16.1 应用安全运营概念
16.1.1 知其所需和最小特权
任何安全IT环境需要遵循的两个标准原则分别是知其所需和最小特权原则。
这两个原则通过限制对资产的访问来帮助保护有价值的资产。
知其所需的重点是权限和访问信息的能力,而最小特权原则侧重于特权。
1. 知其所需访问(need to know)
基于工作或业务需要被授予最小知悉范围和访问权限。
许可(clearance)不会自动授予用户对数据的访问权限。
2. 最小特权原则(Least privilege)
最小特权原则规定,主体仅被授予完成工作所需的特权,而不再被授予更多特权。
目标:限制用户和进程只访问必要的资源和工具来完成指定任务。
限制:可访问的资源、用户可以执行的操作。
在实施知其所需和最小特权原则时,员工需要考虑的附加概念:
•权利(Entitlement)
权利是指授予用户权限的数量,通常在首次分配账户时指定。
当创建用户账户时,管理员会为账户设置合适数量的资源,其中包括权限。
合理的用户分配流程遵循最小特权原则。
•聚合(Aggregation)
在最小特权的上下文中,聚合是指用户随时间收集的权限数量。
管理员应在用户调动到其他部门且不再需要先前分配的权限时撤消权限。
•信任传递(Transitive Trust)
两个安全域之间的信任关系,允许一个域(名为primary)的主体访问另一个域(名为training)的对象。
想象一下,存在一个名为training.cissp的子域。信任传递可将信任关系扩展到子域。
换句话说,primary域的用户可访问training域和training.cissp子域的对象。
如果信任关系不可传递,则primary域的用户无法访问子域的对象。
在最小特权原则下,检查这些信任关系非常重要,尤其是在不同组织之间创建时。
非传递信任遵循了最小特权原则,并一次只授予单个域的信任。
16.1.2 职责分离(separation of duties)
职责分离确保个体无法完全控制关键职能或系统。
将一个关键任务分成不同的部分,每个部分由不同的人来执行。
导致合谋!!
职责分离策略有助于减少欺诈,因为它迫使两人或多人之间串通来执行未经授权的活动。
Ex:程序员被限制更新和修改生产代码。
1. 特权分离
特权分离建立在最小特权原则的基础上,并将其应用到应用程序和流程。
特权分离策略需要使用细化的权限。
管理员为每类特权操作分配不同的权限。
仅授予具体进程执行特定功能所需的权限,而不是授予它们对系统无限制的访问权限。
正如最小特权原则可以同时应用到用户和服务账户一样,权限分离概念也可应用于用户和服务账户。
许多服务器应用程序具有支撑应用程序的基础服务,如前所述,这些服务必须在账户的上下文环境中运行,通常称为服务账户。
如今服务器应用程序通常拥有多个服务账户。
管理员应仅授予每个服务账户在应用程序中完成功能所需的权限。
这种做法遵循了特权分类的策略。
2. 任务分解(segregation of duties)
任务分解类似于职责分离策略,但结合了最小特权原则。
任务分解目标是确保个人未拥有过多的系统访问权限(进而可能引发利益冲突)。
当任务被适当分解时,没有任何一个员工可进行欺诈、犯错或掩盖。
它与职责分离类似,因为职责是分开的,也类似于最小特权原则,因为特权是有限的。
因为萨班斯-奥克斯利法案(SOX)特别强调任务分解策略,如果公司必须遵守2002年SOX,任务分解策略具有非常重要的意义。
除了SOX合规性要求,也可在任何IT环境中采用任务分解策略。
任务分解策略最常见的实施方式是确保安全工作任务与组织内的其他工作任务分离。
换句话说,负责审计、监控和审查安全的人员没有承担与审计、监控和审查目标相关的运营工作任务。
每当安全工作任务与其他运营工作任务结合时,个人便可使用安全权限来掩盖运营工作任务相关的活动。
图16.1是一个基本的任务分解控制矩阵,比较组织内不同角色及任务。
标有X的区域表示需要避免的潜在冲突。
例如,考虑应用程序员和安全管理员之间的潜在冲突。
开发人员可对应用程序进行未经授权修改,但安全管理员可通过审计或审查来检测到未经授权修改。
但是,如果一个人兼任两个岗位的工作任务(和特权),便可修改应用程序,然后掩饰修改来躲避检测。
理想情况下,个体永远不会分配到两个有利益冲突的角色。
但是,如果形势所迫,组织可以实施补偿性控制措施来降低风险。
3. 双人控制(two-person control)(通常称为双人制)
双人控制要求经过两个人批准后才能执行关键任务。
例如,银行保险箱通常要求两把钥匙。
银行员工掌管一把密钥,客户持有第二把密钥。
打开保险箱同时需要两把钥匙,银行员工在验证客户身份之后才允许客户访问保险箱。
在组织内使用双人控制可以实现同行评审,并减少串通和欺诈的可能性。
例如,组织可要求两人一起(例如首席财务官和首席执行官)批准关键业务的决策。
一些特权活动可配置成双人控制,从而这些特权活动需要两个管理员一起操作才能完成。
双重控制(two man rule),由于监督管理要求必须两人同时完成工作。<例如:银行大额交易,柜员操作需要主管授权>
双人规则(dual control),由于split knowledge导致一个人无法完成工作,必须两人。<例如:各记住一半密码>
知识分割(split knowledge)是将职责分离和双人控制的理解融入一个解决方案。
其基本思想是将执行操作所需的信息或特权分配给两个或更多个用户。
这种做法确保了单人不具有足够的权限来破坏环境安全。
16.1.3 岗位轮换(job rotation)
岗位轮换可进一步控制和限制特权功能。
岗位轮换(有时称为职责轮换)意味着员工进行岗位轮换,或者至少将一些工作职责轮换到不同员工。
岗位轮换作为一种安全控制措施,可实现同行评审、减少欺诈并实现交叉培训。
交叉培训可减少环境对任何个体的依赖。
岗位轮换可同时起到威慑和检测的作用。
如果员工知道其他人将在某个时候接管他们的工作职责,他们就不太可能参与欺诈活动。
如果他们选择这样做,那么后来接管工作职责的人可能发现欺诈行为。
16.1.4 强制休假
许多组织要求员工强制休假一周或两周。
这种做法提供一种同行评审形式,有助于发现欺诈和串通行为。
此策略确保另一名员工至少有一周时间接管某个人的工作岗位。
如果员工参与欺诈,那么接管岗位的人可能会发现。
就像岗位轮换策略一样,强制休假可同时起到威慑和检测的作用。
哪怕其他人将在一两个星期时间内暂时接管某个人的岗位,这点通常足以检测到违规行为。
问题:一名会计雇员最近因参与贪污计划而被捕。
该员工将资金转入个人账户,然后每天在其他账户之间转移资金,以掩饰欺诈行为长达数月之久。
以下哪一项控制措施可能最有助于及早发现这种欺诈行为。(D)
A.职责分离
B.最小特权
C.纵深防御
D.强制休假
解析:
强制休假计划要求员工每年连续休假,并在此期间撒销其系统特权。
这有望挫败企图采取掩盖行动以隐藏欺诈的行为。
职责分离、最小特权和纵深防御都可能有助于防止欺诈,但不太可能加快对己经发生的欺诈的检测。
16.1.5 特权账户管理
特权账户管理确保员工没有超出所需权限,并且不会滥用这些权限。
特权操作是指需要特殊访问权限或提升权限的活动,以便执行许多管理和敏感作业任务。
这些任务示例包括创建新用户账户、路由表添加新路由、更改防火墙配置、访问系统日志及审计文件。
运用通用安全实践(如最小特权原则)可确保只有少数人拥有这些特权。
监控特权账户可确保拥有这些权限的用户不会滥用权限。
允许提升权限的账户通常指普通用户无法访问的,具有特殊和高级功能的特权实体。
如果被误用,这些提升后的权限可能对组织资产的保密性、完整性或可用性造成重大破坏。
因此,监控特权实体及其访问权限非常重要。
大多数情况下,这些提升后的权限仅限于管理员及某些系统操作员。
在此背景下,系统操作员是一种需要额外权限来完成特定工作的用户。
普通用户(或常规系统操作员)只需要最基本的权限来完成工作。
充当这些特权角色的员工通常是值得信赖的。
但是,有许多原因可让受信任的员工变为心怀不满的员工或充满恶意的内鬼。
改变受信任员工行为的原因可能非常简单,比如低于预期的奖金、负面的绩效评估、对另一名员工的个人怨恨。
但是,通过监视特权的使用情况,组织可预防员工滥用权限,并在受信任的员工滥用权限时检测到违规行为。
通常,所有管理员账户都具有可提升的权限,所以应该受到监控。
在不需要授予用户完全管理权限的情况下,也可以授予用户提升权限。
考虑到这一点,当用户具有某些提升权限时监视用户活动也非常重要。
需要监视的特权操作示例:
•访问审计日志
•更改系统时间
•配置接口
•管理用户账户
•控制系统重启
•控制通信路径
•备份和恢复系统
•运行脚本/任务自动化工具
•配置安全控制机制
•使用操作系统控制命令
•使用数据库恢复工具和日志文件
检测APT攻击:
监视提升权限的使用还可检测到高级持续性威胁(Advanced Persistent Threat, APT)攻击活动。
例如,美国国土安全部(DHS)和联邦调查局(FBI)发布了技术警报TA17-239A,
描述了2017年底针对能源、核能、水利、航空等一些关键制造业以及一些政府机构的APT活动。
该警报详述攻击者如何使用恶意钓鱼邮件或服务器漏洞来感染某个系统。
一旦攻陷某个系统,攻击者便会提升权限,然后开始执行许多常见的特权操作,包括:
•访问和删除日志。
•创建和操作账户(例如,在管理员组添加新账户)。
•控制通信路径(例如,打开端口3389以启用远程桌面协议或禁用主机防火墙)。
•运行各种脚本(包括PowerShell、批处理和JavaScript文件)。
•创建和调度任务(例如,在8小时后记录账户退出,进而模仿正常用户行为)。
监视常见的特权操作可在攻击前期检测到这些APT活动。
不然,如果攻击活动未被检测致,那么APT可在网络中潜伏多年。
