安全问题似乎似乎比烧伤更令人沮丧,但这六个肯定能够在当下的通知时照亮它专业人士的火灾。小心轻放。
服务器虚拟化值得冒险吗?
从传统服务器转移到虚拟机虚拟机的安排是硬件整合的成本节约和显著的灵活性。但不太受欢迎的后果可能是安全漏洞和虚拟服务器蔓延,这些风险会招致审计人员的批评。
英国电信(BT)新兴技术办公室高级顾问、支付卡行业(PCI)标准审计员道格拉斯·德鲁(Douglas Drew)表示,虚拟机安全问题往往是事后才被解决的。“你如何处理访问控制或审计?”假设我将虚拟机的一个实例从机架a迁移到机架B:一个是需要物理标识才能到达控制台的锁定机架,而另一个不需要?虚拟机管理程序是否允许管理员A和管理员B分离,使管理员A只能在逻辑上接触系统A,管理员B只能接触系统B?您是如何基于架构变更重新进行风险评估的?”
与VM环境相比,VM环境,无论是基于VMware,Xensource还是Microsoft,都可以呼吁应用ISO 27002标准下定义的最佳实践进行安全系统,说。“我们已经看到了一些人慢穿过VM的情况,因为他们没有搂着这一点。”
很多人说VM软件打开盒子是不够安全的。
“虚拟机是可移动的,它们被设计成可移动的,”大卫·林奇说,他是一家制造虚拟机生命周期管理软件的初创公司Embotics的营销副总裁。“你可以使用物理服务器并复制它。你失去了物理服务器的身份,但你现有的管理工具是基于你有一个物理服务器的理念。”
Lynch认为,按照今天的设计,VMware的VirtualCenter管理不会防止虚拟机蔓延,因为虚拟机ID号可以更改和重新设置。他补充说,对于使用多个VirtualCenter的企业来说,不可能确保一个唯一的虚拟机ID系统。
与VirtualCenter一起工作的Embotics软件,试图通过使用加密散列和VM元数据进行补偿,使VM ID标识为合法和真实的。其他公司,包括Fortisphere和ManageIQ,也正在处理VM蔓延问题。
一些安全厂商认为,主要的虚拟机软件开发人员急于推出自己的产品,以抢占市场份额,正如Q1实验室的产品项目经理Andrew Hay所说,“安全是事后才考虑的。”
干草注意到没有启用Netflow的虚拟交换机,以帮助活动监控。“你正在创建一个恰好居住在一个盒子上的单独网络,”干草说。“但没有人推动虚拟化世界的流动分析。”
所有这些都应该阻止IT经理走向虚拟世界吗?海依表示,底线是:“最好在全力投入之前研究一下你的选择。”
阻止数据泄露能吸引律师吗?
防止数据丢失(DLP) - 或调用IT数据泄漏保护 - 允许您监控未经授权传输的内容。(比较数据泄漏防护产品)。但是,通过它获得经验的组织正在寻找DLP棚得如此之光进入公司网络的较暗角落,即它和商业经理可能会在监管和合法的危险中找到自己。
信用信息服务公司Equifax信息安全高级副总裁托尼•斯皮内利(Tony Spinelli)描述了部署该系统的早期阶段Symantec DLP.在他的组织。DLP成为黑暗中的聚光灯,暴露了需要改进的数据存储实践。
这使得业务和IT管理人员都必须立即做出改变。越来越多的安全管理人员发现,挑剔的审计人员——一旦他们知道DLP工具已经到位——就会要求进行安全更改,而企业忽视这些更改将面临法律风险。
那么,这种“看到一切,知道一切”的方面——再加上DLP仍然可能很昂贵的事实——是否足以让潜在买家望而却步?也许吧,但这将意味着放弃最有前途的内容监控方法,这可能是帮助你的公司摆脱监管和法律麻烦的迫切需要的方法。
安全管理人员事先知道DLP可能是一种颠覆性技术,因此可以制定计划,让业务管理人员(大多数公司眼中合法的数据所有者)以及审计人员和法律工作人员做好准备。
拥有DLP经验的安全专业人士罗恩·巴克尔兹(Ron Baklarz)最近离开MedStar Health,加入美国铁路公司(Amtrak)担任首席信息系统官。他说,他在MedStar使用Reconnex DLP时采取的方法是让商业人士参与到数据监管过程中。
巴克拉尔兹建议:“你需要在合规方面与他们合作。”授权业务人员登录技术DLP系统可以使他们积极参与数据丢失预防工作。
云安全:梦幻还是危险?
