拟化正在抛弃旧的补丁规则,”EMA研究总监Andi Mann说。
根据Mann的说法,虚拟化带来了复杂性,并且在相同的时间内需要修补的机器数量呈指数增长。这可能会导致IT管理人员加快补丁测试过程,这最终会导致生产机器上的配置冲突。曼恩说:“测试是打补丁的一个关键因素,由于零日攻击和虚拟机的激增等即时威胁,要确定所有更新将协同工作并保护环境就更加困难了。”
加入该依赖补丁,Ptak,Noel&Associates和修补程序的主要分析师Jasmine Noel表示,修补程序可能成为IT经理的新挑战。她说,随着环境变得更加复杂并且供应商的供应商的数量增长,更新的测试层和分发的层将打破许多IT经理修补的旧方法。
“仍然需要做的是对来自多个供应商的补丁进行排序,因为所有的基础架构层——硬件、物理机器上的操作系统、虚拟化软件和虚拟机(操作系统和应用程序堆栈)——所以正确的安装顺序是什么?生命值,微软和甲骨文上周二发布的补丁?”她问道。