许多自动化工具可监控这些特权活动。
当管理员或特权操作员执行其中一项活动时,自动化工具可记录这个事件并发出警报。
此外,访问审核审计可检测到这些特权的滥用。
16.1.6 管理信息生命周期
组织可定义数据分类,并根据数据分类确定保护数据的方法。
组织通常在安全策略中发布已定义的数据分类。
政府常用的数据分类包括绝密、秘密、机密和未分类。
民用的数据分类包括机密(或专有)、私有、敏感和公开。
安全控制需要在整个生命周期内对信息进行保护。
然而,没有统一的标准可以标识数据生命周期的每个阶段或时期。
有些人将数据生命周期简化为从摇篮到坟墓,从数据生成开始直至销毁结束。
数据生命周期不同阶段的术语:
•生成或捕获。
数据可由用户生成,例如用户新建文件时。
数据也可由系统生成,例如产生日志记录的监视系统。
数据也可被捕获,例如当用户从互联网下载文件并且流量通过边界防火墙时。
•分类(Classification)。
标记(或标签)数据可帮助员工轻松识别数据的价值。员工应该在数据生成后尽快标记数据。
设置壁纸和屏幕保护程序,清晰地显示系统处理数据的级别。
•存储(Storage)。
数据主要存储在磁盘上,员工应该定期备份有价值的数据。
在存储数据时,重要的是确保备份数据受到与分类对应的安全控制的保护。
这些安全控制包括:
1.设置合适权限,防止未经授权的泄露。
2.敏感数据应该采用加密手段进行保护。
3.敏感信息的备份保管在现场(on-site)的一个位置,副本保管在场外(off-site)的另一个位置。
4.物理安全方法可以保护备份免遭盗窃。
5.环境控制措施可以保护数据避免因环境污染(如热量和湿度)而造成数据丢失。
•使用(Usage)。
使用指数据在网络中使用或传输。
在数据使用期间,数据应该处于未加密形式。
应用开发人员需要采取措施,确保在用完后将所有敏感数据从内存中清除。
传输中的数据(通过网络传输)依据数据价值采取相应的保护,发送之前加密数据可提供这类保护。
•归档。
数据有时需要归档,从而遵守要求数据保留的法律或法规。
备份有价值的数据是一项基本的安全控制,确保即使无法访问原始数据也可以使用备份数据。
归档和备份数据通常保管在场外(off-site)。
在现场(on-site)存储过程期间,传输和存储这类数据时可提供相同级别的防护是非常重要的。
数据保护级别取决于数据分类及价值。
•销毁或清除。
当数据不再需要时,应以不可恢复的方式销毁。
技术人员和管理员在必要时可使用各种工具删除文件的所有可读元素。
这些工具通常把文件或磁盘空间重写为“1”和“0“,或使用其他方法来粉碎文件。
删除敏感数据时,许多组织要求员工毁坏磁盘,从而确保数据无法访问。
16.1.7 服务水平协议(SLA,Service level agreement)
服务水平协议是组织与外部实体(例如供应商)之间的协议。
SLA规定了性能预期,如果供应商无法满足这些预期,SLA通常包含处罚条款。
例如,组织可使用SLA来明确可用性指标,例如最大停机时间。
服务水平协议 (SLA) ,是服务提供商和客户之间的,并以正式的方式记录有关可用性、性能和其他参数的期望。
谅解备忘录(MOU),可能涵盖相同的项目,但不是正式的文件。
运营级别协议(OLA),位于内部服务组织之间,不涉及客户。
工作说明书(SOW),是描述要执行的工作的合同的附录。
服务水平协议(SLA) 包含有关如何提供服务、可接受的中断或停机时间以及可能存在的补救措施的详细信息在停电或其他问题的情况下。
应确保SLA包含适当的性能保证和惩罚,这些保证和惩罚将足以补偿她的公司出现的问题,同时激励服务提供商维持可靠的服务。
RPA,是机器人过程自动化,一种自动化技术。
NDA,是一项保密协议,是一份法律文件,用于帮助控制信息或数据被泄露或共享的风险。
MOU,是一份谅解备忘录,当两个组织想要一起工作以记录共同愿景或他们共同的目标时使用。
问题:
服务水平协议 (SLA) 通常不涉及以下哪一项?(A)
A. Confidentiality of customer information 客户信息的保密
B. Failover time 故障切换时间
C. Uptime 正常运行时间
D. Maximum consecutive downtime 最大连续停机时间
解析:SLA 通常不解决数据机密性问题。这些条款通常包含在保密协议 (NDA) 中。
•谅解备忘录(Memorandum Of Understanding, MOU)
MOU记录了两个实体一起努力来达成共同目标的意愿。
虽然MOU与SLA类似,但MOU不太正规,缺少处罚条款。
•互连安全协议(Interconnection Security Agreement, ISA)。
两方或多方之间计划传输敏感数据时,可使用ISA来明确连接的技术要求。
ISA提供了双方如何建立、维护和断开连接的相关信息,还确定了保护数据的最弱加密算法。
问题:一家提供记录管理服务的公司最近与一家医院签订了一份安全存储医疗记录的合同。
该医院是一家总部位于美国且受 HIPAA 保护的实体,这意味着它需要确保与其签约的组织能够满足安全实践要求。
两个组织应该签署什么类型的协议来满足这一要求?
A. NDA(Nondisclosure agreement)NDA保密协议
B. MOU(Memorandum of understanding)MOU谅解备忘录
C. BAA (Business associates agreement) 商业伙伴协议
D. SLA (Service-level agreement) SLA 服务水平协议
正确答案:C
解析:HIPAA 涵盖的实体必须与其每个合作伙伴签订商业伙伴协议 (BAA),以维护 PHI个人健康信息安全性和整体 HIPAA 合规性。
16.1.8 关注人员安全
1. 胁迫(duress)
当员工单独工作时,胁迫系统非常有用。
例如,一名警卫可能在下班后守卫办公楼。
如果一群人闯入大楼,该警卫可能无法独自阻止。
但是,警卫可使用胁迫系统发出警报。
简单胁迫系统只有一个发送遇险呼叫的按钮。
监控人员接收到遇险呼叫后,根据设定程序做出响应。
监控人员可向遇险呼叫的人拨打电话或发送短信。
在这个例子中,警卫通过确认情况来回应。
安全系统通常包含暗语或短语,员工使用暗语或暗号来确认情况是正常的,还是存在问题。
例如,表示一切正常的短语可能是“一切都很棒。
”如果一名警卫无意中激活了胁迫系统,而监控人员发出响应,那么警卫回复说:“一切都很棒“,然后再解释发生了什么。
不过,如果犯罪分子非法拘禁警卫,警卫可以跳过暗号,而是直接编造有关如何意外激活胁迫系统的故事。
监控人员便发现警卫跳过暗号,并给予救援。
2. 出差
培训员工在出差途中的安全实践,可提高其安全意识,预防安全事故。
这些安全实践包括诸如打开酒店房门前验证身份等简单技巧。
如果客房服务宣称提供免费食物,拨打前台电话来验证这是事实,还是骗局的一部分。
还应该警告员工在出差期间许多有关电子设备的风险(如智能手机、平板电脑和笔记本电脑)。
这些风险包括:
•敏感数据。
出差时设备不应存储任何敏感数据,防止设备丢失或被盗导致数据丢失。
如果员工在出差期间需要这些数据,应该使用强加密手段进行保护。
•恶意软件和监控设备。
在国外出差时计算机操作系统植入恶意软件及在计算机内部植入物理监听设备。
一直维护设备的物理控制,可以预防此类攻击。
安全专家建议员工不要携带个人设备,而是携带出差期间使用的临时设备。
旅行结束后,可清除这些设备数据,并重装系统。
•免费Wi-Fi。
攻击者可将Wi-Fi连接配置成中间人攻击(man-in-the-middle attack),迫使所有流量经过自己的系统。
用户应该具备一种创建自己互联网连接的方法,例如通过智能手机或Mi-Fi设备。
•虚拟专用网络(VPN)。
雇主应该访问VPN来创建安全连接。
这些安全连接可以访问企业内部网络中的资源,包括与工作相关的电子邮件。
3. 应急管理
应急管理计划及实践帮助组织在灾难发生后处理人员安全问题。
灾难可能是自然的(如飓风、龙卷风和地震)或人为的(如火灾、恐怖袭击或网络攻击造成大规模停电)。
组织将根据可能遇到的自然灾害的类型,制定不同的计划。
4. 安全培训与意识
实施安全培训与意识计划可以帮助员工了解胁迫系统、出差最佳实践、应急管理计划以及一般性安全和安保最佳实践。
16.2 安全配置资源
16.2.1 管理硬件和软件资产
硬件,指IT资源,如计算机、服务器、路由器、交换机及外围设备。
软件,指操作系统和应用程序。
组织通常执行日常资产清查来跟踪其硬件和软件。
1. 硬件库存
许多组织在整个设备生命周期中使用数据库和库存应用程序来实施资产清查,并跟踪硬件资产。
例如,条形码系统可打印条形码,并贴在硬件设备上。
条形码数据库包含硬件相关详细,如型号、序列号及位置。
购买硬件后,部署之前对其进行条形码编码。
员工定期使用条形码阅读器扫描所有条形码,验证组织是否仍然掌控着这些硬件。
使用射频识别(Radio Frequency Identification, RFID)标签,可将信息传输到RFID阅读器。
员工将RFID标签放置在设备上,然后用RFID阅读器来清点设备。
RFID标签及阅读器比条形码及条形码阅读器价格更昂贵。
但RFID方法可明显减少库存清查所需的时间。
在处理掉设备之前,员工会对其进行净化(sanitize)。
净化设备会删除设备上的所有数据,确保未经授权的人员无法访问到敏感信息。
检查表(checklist)包含对系统内各类介质的净化步骤。
净化对象包括系统内置硬盘、非易失性存储器,以及CD、DVD和USB闪存驱动器等可移动介质。
保存敏感数据的便携式介质也可作为资产进行管理。
例如,组织使用条形码标记便携式介质,并使用条形码库存系统定期完成库存清查。
这种做法便于定期清点保存敏感数据的介质。
2. 软件许可