据关注云安全服务的Gartner安全专家约翰·佩斯卡托雷(John Pescatore)说,关于云安全服务的最基本的事情——不管它们是为了什么电子邮件例如拒绝服务保护、漏洞扫描或网络过滤,这些都可以替代购买软件或设备时自己动手的方式。
我们有充分的理由通过购买一项服务而登上云端——但也有时间带着自己的东西留在更现实的领域。
Pescatore建议,首先应该把企业云安全服务作为两种基本类型来考虑。第一种是基于带宽的,例如基于运营商或isp的DoS保护和响应。
“AT&T例如,他们可以比你做得更好,成本更低,而且他们过滤掉上游的攻击,而你不能使用他们的带宽,”佩斯卡托雷说。另一种选择是从Arbor Networks等公司购买防dos设备,并自行设置保护。
佩斯卡托雷表示,云计算中的第二种类型是Gartner所称的“安全即服务”,它“完全脱离了带宽服务”。例如,使用反垃圾邮件服务需要将MX记录重定向到服务提供商,但不需要绑定到单个运营商的特定带宽服务。
此类型包括电子邮件垃圾邮件和杀毒软件过滤;漏洞扫描;和网络过滤。总的来说,它不包括DLP内容监控和过滤或身份访问和管理,这与内部业务变化紧密相关。
Pescatore说,在云计算中使用“安全作为一种服务”对于保护移动笔记本电脑或为分布广泛的分支机构提供保护很有意义。他表示:“对于非常大的全球企业来说,这是有吸引力的。”
然而,大多数公司可能会发现,通过部署自己的安全设备来过滤垃圾邮件、病毒和限制Web访问,继续保护内部操作是很容易和划算的。
过滤服务存在潜在的风险。您可能不希望通过这种第三方服务传输敏感的业务事务。而且,总有可能会出现服务中断的情况。
Pescatore说,所有这些云服务都是相当新的,只是在过去三年才出现了迅猛的增长,MessageLabs,微软,谷歌的Postini和Websense要在供应商中算作。Gartner估计,云内电子邮件安全服务不超过电子邮件安全市场的20%以上,但将在年底跃升至35%,到2013年将达到70%。
根据研究公司IDC的数据,去年电子邮件安全软件的市场规模为13.8亿美元,家用电器市场规模为6.922亿美元。云服务(IDC称之为托管服务)的收入为4.54亿美元。软件和设备预计将继续稳定增长(见图表),托管服务今年将跃升至6.38亿美元,到2011年将达到13.9亿美元。
这种云服务的扩展鼓励了Jericho论坛,一个由大约60家公司组成的组织,该组织一直在积极推动创新的电子商务安全,达到传统企业边界的边界。
杰里科论坛董事会成员保罗·西蒙兹说:“云网络过滤只是在过去16个月才开始使用。”“与几年前相比,现在有更多的云服务。”Simmonds说,企业网络中“消失的边界”使云安全服务成为一个吸引人的选择,许多企业都在探索。微软的安全问题能解决吗?
在安全问题上,微软能得到尊重吗?
就连比尔•盖茨(Bill Gates)也不时谦卑地解释,为什么微软(Microsoft)在安全问题上总是笨手笨脚。他最后一次公开露面RSA 2007会议在与克雷格MURDIE的舞台上,他向谁递给了警棍,直接产品安全前进,这两者提供了一个MEA CULPA对Microsoft的软件已经简短的原因解释。
“人类是人类和他们犯错误,“蒙迪说,两人后来表明不够安全困扰微软软件在过去可以追溯到早期的天真基于感知的几个控制需要,因为“每个人都真的很好”数据中心似乎小心藏。雷竞技电脑网站
Nemertes Research的高级副总裁兼创始合伙人安德里亚斯•安托诺普洛斯(Andreas Antonopoulos)表示,这个几十年的包袱对微软来说仍然是一个负担。
Antonopoulos说:“即使在今天,25年前做出的基本设计决策仍然困扰着微软。“Windows Vista不是一个新的操作系统;隐藏在幕后的是许多较老的操作系统,它们背负着过去20年的包袱,以确保应用程序的向后兼容性。”
微软陷入了难题,安东尼olos断言。如果公司真正决定在软件上进行新的启动,那么可能必须牺牲金融优势。“这不太可能发生,”他说。
伯顿集团(Burton Group)分析师丹·布鲁姆(Dan Blum)也表达了类似的观点,他说:“从这个意义上说,他们是妥协的。他们考虑到了向后兼容性的约束。”
几年前,微软试图在被称为过去的情况下休息下一代安全计算基地布鲁姆说:“他们把它扼杀了。”
根据Blum的说法,微软仍然沿着“便利性和灵活性和倒退兼容性”的道路驱动,这为他们提供了市场上最好的优势。Blum Muses如果他是比尔盖茨,他将尝试了“并行方法”,以开发一个下一代可信操作系统,即使它与现有应用程序违反了。
在其他方面,微软已经制定了一个可行的整体身份战略,Blum说,但它被它的窗户为中心的方法。他说:“他们从不在任何不同的平台上盖章。”例如,微软缺乏对SAML标准的支持,“这是一个大错误,不符合行业的最佳利益。”