组织会支付软件费用,并通常使用许可密钥(license key)来激活软件。
激活过程往往需要通过互联网连接许可服务器,防止使用盗版软件。
如果许可密钥泄露到外部,可能导致组织内使用的许可密钥失效。
监测软件许可合规来避免法律纠纷也非常重要。
例如,组织可能为软件产品的五个安装购买许可密钥,但只立即安装和激活了一个实例。
如果密钥被盗取,并安装在组织外的四个系统,则这些激活将成功。
当组织尝试在内部系统上安装这个应用程序时,激活将失败。
因此,任何类型的许可证密钥对组织都非常有价值,理应受到保护。
软件许可还指确保系统不安装未经授权的软件。
许多工具可远程检查系统,检测系统详情。
例如,微软System Center Configuration Manager(ConfigMgr或SCCM)是一种可以查询网络上所有系统的服务器产品。
ConfigMgr具有丰富的功能,包括识别已安装操作系统和已安装应用程序的功能。
这些功能可让它能够识别系统上是否运行未经授权的软件,并帮助组织确保符合软件许可规则。
注意:
ConfigMgr等工具会定期扩展其功能。
例如,ConfigMgr现在可连接到移动设备,包括运行Apple iOS和Android操作系统的设备。
除了识别操作系统和应用程序之外,ConfigMgr还可根据预定义的要求保证客户瑞处于健康状态,例如运行反病毒软件或配置特定的安全设置。
16.2.2 保护物理资产
物理资产范围远超IT硬件,包括所有物理资产,例如组织建筑及所含内容。
保护物理安全资产的方法包括:
护盾、路障、上锁的门、警卫、闭路电视监控系统(CCTV)系统等。
当组织规划建筑布局时,敏感的物理资产放置在建筑物中心是很常见的。
这种做法可以使组织实施更严格的物理安全控制。
例如,组织会将数据中心部署在靠近建筑物中心的位置。
如果数据中心靠近建筑物外墙,攻击者可能驾驶卡车破壁而入,然后盗取服务器。
类似地,建筑物通常有公共入口,任何人都可以进入。
但是,额外的物理安全控制可以限制对内部工作区的访问。
常见的访问控制方法:密码锁、人工陷阱、安全标记和警卫
16.2.3 管理虚拟资产
虚拟化技术节省大量成本。(减少了供暖、通风和空调(HVAC)、电力成本及、总体运营成本)
服务器:物理机托管虚拟机
软件:软件定义一切(Software-defined everything,SDx)指运用虚拟化计划来实现软件替换硬件的趋势。
一些SDx虚拟资产如下:
•虚拟机(Virtual Machine, VM):
虚拟机作为客户操作系统在物理服务器上运行。
物理服务器包括额外的处理能力、内存和磁盘存储,从而满足VM要求。
•虚拟桌面基础架构(Virtual Desktop Infrastructure, VDI):
虚拟桌面基础架构(VDI)有时称为虚拟桌面环境(VDE),将用户桌面作为虚拟机(VM)托管在物理服务器上。
用户可从几乎所有系统(包括移动设备)连接到服务器来访问桌面。
永久虚拟桌面为用户保留自定义桌面。
非持久性虚拟桌面对所有用户都是相同的。
如果用户更改非持久性虚拟桌面,则在用户注销后桌面将回滚到已知状态。
•软件定义网络(Software-Defined Network, SDN):
SDN将控制平面与数据平面(或转发平面)分离控制平面使用协议来决定发送流量的位置,而数据平面包含决定是否转发流量的规则。
SDN控制器并不使用传统的网络设备,如路由器和交换机,使用更简单的网络设备来处理流量路由,这些网络设备接受来自控制器的指令。
这种做法消除了一些传统网络协议有关的复杂性。
•虚拟存储区域网络(Virtual Storage Area Network, VSAN):
SAN(存储区域网络)是一种专用的高速网络,可托管多个存储设备。
SAN通常用于需要高速访问数据的服务器。
SAN通常需要专门的硬件设备,成本高。
VSAN通过虚拟化避开了这些复杂性。
虚拟化的主要软件组件是虚拟机管理程序(hypervisor)。
hypervisor管理虚拟机(VM)、虚拟数据存储和虚拟网络组件。
作为物理服务器上的附加软件层,虚拟机管理程序相当于一个额外的攻击面。
如果攻击者可威胁到物理主机,那么攻击者可能访问物理服务器上托管的所有虚拟系统。
管理员通常会格外小心,确保虚拟主机得到加固。
虽然虚拟化可简化许多IT概念,但重要的是记得许多相同的基本安全要求在虚拟化上仍然适用。
例如,每个VM仍然需要单独更新。更新主机系统并不会更新VM。
此外,组织应维护其虚拟资产的备份。
许多虚拟化工具都配备内置工具,用于创建虚拟系统的完整备份,并创建定期快照,实现相对简单的时间点恢复。
16.2.4 管理云资产
云资产包括组织使用云计算技术访问的所有资源。
云计算指可从几乎所有地方按需访问的计算资源,并且云计算资源具有高可用性和易于扩展性。
组织通常从组织外部租用云资源,但也可在组织内托管自有资源。
在组织外部托管云资源不受组织的直接控制,使得风险管理变得更困难。
一些云服务仅提供数据存储和访问。
数据存储在云中时,组织必须确保安全控制实施到位,防止对数据进行未授权的访问。
此外,组织应正式定义存储和处理云存储数据的要求。
例如,美国国防部(DoD)云计算安全要求指南(Cloud Computing Security Requirements Guide)定义了美国政府机构在评估云资产使用时应遵循的具体要求。
该文档使用六个独立的信息影响级别,以便识别出标记为“秘密”(Secret)级别及以下级别资产的计算要求。
根据云服务模式,资产责任级别有所不同。
资产责任包括维护资产,确保资产保持正常运行,并使系统和应用程序更新到最新补丁。
有些情况下,云服务供应商(CSP)负责这些维护步骤。
在其他情况下,消费者负责这些维护步骤。
•软件即服务(SaaS)。
软件即服务(SaaS)模型通常提供可通过Web浏览器访问的功能齐全的应用程序。
例如,Google Gmail就是一个SaaS应用程序。
CSP(本例中为Google)负责SaaS服务的所有维护。
用户不需要管理或控制任何云资产。
•平台即服务(PaaS)。
平台即服务(PaaS)模型为用户提供一个计算平台,包括硬件、操作系统和应用程序。
有些情况下,用户从CSP提供的选项列表中安装应用程序。
用户可在主机上管理自己的应用程序以及一些主机配置设置。
不过,CSP负责维护主机和底层云基础架构。
•基础架构即服务(IaaS)。
基础架构即服务(IaaS)模型为用户提供基本的计算资源。
这些资源包括服务器、存储,有些情况下还包括网络资源。
用户安装操作系统和应用程序,并对操作系统和应用程序实施所有必需的维护。
CSP维护云基础架构,保证用户可以访问租用的系统。
在评估公共服务时,IaaS和PaaS模型之间的区别并非总是非常明显。
不过,当采用云服务时,CSP所使用的标签并不重要,重要的是清楚地了解哪方负责执行各种维护和安全措施。
云部署模型也会影响云资产的责任分配。
可用的四种云模型是公有云、私有云、社区云及混合云。
•公有云模型
公有云模型是指可供任何用户租用或租赁的资产,资产由外部CSP托管。
服务水平协议可以有效地确保CSP在组织可接受服务水平上提供云服务。
•私有云部署模型
私有云部署模型适用于单个组织的云资产。组织可以使用自有资源创建和托管私有云。
如果这样的话,组织负责所有维护工作。但是,组织也可以从第三方租用资源供组织使用。
维护要求通常根据服务模型(SaaS、PaaS或IaaS)进行拆分。
•社区云部署模型
社区云部署模型为两个或更多组织提供云资产。资产可由一个或多个组织拥有和管理。
维护职责根据资产托管方和服务模型进行分配。
•混合云模型
混合云模型是指两个或更多云的组合。
与社区云模型类似,维护责任根据资产托管者和正在使用的服务模型进行分配。
16.2.5 介质管理
介质管理是指为保护介质及其存储数据而采取的步骤。
介质(泛指任何存储数据的设备)包括:
磁带、光学介质(如CD和DVD)、便携式USB驱动器、外部SATA(eSATA)驱动器、内部硬盘驱动器、固态驱动器和USB闪存驱动器。
许多便携式设备,例如智能手机,也属于这一分类,因为它们配备了存储数据的存储卡。
因为数据备份通常保存在磁带上,因此介质管理直接与磁带相关。
但是,介质管理不仅涵盖备份磁带,还包括任何存储数据的介质类型。
介质管理还包括所有硬拷贝数据的类型。
数据安全-当介质存储敏感信息时,应该将其存储在配备严格访问控制的安全场所,防止未经授权访问造成数据泄露。
环境安全-保管介质的场所应控制温度和湿度,防止因环境污染造成数据丢失。
访问控制-介质管理还包括技术控制措施,来限制计算机系统对设备的访问。
例如,许多组织使用技术控制措施,禁止使用USB驱动器,或在用户尝试使用时进行检测和记录。
有些情况下,成文的安全策略禁止使用USB闪存驱动器,并使用自动化方法检测和报告任何违规行为。
注意:
USB闪存驱动器的主要风险是恶意软件感染和数据盗取。
感染病毒的系统可以检测用户何时插入USB驱动器并感染USB驱动器。
当用户将被感朵的驱动器接入另一个系统时,病毒会尝试感染。
正确的介质管理直接解决保密性、完整性和可用性问题。
正确标记、处理和保管介质,可防止未经授权的泄露(保密性破坏)、未经授权的修改(完整性破坏)和未经授权的破坏(可用性破坏)。
控制USB闪存驱动器:
许多组织限制仅使用由组织采购和提供的特定品牌USB闪存驱动器。
这种做法允许组织保护驱动器上的数据,并确保驱动器不会无意中在系统之间传播恶意软件(malware)。
用户仍可享受USB闪存驱动器带来的好处,不过这种做法在不妨碍用户使用USB驱动器的情况下降低组织风险。
例如,金士顿数码销售具备多级内置保护的IronKey闪存驱动器。
多种身份验证机制保证仅有授权用户才可访问驱动器上的数据。
闪存驱动器内置基于硬件的256位AES加密来保护数据。