Linux,UNIX和Macintosh操作系统的船舶,比来自微软的更好“通过设计姿势”,Antonopoulos竞争。
但Antonopoulos和Blum都表示,微软在Vista和XP2上有所改进。
安托诺普洛斯说:“问题是微软的名声一直不好,很难摆脱这种坏名声。”微软有很多才华横溢的工程师,他们有自己的身份和值得信任的专业知识,但他们在工程会议上表达的想法似乎很少被微软的软件采用。“我认为他们必须被否决。”
对于与微软密切合作的一些第三方安全软件提供商,它也一直在尝试。
利伯曼软件公司(Lieberman Software)总裁菲尔·利伯曼(Phil Lieberman)说:“这就像坐过山车。”利伯曼软件公司生产与微软桌面和服务器产品配套的密码和管理工具。“微软的问题在于,它不仅仅是一家公司;这是不同的人在不同的道路上互相争斗。”
在微软的一些部门,比如那些管理CRM或Office产品的部门,没有努力与第三方应用程序合作以保证安全,而“核心操作系统部门更加开放,”利伯曼说。
但与微软合作最令人恼火的部分——这可能是获得微软官方认证的必要条件——是该公司没有跟上技术文档。
“巨大的操作系统是无证的,”勒伯曼说。“他们正在移动这么快,做这么多的发布和更新,没有人正在跟踪他们正在做的事情。例如,如果微软进入和更改修补周二的东西,而[数据链接库]被改变,他们不会打扰更改文档,并且您的应用程序停止工作。我们必须去研究这个,我们发现他们改变了它。“
在承认微软业绩不佳的同时,其他公司的态度则稍微温和一些。
微软的改善努力具有“积极影响”,赛亚特克安全响应部门的主任Oliver Friedrich说。“我们必须为微软提供一些学分,以改善操作系统安全。”
在过去的几年中,还没有出现像Code Red、Blaster和Nimbda这样的破坏性蠕虫攻击,它们利用微软产品中的漏洞在世界各地造成严重破坏。
Friedrichs补充说:“今天的攻击者主要集中在第三方Web插件上。
SystemExperts的Jon Gossels说:“我们很容易挑微软的毛病,因为他们无处不在,而且历来都有问题。”“但年复一年,他们的产品越来越好,很多专业人士都在努力寻找缺陷。”
NAC:你的防火墙够了吗?
网络访问控制(NAC)并非适用于所有人,但它可以作为一种有价值的工具,用于控制个人获得网络接入的情况。(比较网络访问控制产品。)
这对受到严格监管的企业来说可能很有价值。NAC可以在终端被允许接入公司网络之前对它们进行全面检查,这种检查可以帮助安抚监管机构,这些监管机构要求执行有关必须如何配置合法终端的政策。
大多数NAC平台不仅执行该功能,而且还保存执行该功能的记录,这是各种法规的要求,如支付卡行业(PCI)标准和健康保险可携性和责任法案(HIPAA)。
根据Gartner的说法,甄别客户是NAC能够很好解决的一个特别问题。Gartner分析师劳伦斯•奥兰斯在一份报告中表示:“大多数计划部署NAC的Gartner客户报告称,他们的首要任务是实现客户网络。”“在2007年,许多将NAC视为战略性安全流程的安全经理能够利用客户网络的短期好处来证明开始使用NAC是合理的。”如果企业有各种各样的全职员工、承包商和客户定期使用他们的网络,NAC可以帮助确保他们用于连接的设备满足配置策略。对于失败的机器,NAC可以修复它们,隔离它们,或者允许它们访问资源有限的网段,在那里它们可以造成有限的破坏。
类似地,需要根据部门或工作职能划分网络的企业可以使用NAC中的授权控制在相当详细的级别上进行划分。
弗雷斯特研究公司(Forrester Research)的分析师罗布•怀特利(Rob Whitely)表示:“如果公司有多种合规要求(萨班斯-奥克斯利法案、PCI、HIPAA)、多样化的劳动力(雇员、承包商、远程工作人员、合作伙伴、供应商)和全球业务(按地区、业务单位和其他细分环境的需要),我们就会看到一场完美风暴。”
NAC最终将成为更少依赖外围的分层安全架构的一个元素防火墙作为主要的堡垒,更多的是寻求减轻威胁的安全层,惠特利说。“这是去边缘化大趋势的一部分。NAC不是必需的,但将成为这些新的安全架构的关键组件。
大多数网络都可以在没有NAC的情况下获得。该技术降低了受损机器获得网络访问的风险,如果他们进入录取,他们可以造成伤害。但它并不能保证安全。NAC是为了回应威胁传统第3层防火墙无法处理的威胁,并且有没有NAC无法处理的威胁,但它可以提出重要贡献。
“问问自己:你的防火墙是否足够?”Whiteley说。“如果是这样,NAC很可能是不必要的。它提供了额外的主机完整性检查,但这提供了更高的价值,超出了更多的粒度认证和授权 - 这实际上只是尝试弥补当今防火墙的缺点。”
IT部门是否解决了补丁管理问题?