闪存驱动器上的主动反恶意软件可以防止恶意软件感染驱动器。
企业版闪存驱动器还包括其他管理方案,允许管理员远程管理设备。
例如,管理员可集中重置密码、激活审计及更新设备。
1. 磁带介质
组织通常将数据备份存储在磁带上,而磁带若受损将极易丢失数据。
作为最佳实践,组织至少保留两份数据备份。
(1)维护一份副本以备不时之需
(2)将第二份副本保存在异地的安全位置。
如果火灾等灾难破坏了主要位置,那么备用位置的数据仍然可用。
存储区域卫生情况可直接影响磁带介质的使用寿命和可用性。
磁场可作为消磁器,擦除或损坏磁带存储的数据,磁带不应暴露在磁场中(电梯、电机、打印机等设备产生磁场)。
以下是一些磁带介质管理的指南:
•除非需要使用,新介质应在原始密封包装中保管,保护其免受灰尘和污垢的污染。
•打开介质包装时,请务必小心,不要损坏介质,包括避免碰到尖锐物体、不扭曲或弯曲磁带介质。
•避免把磁带介质暴露在极端温度下;不要应靠近加热器、散热器、空调或其他极端温度源。
•请勿使用损坏的、暴露在超标尘垢内或跌撞过的介质。
•应通过温控车辆将介质从一个站点运输到另一个站点。
•应保护介质免受外界环境的影响;避免阳光、潮湿、高温和寒冷。介质应该在使用前放置24小时来适应环境。
•从备份设备到安全的场外存储设施,应保证介质的安全。在运输过程中,介质易遭受损坏和盗窃。
•根据介质存储数据的分类级别,应在整个生命周期内保证介质安全。
•应考虑对备份进行加密,防止在备份磁带丢失或被盗时出现数据泄露。
2. 移动设备
移动设备包括智能手机和平板电脑。这些设备配置了内部存储器或可移动存储卡,可容纳大量数据。
带有附件、联系人和日程信息的电子邮件也是数据。
此外,许多设备安装了阅读和操作不同类型文档的应用程序。
许多组织向用户发放移动设备或实施自选设备(Choose Your Own Device, CYOD)策略,允许员工在组织网络中使用一些移动设备。
虽然一些组织仍然支持自带设备(Bring Your Own device, BYOD)策略,允许员工使用任意类型的移动设备。
但事实证明BYOD策略极具挑战性,组织往往转而采用CYOD策略。
管理员使用移动设备管理(Mobile Device Management, MDM) 系统注册员工设备。
MDM系统可监视和管理设备,并确保这些设备能够保持更新。
组织通常在员工手机上启用一些常见控制措施:
1.加密- 如果手机丢失或被盗,加密可保护数据;
2.屏幕锁定- 可以减缓小偷解锁手机的进度;
3.全球定位系统(GPS)- 如果手机丢失或被盗,GPS会提供有关手机位置的信息。
4.远程擦除- 可将远程擦除信号发送到丢失设备,删除丢失设备上部分或全部数据。
当远程擦除成功时,许多设备会返回确认消息。
注意:擦除并不能提供万无一失的防护。
精明的盗贼为从商务智能手机获取数据,通常会立即取下SIM卡。
此外,他们使用类似于法拉第笼(Faraday cage)的屏蔽室,然后将SIM卡放入手机来荻取数据。
这些技术会阻止手机接收远程擦除信号。
如果未收到表示远程擦除成功的确认消息,则数据很可能已经泄露。
3. 介质管理生命周期
所有介质都有一个有益但有限的生命周期。
可重复使用的介质会受到平均故障时间(Mean Time To Failure, MTTF)的影响,其中,MTTF有时表示为可重复使用的次数或期望保存多少年。
例如,一些磁带的规格说明书注明其可在理想条件下重复使用多达250次或使用寿命长达30年。
不过,许多因素都会影响介质的使用寿命,并可能降低预期指标。
监控备份是否出现错误非常重要并将这点作为衡量环境中介质寿命的指南。
当磁带开始出现错误时,技术人员应对其进行替换。
一旦备份介质达到平均故障时间(MTTF),就应该将其销毁。
磁带存储数据的密级将决定介质销毁的方法。
在达到寿命时,一些组织首先对高密级的磁带进行消磁,然后存放起来,最后进行销毁。
磁带通常在散装粉碎机或焚烧炉中进行销毁。
第5章讨论了一些固态硬盘(SSD)的安全挑战。
确切地说,消磁不会删除SSD存储的数据,内置的擦除命令通常也不会清理整个硬盘。
因此,许多组织会销毁SSD,而不是试图从SSD上删除数据。
16.3 配置管理
配置管理有助于确保系统从安全一致的状态部署,并在整个生命周期内保持安全一致的状态。
基线和镜像通常用于系统部署。
16.3.1 基线
基线是指起点。在配置管理背录下,基线是指系统初始配置。
管理员通常在部署系统后修改基线,从而满足不同需求。
不过,当部署在配置安全基线的安全环境时,系统更可能保持安全。
如果组织有合适的变更管理计划,更是如此。
检查清单(checklist)创建基线,这些检查清单要求系统以某种方式部署或使用特定的配置。
手工基线易于出现人为错误,个人很容易遗漏某个步骤或失手错误配置某个系统。
脚本和自动化操作系统工具来实现基线,非常有效,并减少了发生错误的可能性。
例如,Microsoft操作系统自带的组策略。
管理员可配置一次组策略,然后自动将该组策略应用到域中的所有计算机。
16.3.2 使用镜像技术创建基线
许多组织使用映像来部署基线。
图16.2显示创建和部署基线镜像的整个流程的3个步骤。
(1)管理员首先在计算机上安装操作系统和所有需要的应用程序(图中标记为基线系统)。
然后,管理员配置系统使其相关安全设置及其他设置满足组织要求。
接着,员工执行全面测试,确保系统能够按照预期运行,之后进入下一个步骤。
(2)接下来,管理员使用映像软件捕获系统镜像,并将其存储在图中所示的服务器(标记为镜像服务器)上,
也可将镜像存储在外部硬盘驱动器、USB驱动器或DVD。
(3)随后,员工根据组织需要将镜像部署到具体系统。
这些系统通常需要额外配置来完成部署,例如为系统提供唯一名称。
但这些系统的整体配置与基线系统相同。
基线镜像可确保系统所需安全设置总能正确配置,从而提高系统的安全性。
此外,镜像基线还缩减了系统部署和维护所需的时间,降低了总体维护成本。
部署预先构建的镜像只需要耗费技术人员几分钟的时间。
此外,当用户系统损坏时,技术人员可在几分钟内重新部署系统镜像,而不是花费数小时对系统进行故障排除或尝试从头安装系统。
镜像通常与其他基线自动化方法相结合。
也就是说,管理员可为组织的所有台式计算机创建统一的系统镜像。
然后使用自动化方法为特定类型的计算机增加其他应用程序、功能或设置。
例如,可通过脚本或其他自动化工具为某个部门的计算机增加额外安全配置或应用程序。
组织通常会保护基线镜像,确保其不会被任意修改。
在最糟的情况下,恶意软件可植入系统镜像,然后部署到网络上的系统。
16.4 变更管理
在安全环境下部署系统是一个良好开端。
不过,让系统保持相同的安全级别也非常重要。
变更管理可减少因未经授权修改导致的意外中断。
变更管理的主要目标是保证变更不会导致意外中断。
变更管理流程确保相应人员在变更实施前对变更进行审核和批准,确保有人对变更进行测试和记录。
变更往往会产生造成中断的意外副作用。
管理员为解决某个问题对系统进行更改,但可能在不知不觉中导致其他系统出现问题。
请思考图16.3所示的场景。
Web服务器可允许互联网访问,同时它可以访问内部网络上的数据库。
管理员在防火墙1上配置适当的端口策略,允许Internet流量访问Web服务器;
同时,在防火墙2上配置相应端口策略,允许Web服务器访问数据库服务器。
未经授权变更可能直接影响CIA三元组中的A,即可用性。
不过,变更管理流程使得各方IT专家有机会在技术人员实施更改前审查提出的更改,考虑变更可能带来的意外副作用。
在生产环境实施变更前,变更管理流程使管理员有时间在受控环境中检查变更。
一些变更可能削弱或降低安全性。
例如,如果组织未采用有效的访问控制模型来授予用户访问权限,那么管理员可能无法跟上额外的访问请求。
沮丧的管理员可能决定将一组用户添加到网络管理员组。
用户现在获得所需的全部访问权限,提高他们使用网络的能力,于是不再为访问请求来打扰管理员。
但是,授予管理权限会直接违反最小特权原则,并严重削弱安全性。
16.4.1 安全影响分析
变更管理流程帮助员工执行安全影响分析。
在生产环境中实施变更之前,专家会评估变更,从而识别所有的安全影响。
变更管理控制提供一种流程,实现控制、记录、跟踪和审计所有系统变更。
这涵盖对系统任何方面的变更,包括硬件和软件配置。组织需要在所有系统的生命周期中实施变更管理流程。
变更管理流程的常见步骤如下:
(1)请求变更。
一旦识别出所需的变更,员工便会请求变更。
一些组织使用内部网站,允许员工通过网页提交变更请求。
该网站自动将变更请求记录在数据库,便于员工追踪变更。
该网站还允许所有员工查看变更请求的状态。
(2)审核变更。
组织内的专家会审核变更。审核变更的人员通常来自组织几个不同的领域。
在一些情况下,他们可能会快速完成审核,批准或拒绝变更。
在另一些情况下,经过大量测试后,变更可能需要经过正式的变更审核委员会批准。
(3)批准/拒绝变更。
依据审核结果,这些专家然后会批准或拒绝变更。
他们还在变更管理文档中记录答复。
例如,如果组织使用内部网站,则有人会将审核结果记录在网站数据库。
在一些情况下,变更审核委员可能需要创建回滚或退出计划。
回滚或退出计划确保如果变更引发故障员工可将系统恢复到原始状态。
(4)测试变更。
一旦批准更改,需要对变更进行测试,最好安排在非生产服务器。
测试帮助验证变更不会造成意外的问题。
(5)安排并实施变更。
按部就班地实施变更,以便对系统及用户造成的影响最小化。
可能需要在休班或非高峰时间安排变更实施。
(6)记录变更。
最后一步是记录变更,确保所有相关方知悉变更。
记录变更通常需要修改配置管理文档。
如果不相关的灾难要求管理员重建系统,则变更管理文档会提供有关变更的信息。
变更管理文档可以帮助管理员将系统回退到变更之前的状态。
实施紧急变更,仍需要记录变更。
例如,如果攻击或恶意软件感染导致一个或多个系统宕机,则管理员可能需要对系统或网络的配置进行变更,从而遏制安全事件。
这么做是确保变更审核委员可以审查变更,以便发现潜在问题。
此外,记录紧急变更可确保受影响的系统在需要重建时能够包含新的配置。
在执行更改管理流程时,会为系统的所有变更创建文档。
如果员工需要撤消变更,这些文档可以提供一系列信息。
如果员工需要在其他系统上实施相同的变更,则文档还提供变更需要遵循的路线图或流程。
变更管理控制是ISO通用标准中一些安全保障要求(Security Assurance Requirement, SAR)的强制性内容。
但是,许多没有ISO通用标准合规性要求的组织也实施了变更管理控制。
变更管理控制通过防止引发意外损失的未经授权变更,从而提高组织环境的安全性。
16.4.2 版本控制
版本控制通常指软件配置管理所使用的版本控制。
标签或编号系统在多台机器上或在单个台机器的不同时间点辨识不同的软件集和配置信息。
1.软件开发
例如,应用程序的第一个版本标记为1.0。
经历第一次较小的更新后,版本标记为1.1,在第一次重要更新后,版本标记为2.0。
这么做有助于追踪部署软件随时间的变更。
2.web开发
虽然大多数资深软件开发人员已认识到应用程序的版本控制和修订控制的重要性,但许多新的Web开发人员并不以为然。
这些Web开发人员已经学会一些建设出色网站的优秀技能,但并不总是认识到版本控制等基本原则的重要性。
如果不通过某种版本控制系统来控制变更,他们可能实施会极大地破坏网站的变更。
16.4.3 配置文档
配置文档明确了系统的当前配置。
明确了哪些人负责系统,明确了系统的目的,并列举了基线之后的所有变更。
•纸质版记录:几年前,许多组织使用纸质笔记本来记录服务器的这些信息,但是现在更多是将这些信息存储在文件或数据库。
•文件或数据库记录:配置文档存储在数据文件遇到的挑战是,系统中断期间是不可访问。
16.5 补丁管理和漏洞减少
补丁管理和漏洞管理过程协同工作,帮助保护组织防御新出现的威胁。
补丁管理,可确保系统已安装合适的补丁。
漏洞管理,帮助验证系统能否防御已知威胁的攻击。
16.5.1 系统管理
值得强调的是,补丁和漏洞管理不仅适用于工作站和服务器,也适用于运行操作系统的所有计算设备。
诸如路由器、交换机、防火墙、设备(如统一威胁管理设备)和打印机等网络基础设施系统,均包含某种类型的操作系统。
这些操作系统可能是基于思科的,基于微软的,基于Linux的。
嵌入式系统,指配备中央处理单元(CPU)、运行操作系统以及安装一个或多个执行单一或多个功能的应用程序的设备。
例如相机系统、智能电视、家用电器(诸如防盗警报系统、无线恒温器和冰箱)、汽车、医疗设备等。
这些设备有时被称为物联网(IoT,Internet of things)。
物联网设备也需要及时安装补丁!
例如,2016年底针对DNS服务器的大规模分布式拒绝服务攻击,阻止用户访问数十个知名网站,进而成功地使互联网近似瘫痪。
据报道,攻击者经常使用Mirai恶意软件控制物联网设备(如IP摄像头、婴儿监视器和打印机),并将其纳入僵尸网络。
数以于万计的设备向DNS服务器发送DNS查询请求,成功地使其负荷超载。
显然,这些设备安装补丁可防止这类攻击再次出现,但许多制造商、组织和业主并不会为物联网设备安装补丁。
更糟的是,许多供应商甚至都不会发布补丁。
最后,如果组织允许员工在企业网络中使用移动设备(如智能手机和平板电脑),则也应将这些设备纳入管理范畴。
16.5.2 补丁管理
补丁,是纠正程序缺陷及漏洞或提高现有软件性能的所有代码类型的总称。
软件可以是操作系统或应用程序。
补丁有时称为更新、快速修复(quick fix)和热补丁(hot fix)。
在安全方面,管理员主要关注修复系统漏洞的安全补丁。
实施补丁管理策略,防止安全事件发生!
虽然供应商经常编写和发布补丁,但是这些补丁只有安装之后才能起作用。
虽然事情看似简单,但实施起来困难,很多安全事件的产生仅仅是因为组织未实施补丁管理策略。
有效的补丁管理程序可以确保系统的当前补丁更新至最新。
有效的补丁管理计划包含常见步骤:
•评估补丁。
当供应商公布或发布补丁时,管理员会对补丁进行评估,确定其是否适用于自已维护的系统。
例如,DNS服务器的Unix系统上的漏洞补丁与Windows上运行DNS的服务器无关。
同样,如果Windows系统未安装某个功能,则不需要安装修复该功能的补丁。
•测试补丁。
管理员应尽可能在隔离的非生产系统上测试补丁,确定补丁是否导致任何不必要的副作用。
最糟糕的情况是安装补丁之后系统将无法再启动。
例如,补丁偶尔会引发系统无休止地重启循环。
系统启动后发生错误,并继续尝试重启,期望从错误中恢复。
如果单个系统测试出现上述结果,那么仅影响到单个系统。
但是,如果组织在测试之前将补丁安装到数于台计算机,那么可能产生灾难性后果。
•审批补丁。
管理员测试补丁,并确认补丁是安全的,接下来便批准补丁的部署。
通常变更管理流程会作为审批流程的一部分。
•部署补丁。
经过测试和审批,管理员可以着手部署补丁。许多组织使用自动化方法来部署补丁。
这些自动化方法可以是第三方产品或软件供应商提供的产品。
•验证补丁已完成部署。
部署补丁后,管理员会定期测试和审计系统,确保系统已保持更新状态。
许多部署工具都具备审计系统的功能。此外,许多漏洞评估工具可以检查系统是否安装合适的补丁。
周二补丁日和周三利用漏洞日:
微软在每月第二个周二定期发布补丁,通常称为“周二补丁日”(PatchTuesday)或周二更新日(UpdateTuesday)。
•规律性的补丁发布,允许管理员可以提前谋划,让其拥有足够的时间来测试和部署补丁。
许多与微软签订技术支持合同的组织都会在周二补丁日之前得到补丁通知。
•非常严重的漏洞,微软不会按照之前的时间惯例发布,而是早早地发布一些补丁。
攻击利用:
攻击者意识到许多组织可能不会立即修补系统。
一些攻击者使用逆向分析补丁来识别出潜在漏洞,然后构建漏洞利用的方法。
这些攻击通常在“周二补丁日之后的一天内开始,产生这一术语“周三漏洞利用日”。
可是,在供应商发布补丁之后的数周、数月甚至数年内,许多攻击仍发生在未修复的系统上。
换句话说,许多系统仍然没有打补丁,而攻击者在供应商发布补丁后的一天之后便开始利用这些漏洞。
例如,2017年5月WannaCry勒索软件攻击一天之内感染了超过230000个系统。
该攻击针对未安装2017年3月微软安全更新的系统。
16.5.3 漏洞管理
漏洞管理,指定期识别漏洞、评估漏洞并采取措施减轻漏洞相关的风险。
消除风险是不可能的。同样,也不可能消灭掉所有漏洞。
有效的漏洞管理计划,帮助组织定期评估漏洞,并修复代表着最大风险的漏洞。
漏洞管理计划的两个常见要素是日常漏洞扫描和定期漏洞评估。
1. 漏洞扫描
漏洞扫描器是测试系统和网络是否存在已知安全问题的软件工具。
攻击者使用漏洞扫描器来检测系统和网络的脆弱点,例如缺少补丁或弱密码。
在发现脆弱点后,攻击者会发动攻击来利用这些脆弱点。
许多组织的管理员也使用相同类型的漏洞扫描器来检测网络上的漏洞。
而管理员的目标是在攻击者发现之前检测到漏洞,并对其进行修复。
正如反病毒软件使用特征码文件来检测已知病毒,漏洞扫描程序配备了已知安全问题的数据库,依照这个数据库来扫描系统。
供应商会定期更新漏洞数据库,并向客户出售订阅更新。
如果漏洞扫描器未更新到最新,管理员将无法检测到最新的威胁。
这类似于反病毒软件如果没有最新的病毒特征库,便无法检测到最新的病毒。
Nessus是由Tenable Network Security管理的常见漏洞扫描器,它结合多种技术来检测各种漏洞。
Nessus分析从系统发出的数据包,确定系统的操作系统及有关系统的其他详细信息。
它使用端口扫描技术来检测系统的开放端口,并识别系统上可能运行的服务及协议。
一旦发现有关系统的基本情况,Nessus便跟进查询来测试系统是否存在已知漏洞,例如系统补丁是否更新至最新。
Nessus还可以发现网络上使用IP探测和ping扫描的潜在恶意系统。
重要的是要认识到漏洞扫描器不仅检查未打补丁的系统。
例如,如果系统正在运行数据库应用,那么扫描器可使用默认账户及默认口令来检查数据库。
同样,如果系统托管了网站,扫描器可以检查网站是否使用输入验证技术来防止不同类型的注入攻击,
例如SQL注入或跨站脚本。
在一些大型组织中,专设的安全团队使用可用工具来执行常规漏洞扫描。
在小型组织中,IT管理员或安全管理员将漏洞扫描作为其职责的一部分来执行扫描。
但请记住,如果负责部署补丁的人员还负责运行扫描来检查补丁,那么这种做法存在潜在的冲突。
如果有些事情阻止管理员部署补丁,管理员也可以跳过扫描,否则将检测到未打补丁的系统。
扫描器具备生成包括生成报告的功能,报告会显示发现的所有漏洞。
报告可以建议安装补丁,或修改特定配置或安全设置,从而提高或增加安全性。
显然,仅仅建议安装补丁并不能减少漏洞。管理员需要采取措施来安装补丁。
不过,可能存在这样做不可行或不可取的情况。
例如,如果修复低危安全问题的补丁破坏了系统的应用程序,管理员可能决定在开发人员提出变通方法之前不安装该补丁。
即使组织已解决此风险,漏洞扫描器也会定期报告该漏洞。
注意:
管理层可选择接受风险而不是减轻风险。
实施控制措施后仍然存在的风险就是剩余风险。
因剩余风险而产生的任何损失都是管理层的责任。
相反从不执行漏洞扫描的组织,其网络可能存在许多漏洞。
此外,这些漏洞仍将处于未知状态,管理层将无法决定哪些漏洞需要修复,哪些漏洞可以接受。
2. 漏洞评估
漏洞评估通常包含漏洞扫描的结果,但漏洞评估会做更多工作。
例如,年度漏洞评估可能会分析过去一年所有的漏洞扫描报告,从而确定组织是否正在修复漏洞。
如果所有漏洞扫描报告重复出现相同的漏洞,那么需要提出的逻辑问题是“为什么这个漏洞没有修复?”