补丁和漏洞管理工具可以采用在主要静态,受控环境中检测和保护弱势机。(比较补丁和漏洞管理产品。)技术领域被认为是IT经理的优先权,他们最有可能花费多年来完善他们的漏洞扫描,补丁测试和软件分销过程。
根据企业管理协会(EMA)的一项调查,在接受调查的250名IT经理中,超过四分之三(76%)的人拥有某种补丁管理产品,并表示补丁对于非常重要的过程来说是非常重要的。VanDyke Software对300名网络管理员进行的第五次年度企业安全调查显示,30%的人仍然担心打补丁,这一数字近年来有所下降。一些行业观察人士推测,担忧的减轻反映了补丁管理产品和IT经理流程的成熟。
位于佛罗里达州盖恩斯维尔的Exactech的网络管理员Craig Bush说:“除了远程访问用户,我们真的没有任何东西可以改变需要修补的内容。“目前,我们必须等到客户端连接到我们的VPN,才能进行更新,这并不总是定期的。”
布什说,他的补丁程序已经成熟,但供应商可以通过及时构建补丁,让用户在跨分布式机器推出补丁之前对补丁进行适当的测试,从而简化这个过程。
他说:“在推出补丁之前,供应商应该确保对补丁进行了广泛的测试。”“对于开源技术来说,这比像微软这样的封闭源代码公司容易得多,后者往往需要更长的准备时间来打补丁和修复。”
然而,行业观察人士表示,目前和未来的补丁问题更多地与用户环境有关,而不是与供应商更新有关。他们警告说,虽然补丁管理技术可以被认为是成熟的,但随着环境的发展,包括更多的虚拟化和复杂的应用程序基础设施,补丁需要不断发展。反过来,Altiris(现在是赛门铁克)、BigFix、CA、St. Bernard Software、PatchLink和Shavlik Technologies将需要在他们的工具中引入虚拟化和其他技术支持,以充分为客户环境打补丁。
“这是一项相对成熟的技术,但这并不意味着它在控制之中。目前,虚拟化等领域的补丁仍相当不成熟;服务器和桌面虚拟化正在抛弃旧的补丁规则,”EMA研究总监Andi Mann说。
根据Mann的说法,虚拟化带来了复杂性,并且在相同的时间内需要修补的机器数量呈指数增长。这可能会导致IT管理人员加快补丁测试过程,这最终会导致生产机器上的配置冲突。曼恩说:“测试是打补丁的一个关键因素,由于零日攻击和虚拟机的激增等即时威胁,要确定所有更新将协同工作并保护环境就更加困难了。”
Ptak, Noel & Associates首席分析师茉莉•诺埃尔(Jasmine Noel)表示,再加上对补丁的依赖,补丁可能会成为IT经理面临的新挑战。她说,随着环境变得越来越复杂,分发补丁的厂商越来越多,对许多IT经理来说,测试和发布更新的层次将打破旧的打补丁的方法。
“由于所有基础设施层 - 硬件,物理框,虚拟化软件和虚拟机(操作系统和应用程序堆栈)上的所有基础架构层 - 硬件,操作系统(操作系统和应用程序堆栈),所需的仍然需要从多个供应商中排序惠普,微软和Oracle.全部出现的补丁?“她问道。