可能是有正当理由,管理层选择接受风险,或者可能是漏洞扫描一直在执行,但从未采取措施来缓解已发现的漏洞。
漏洞评估通常作为风险分析或风险评估的一部分执行,识别系统在某个时间点的漏洞。
此外,漏洞评估可以参考其他区域来确定风险。
例如,漏洞评估可查看敏感信息在生命周期中如何标记、处理、存储和销毁,从而解决潜在问题。
16.5.4 常见的漏洞和风险
漏洞通常使用“通用漏洞和披露”(CVE)字典来标识。CVE字典提供了漏洞标识的标准规约。
在扫描特定漏洞时,补丁管理和漏洞管理工具通常使用CVE字典作为标准。
例如,WannaCry勒索软件利用了未修补的Windows系统漏洞,而微软发布Microsoft安全公告MS17-010来防止此类击。
这个漏洞被标识为CVE-2017-0143。
CVE漏洞数据库使公司更容易创建补丁管理工具和漏洞管理工具。
他们不必花费任何资源来管理漏洞的命名和定义,而可以专注于检查漏洞系统的方法。
1.在被记录为侵权行为前,可以接受的违规记录的数量又称作什么?(clipping level 限值水平)
解析:限值水平是一个阈值。一旦超过阈值,该活动就被认为是记录、调查或两者兼而有之的事件。
管理员可以设置操作参数,允许在用户被锁定之前接受一定次数的失败登录尝试;这是一种限值水平。
超过阈值后,用户可以被锁定五分钟或一整天。
限值水平(clipping level),设置普通用户的错误的基线,超过该阈值的违规行为将被记录,并对违规行为发生的原因进行分析。
2.可信恢复(trusted recovery),在系统崩溃或其他系统发生故障时确保安全性不受破坏。
3. 可信路径(trusted path)为特权用户功能提供可信接口,旨在提供一种方法来确保通过该路径的任何通信都不会被拦截或破坏。
例如,当用户在本地登录到系统时,重要的是可以通过从用户界面到访问控制子系统的路径安全地共享他的凭据。
然而,许多攻击旨在通过将输入重定向到可以拦截、披露或操纵的替代通道来专门攻击此类可信路径。
这种攻击的成功率随着特权级别的增加而增加,使得使用特权用户帐户的攻击非常危险。
4. 萨拉米技术(Salami techniques),场景:雇员通过从多个帐户划走少量的钱,存入资金到自己的银行账户。
5.容错对策:容错性,是指软件检测应用程序所运行的软件或硬件中发生的错误并从错误中恢复的能力,通常可以从系统的可靠性、可用性等方面来衡量。容错对策旨在对抗设计的可靠性。
16.1 应用安全运营概念
16.1.1 知其所需和最小特权
任何安全IT环境需要遵循的两个标准原则分别是知其所需和最小特权原则。
这两个原则通过限制对资产的访问来帮助保护有价值的资产。
知其所需的重点是权限和访问信息的能力,而最小特权原则侧重于特权。
1. 知其所需访问(need to know)
基于工作或业务需要被授予最小知悉范围和访问权限。
许可(clearance)不会自动授予用户对数据的访问权限。
2. 最小特权原则(Least privilege)
最小特权原则规定,主体仅被授予完成工作所需的特权,而不再被授予更多特权。
目标:限制用户和进程只访问必要的资源和工具来完成指定任务。
限制:可访问的资源、用户可以执行的操作。
在实施知其所需和最小特权原则时,员工需要考虑的附加概念:
•权利(Entitlement)
权利是指授予用户权限的数量,通常在首次分配账户时指定。
当创建用户账户时,管理员会为账户设置合适数量的资源,其中包括权限。
合理的用户分配流程遵循最小特权原则。
•聚合(Aggregation)
在最小特权的上下文中,聚合是指用户随时间收集的权限数量。
管理员应在用户调动到其他部门且不再需要先前分配的权限时撤消权限。
•信任传递(Transitive Trust)
两个安全域之间的信任关系,允许一个域(名为primary)的主体访问另一个域(名为training)的对象。
想象一下,存在一个名为training.cissp的子域。信任传递可将信任关系扩展到子域。
换句话说,primary域的用户可访问training域和training.cissp子域的对象。
如果信任关系不可传递,则primary域的用户无法访问子域的对象。
在最小特权原则下,检查这些信任关系非常重要,尤其是在不同组织之间创建时。
非传递信任遵循了最小特权原则,并一次只授予单个域的信任。
16.1.2 职责分离(separation of duties)
职责分离确保个体无法完全控制关键职能或系统。
将一个关键任务分成不同的部分,每个部分由不同的人来执行。
导致合谋!!
职责分离策略有助于减少欺诈,因为它迫使两人或多人之间串通来执行未经授权的活动。
Ex:程序员被限制更新和修改生产代码。
1. 特权分离
特权分离建立在最小特权原则的基础上,并将其应用到应用程序和流程。
特权分离策略需要使用细化的权限。
管理员为每类特权操作分配不同的权限。
仅授予具体进程执行特定功能所需的权限,而不是授予它们对系统无限制的访问权限。
正如最小特权原则可以同时应用到用户和服务账户一样,权限分离概念也可应用于用户和服务账户。
许多服务器应用程序具有支撑应用程序的基础服务,如前所述,这些服务必须在账户的上下文环境中运行,通常称为服务账户。
如今服务器应用程序通常拥有多个服务账户。
管理员应仅授予每个服务账户在应用程序中完成功能所需的权限。
这种做法遵循了特权分类的策略。
2. 任务分解(segregation of duties)
任务分解类似于职责分离策略,但结合了最小特权原则。
任务分解目标是确保个人未拥有过多的系统访问权限(进而可能引发利益冲突)。
当任务被适当分解时,没有任何一个员工可进行欺诈、犯错或掩盖。
它与职责分离类似,因为职责是分开的,也类似于最小特权原则,因为特权是有限的。
因为萨班斯-奥克斯利法案(SOX)特别强调任务分解策略,如果公司必须遵守2002年SOX,任务分解策略具有非常重要的意义。
除了SOX合规性要求,也可在任何IT环境中采用任务分解策略。
任务分解策略最常见的实施方式是确保安全工作任务与组织内的其他工作任务分离。
换句话说,负责审计、监控和审查安全的人员没有承担与审计、监控和审查目标相关的运营工作任务。
每当安全工作任务与其他运营工作任务结合时,个人便可使用安全权限来掩盖运营工作任务相关的活动。
图16.1是一个基本的任务分解控制矩阵,比较组织内不同角色及任务。
标有X的区域表示需要避免的潜在冲突。
例如,考虑应用程序员和安全管理员之间的潜在冲突。
开发人员可对应用程序进行未经授权修改,但安全管理员可通过审计或审查来检测到未经授权修改。
但是,如果一个人兼任两个岗位的工作任务(和特权),便可修改应用程序,然后掩饰修改来躲避检测。
理想情况下,个体永远不会分配到两个有利益冲突的角色。
但是,如果形势所迫,组织可以实施补偿性控制措施来降低风险。
3. 双人控制(two-person control)(通常称为双人制)
双人控制要求经过两个人批准后才能执行关键任务。
例如,银行保险箱通常要求两把钥匙。
银行员工掌管一把密钥,客户持有第二把密钥。
打开保险箱同时需要两把钥匙,银行员工在验证客户身份之后才允许客户访问保险箱。
在组织内使用双人控制可以实现同行评审,并减少串通和欺诈的可能性。
例如,组织可要求两人一起(例如首席财务官和首席执行官)批准关键业务的决策。
一些特权活动可配置成双人控制,从而这些特权活动需要两个管理员一起操作才能完成。
双重控制(two man rule),由于监督管理要求必须两人同时完成工作。<例如:银行大额交易,柜员操作需要主管授权>
双人规则(dual control),由于split knowledge导致一个人无法完成工作,必须两人。<例如:各记住一半密码>
知识分割(split knowledge)是将职责分离和双人控制的理解融入一个解决方案。
其基本思想是将执行操作所需的信息或特权分配给两个或更多个用户。
这种做法确保了单人不具有足够的权限来破坏环境安全。
16.1.3 岗位轮换(job rotation)
岗位轮换可进一步控制和限制特权功能。
岗位轮换(有时称为职责轮换)意味着员工进行岗位轮换,或者至少将一些工作职责轮换到不同员工。
岗位轮换作为一种安全控制措施,可实现同行评审、减少欺诈并实现交叉培训。
交叉培训可减少环境对任何个体的依赖。
岗位轮换可同时起到威慑和检测的作用。
如果员工知道其他人将在某个时候接管他们的工作职责,他们就不太可能参与欺诈活动。
如果他们选择这样做,那么后来接管工作职责的人可能发现欺诈行为。
16.1.4 强制休假
许多组织要求员工强制休假一周或两周。
这种做法提供一种同行评审形式,有助于发现欺诈和串通行为。
此策略确保另一名员工至少有一周时间接管某个人的工作岗位。
如果员工参与欺诈,那么接管岗位的人可能会发现。
就像岗位轮换策略一样,强制休假可同时起到威慑和检测的作用。
哪怕其他人将在一两个星期时间内暂时接管某个人的岗位,这点通常足以检测到违规行为。
问题:一名会计雇员最近因参与贪污计划而被捕。
该员工将资金转入个人账户,然后每天在其他账户之间转移资金,以掩饰欺诈行为长达数月之久。
以下哪一项控制措施可能最有助于及早发现这种欺诈行为。(D)
A.职责分离
B.最小特权
C.纵深防御
D.强制休假
解析:
强制休假计划要求员工每年连续休假,并在此期间撒销其系统特权。
这有望挫败企图采取掩盖行动以隐藏欺诈的行为。
职责分离、最小特权和纵深防御都可能有助于防止欺诈,但不太可能加快对己经发生的欺诈的检测。
16.1.5 特权账户管理
特权账户管理确保员工没有超出所需权限,并且不会滥用这些权限。
特权操作是指需要特殊访问权限或提升权限的活动,以便执行许多管理和敏感作业任务。
这些任务示例包括创建新用户账户、路由表添加新路由、更改防火墙配置、访问系统日志及审计文件。
运用通用安全实践(如最小特权原则)可确保只有少数人拥有这些特权。
监控特权账户可确保拥有这些权限的用户不会滥用权限。
允许提升权限的账户通常指普通用户无法访问的,具有特殊和高级功能的特权实体。
如果被误用,这些提升后的权限可能对组织资产的保密性、完整性或可用性造成重大破坏。
因此,监控特权实体及其访问权限非常重要。
大多数情况下,这些提升后的权限仅限于管理员及某些系统操作员。
在此背景下,系统操作员是一种需要额外权限来完成特定工作的用户。
普通用户(或常规系统操作员)只需要最基本的权限来完成工作。
充当这些特权角色的员工通常是值得信赖的。
但是,有许多原因可让受信任的员工变为心怀不满的员工或充满恶意的内鬼。
改变受信任员工行为的原因可能非常简单,比如低于预期的奖金、负面的绩效评估、对另一名员工的个人怨恨。
但是,通过监视特权的使用情况,组织可预防员工滥用权限,并在受信任的员工滥用权限时检测到违规行为。
通常,所有管理员账户都具有可提升的权限,所以应该受到监控。
在不需要授予用户完全管理权限的情况下,也可以授予用户提升权限。
考虑到这一点,当用户具有某些提升权限时监视用户活动也非常重要。
需要监视的特权操作示例:
•访问审计日志
•更改系统时间
•配置接口
•管理用户账户
•控制系统重启
•控制通信路径
•备份和恢复系统
•运行脚本/任务自动化工具
•配置安全控制机制
•使用操作系统控制命令
•使用数据库恢复工具和日志文件
检测APT攻击:
监视提升权限的使用还可检测到高级持续性威胁(Advanced Persistent Threat, APT)攻击活动。
例如,美国国土安全部(DHS)和联邦调查局(FBI)发布了技术警报TA17-239A,
描述了2017年底针对能源、核能、水利、航空等一些关键制造业以及一些政府机构的APT活动。
该警报详述攻击者如何使用恶意钓鱼邮件或服务器漏洞来感染某个系统。
一旦攻陷某个系统,攻击者便会提升权限,然后开始执行许多常见的特权操作,包括:
•访问和删除日志。
•创建和操作账户(例如,在管理员组添加新账户)。
•控制通信路径(例如,打开端口3389以启用远程桌面协议或禁用主机防火墙)。
•运行各种脚本(包括PowerShell、批处理和JavaScript文件)。
•创建和调度任务(例如,在8小时后记录账户退出,进而模仿正常用户行为)。
监视常见的特权操作可在攻击前期检测到这些APT活动。
不然,如果攻击活动未被检测致,那么APT可在网络中潜伏多年。
许多自动化工具可监控这些特权活动。
当管理员或特权操作员执行其中一项活动时,自动化工具可记录这个事件并发出警报。
此外,访问审核审计可检测到这些特权的滥用。
16.1.6 管理信息生命周期
组织可定义数据分类,并根据数据分类确定保护数据的方法。
组织通常在安全策略中发布已定义的数据分类。
政府常用的数据分类包括绝密、秘密、机密和未分类。
民用的数据分类包括机密(或专有)、私有、敏感和公开。
安全控制需要在整个生命周期内对信息进行保护。
然而,没有统一的标准可以标识数据生命周期的每个阶段或时期。
有些人将数据生命周期简化为从摇篮到坟墓,从数据生成开始直至销毁结束。
数据生命周期不同阶段的术语:
•生成或捕获。
数据可由用户生成,例如用户新建文件时。
数据也可由系统生成,例如产生日志记录的监视系统。
数据也可被捕获,例如当用户从互联网下载文件并且流量通过边界防火墙时。
•分类(Classification)。
标记(或标签)数据可帮助员工轻松识别数据的价值。员工应该在数据生成后尽快标记数据。
设置壁纸和屏幕保护程序,清晰地显示系统处理数据的级别。
•存储(Storage)。
数据主要存储在磁盘上,员工应该定期备份有价值的数据。
在存储数据时,重要的是确保备份数据受到与分类对应的安全控制的保护。
这些安全控制包括:
1.设置合适权限,防止未经授权的泄露。
2.敏感数据应该采用加密手段进行保护。
3.敏感信息的备份保管在现场(on-site)的一个位置,副本保管在场外(off-site)的另一个位置。
4.物理安全方法可以保护备份免遭盗窃。
5.环境控制措施可以保护数据避免因环境污染(如热量和湿度)而造成数据丢失。
•使用(Usage)。
使用指数据在网络中使用或传输。
在数据使用期间,数据应该处于未加密形式。
应用开发人员需要采取措施,确保在用完后将所有敏感数据从内存中清除。
传输中的数据(通过网络传输)依据数据价值采取相应的保护,发送之前加密数据可提供这类保护。
•归档。
数据有时需要归档,从而遵守要求数据保留的法律或法规。
备份有价值的数据是一项基本的安全控制,确保即使无法访问原始数据也可以使用备份数据。
归档和备份数据通常保管在场外(off-site)。
在现场(on-site)存储过程期间,传输和存储这类数据时可提供相同级别的防护是非常重要的。
数据保护级别取决于数据分类及价值。
•销毁或清除。
当数据不再需要时,应以不可恢复的方式销毁。
技术人员和管理员在必要时可使用各种工具删除文件的所有可读元素。
这些工具通常把文件或磁盘空间重写为“1”和“0“,或使用其他方法来粉碎文件。
删除敏感数据时,许多组织要求员工毁坏磁盘,从而确保数据无法访问。
16.1.7 服务水平协议(SLA,Service level agreement)
服务水平协议是组织与外部实体(例如供应商)之间的协议。
SLA规定了性能预期,如果供应商无法满足这些预期,SLA通常包含处罚条款。
例如,组织可使用SLA来明确可用性指标,例如最大停机时间。
服务水平协议 (SLA) ,是服务提供商和客户之间的,并以正式的方式记录有关可用性、性能和其他参数的期望。
谅解备忘录(MOU),可能涵盖相同的项目,但不是正式的文件。
运营级别协议(OLA),位于内部服务组织之间,不涉及客户。
工作说明书(SOW),是描述要执行的工作的合同的附录。
服务水平协议(SLA) 包含有关如何提供服务、可接受的中断或停机时间以及可能存在的补救措施的详细信息在停电或其他问题的情况下。
应确保SLA包含适当的性能保证和惩罚,这些保证和惩罚将足以补偿她的公司出现的问题,同时激励服务提供商维持可靠的服务。
RPA,是机器人过程自动化,一种自动化技术。
NDA,是一项保密协议,是一份法律文件,用于帮助控制信息或数据被泄露或共享的风险。
MOU,是一份谅解备忘录,当两个组织想要一起工作以记录共同愿景或他们共同的目标时使用。
问题:
服务水平协议 (SLA) 通常不涉及以下哪一项?(A)
A. Confidentiality of customer information 客户信息的保密
B. Failover time 故障切换时间
C. Uptime 正常运行时间
D. Maximum consecutive downtime 最大连续停机时间
解析:SLA 通常不解决数据机密性问题。这些条款通常包含在保密协议 (NDA) 中。
•谅解备忘录(Memorandum Of Understanding, MOU)
MOU记录了两个实体一起努力来达成共同目标的意愿。
虽然MOU与SLA类似,但MOU不太正规,缺少处罚条款。
•互连安全协议(Interconnection Security Agreement, ISA)。
两方或多方之间计划传输敏感数据时,可使用ISA来明确连接的技术要求。
ISA提供了双方如何建立、维护和断开连接的相关信息,还确定了保护数据的最弱加密算法。
问题:一家提供记录管理服务的公司最近与一家医院签订了一份安全存储医疗记录的合同。
该医院是一家总部位于美国且受 HIPAA 保护的实体,这意味着它需要确保与其签约的组织能够满足安全实践要求。
两个组织应该签署什么类型的协议来满足这一要求?
A. NDA(Nondisclosure agreement)NDA保密协议
B. MOU(Memorandum of understanding)MOU谅解备忘录
C. BAA (Business associates agreement) 商业伙伴协议
D. SLA (Service-level agreement) SLA 服务水平协议
正确答案:C
解析:HIPAA 涵盖的实体必须与其每个合作伙伴签订商业伙伴协议 (BAA),以维护 PHI个人健康信息安全性和整体 HIPAA 合规性。
16.1.8 关注人员安全
1. 胁迫(duress)
当员工单独工作时,胁迫系统非常有用。
例如,一名警卫可能在下班后守卫办公楼。
如果一群人闯入大楼,该警卫可能无法独自阻止。
但是,警卫可使用胁迫系统发出警报。
简单胁迫系统只有一个发送遇险呼叫的按钮。
监控人员接收到遇险呼叫后,根据设定程序做出响应。
监控人员可向遇险呼叫的人拨打电话或发送短信。
在这个例子中,警卫通过确认情况来回应。
安全系统通常包含暗语或短语,员工使用暗语或暗号来确认情况是正常的,还是存在问题。
例如,表示一切正常的短语可能是“一切都很棒。
”如果一名警卫无意中激活了胁迫系统,而监控人员发出响应,那么警卫回复说:“一切都很棒“,然后再解释发生了什么。
不过,如果犯罪分子非法拘禁警卫,警卫可以跳过暗号,而是直接编造有关如何意外激活胁迫系统的故事。
监控人员便发现警卫跳过暗号,并给予救援。
2. 出差
培训员工在出差途中的安全实践,可提高其安全意识,预防安全事故。
这些安全实践包括诸如打开酒店房门前验证身份等简单技巧。
如果客房服务宣称提供免费食物,拨打前台电话来验证这是事实,还是骗局的一部分。
还应该警告员工在出差期间许多有关电子设备的风险(如智能手机、平板电脑和笔记本电脑)。
这些风险包括:
•敏感数据。
出差时设备不应存储任何敏感数据,防止设备丢失或被盗导致数据丢失。
如果员工在出差期间需要这些数据,应该使用强加密手段进行保护。
•恶意软件和监控设备。
在国外出差时计算机操作系统植入恶意软件及在计算机内部植入物理监听设备。
一直维护设备的物理控制,可以预防此类攻击。
安全专家建议员工不要携带个人设备,而是携带出差期间使用的临时设备。
旅行结束后,可清除这些设备数据,并重装系统。
•免费Wi-Fi。
攻击者可将Wi-Fi连接配置成中间人攻击(man-in-the-middle attack),迫使所有流量经过自己的系统。
用户应该具备一种创建自己互联网连接的方法,例如通过智能手机或Mi-Fi设备。
•虚拟专用网络(VPN)。
雇主应该访问VPN来创建安全连接。
这些安全连接可以访问企业内部网络中的资源,包括与工作相关的电子邮件。
3. 应急管理
应急管理计划及实践帮助组织在灾难发生后处理人员安全问题。
灾难可能是自然的(如飓风、龙卷风和地震)或人为的(如火灾、恐怖袭击或网络攻击造成大规模停电)。
组织将根据可能遇到的自然灾害的类型,制定不同的计划。
4. 安全培训与意识
实施安全培训与意识计划可以帮助员工了解胁迫系统、出差最佳实践、应急管理计划以及一般性安全和安保最佳实践。
16.2 安全配置资源
16.2.1 管理硬件和软件资产
硬件,指IT资源,如计算机、服务器、路由器、交换机及外围设备。
软件,指操作系统和应用程序。
组织通常执行日常资产清查来跟踪其硬件和软件。
1. 硬件库存
许多组织在整个设备生命周期中使用数据库和库存应用程序来实施资产清查,并跟踪硬件资产。
例如,条形码系统可打印条形码,并贴在硬件设备上。
条形码数据库包含硬件相关详细,如型号、序列号及位置。
购买硬件后,部署之前对其进行条形码编码。
员工定期使用条形码阅读器扫描所有条形码,验证组织是否仍然掌控着这些硬件。
使用射频识别(Radio Frequency Identification, RFID)标签,可将信息传输到RFID阅读器。
员工将RFID标签放置在设备上,然后用RFID阅读器来清点设备。
RFID标签及阅读器比条形码及条形码阅读器价格更昂贵。
但RFID方法可明显减少库存清查所需的时间。
在处理掉设备之前,员工会对其进行净化(sanitize)。
净化设备会删除设备上的所有数据,确保未经授权的人员无法访问到敏感信息。
检查表(checklist)包含对系统内各类介质的净化步骤。
净化对象包括系统内置硬盘、非易失性存储器,以及CD、DVD和USB闪存驱动器等可移动介质。
保存敏感数据的便携式介质也可作为资产进行管理。
例如,组织使用条形码标记便携式介质,并使用条形码库存系统定期完成库存清查。
这种做法便于定期清点保存敏感数据的介质。
2. 软件许可
组织会支付软件费用,并通常使用许可密钥(license key)来激活软件。
激活过程往往需要通过互联网连接许可服务器,防止使用盗版软件。
如果许可密钥泄露到外部,可能导致组织内使用的许可密钥失效。
监测软件许可合规来避免法律纠纷也非常重要。
例如,组织可能为软件产品的五个安装购买许可密钥,但只立即安装和激活了一个实例。
如果密钥被盗取,并安装在组织外的四个系统,则这些激活将成功。
当组织尝试在内部系统上安装这个应用程序时,激活将失败。
因此,任何类型的许可证密钥对组织都非常有价值,理应受到保护。
软件许可还指确保系统不安装未经授权的软件。
许多工具可远程检查系统,检测系统详情。
例如,微软System Center Configuration Manager(ConfigMgr或SCCM)是一种可以查询网络上所有系统的服务器产品。
ConfigMgr具有丰富的功能,包括识别已安装操作系统和已安装应用程序的功能。
这些功能可让它能够识别系统上是否运行未经授权的软件,并帮助组织确保符合软件许可规则。
注意:
ConfigMgr等工具会定期扩展其功能。
例如,ConfigMgr现在可连接到移动设备,包括运行Apple iOS和Android操作系统的设备。
除了识别操作系统和应用程序之外,ConfigMgr还可根据预定义的要求保证客户瑞处于健康状态,例如运行反病毒软件或配置特定的安全设置。
16.2.2 保护物理资产
物理资产范围远超IT硬件,包括所有物理资产,例如组织建筑及所含内容。
保护物理安全资产的方法包括:
护盾、路障、上锁的门、警卫、闭路电视监控系统(CCTV)系统等。
当组织规划建筑布局时,敏感的物理资产放置在建筑物中心是很常见的。
这种做法可以使组织实施更严格的物理安全控制。
例如,组织会将数据中心部署在靠近建筑物中心的位置。
如果数据中心靠近建筑物外墙,攻击者可能驾驶卡车破壁而入,然后盗取服务器。
类似地,建筑物通常有公共入口,任何人都可以进入。
但是,额外的物理安全控制可以限制对内部工作区的访问。
常见的访问控制方法:密码锁、人工陷阱、安全标记和警卫
16.2.3 管理虚拟资产
虚拟化技术节省大量成本。(减少了供暖、通风和空调(HVAC)、电力成本及、总体运营成本)
服务器:物理机托管虚拟机
软件:软件定义一切(Software-defined everything,SDx)指运用虚拟化计划来实现软件替换硬件的趋势。
一些SDx虚拟资产如下:
•虚拟机(Virtual Machine, VM):
虚拟机作为客户操作系统在物理服务器上运行。
物理服务器包括额外的处理能力、内存和磁盘存储,从而满足VM要求。
•虚拟桌面基础架构(Virtual Desktop Infrastructure, VDI):
虚拟桌面基础架构(VDI)有时称为虚拟桌面环境(VDE),将用户桌面作为虚拟机(VM)托管在物理服务器上。
用户可从几乎所有系统(包括移动设备)连接到服务器来访问桌面。
永久虚拟桌面为用户保留自定义桌面。
非持久性虚拟桌面对所有用户都是相同的。
如果用户更改非持久性虚拟桌面,则在用户注销后桌面将回滚到已知状态。
•软件定义网络(Software-Defined Network, SDN):
SDN将控制平面与数据平面(或转发平面)分离控制平面使用协议来决定发送流量的位置,而数据平面包含决定是否转发流量的规则。
SDN控制器并不使用传统的网络设备,如路由器和交换机,使用更简单的网络设备来处理流量路由,这些网络设备接受来自控制器的指令。
这种做法消除了一些传统网络协议有关的复杂性。
•虚拟存储区域网络(Virtual Storage Area Network, VSAN):
SAN(存储区域网络)是一种专用的高速网络,可托管多个存储设备。
SAN通常用于需要高速访问数据的服务器。
SAN通常需要专门的硬件设备,成本高。
VSAN通过虚拟化避开了这些复杂性。
虚拟化的主要软件组件是虚拟机管理程序(hypervisor)。
hypervisor管理虚拟机(VM)、虚拟数据存储和虚拟网络组件。
作为物理服务器上的附加软件层,虚拟机管理程序相当于一个额外的攻击面。
如果攻击者可威胁到物理主机,那么攻击者可能访问物理服务器上托管的所有虚拟系统。
管理员通常会格外小心,确保虚拟主机得到加固。
虽然虚拟化可简化许多IT概念,但重要的是记得许多相同的基本安全要求在虚拟化上仍然适用。
例如,每个VM仍然需要单独更新。更新主机系统并不会更新VM。
此外,组织应维护其虚拟资产的备份。
许多虚拟化工具都配备内置工具,用于创建虚拟系统的完整备份,并创建定期快照,实现相对简单的时间点恢复。
16.2.4 管理云资产
云资产包括组织使用云计算技术访问的所有资源。
云计算指可从几乎所有地方按需访问的计算资源,并且云计算资源具有高可用性和易于扩展性。
组织通常从组织外部租用云资源,但也可在组织内托管自有资源。
在组织外部托管云资源不受组织的直接控制,使得风险管理变得更困难。
一些云服务仅提供数据存储和访问。
数据存储在云中时,组织必须确保安全控制实施到位,防止对数据进行未授权的访问。
此外,组织应正式定义存储和处理云存储数据的要求。
例如,美国国防部(DoD)云计算安全要求指南(Cloud Computing Security Requirements Guide)定义了美国政府机构在评估云资产使用时应遵循的具体要求。
该文档使用六个独立的信息影响级别,以便识别出标记为“秘密”(Secret)级别及以下级别资产的计算要求。
根据云服务模式,资产责任级别有所不同。
资产责任包括维护资产,确保资产保持正常运行,并使系统和应用程序更新到最新补丁。
有些情况下,云服务供应商(CSP)负责这些维护步骤。
在其他情况下,消费者负责这些维护步骤。
•软件即服务(SaaS)。
软件即服务(SaaS)模型通常提供可通过Web浏览器访问的功能齐全的应用程序。
例如,Google Gmail就是一个SaaS应用程序。
CSP(本例中为Google)负责SaaS服务的所有维护。
用户不需要管理或控制任何云资产。
•平台即服务(PaaS)。
平台即服务(PaaS)模型为用户提供一个计算平台,包括硬件、操作系统和应用程序。
有些情况下,用户从CSP提供的选项列表中安装应用程序。
用户可在主机上管理自己的应用程序以及一些主机配置设置。
不过,CSP负责维护主机和底层云基础架构。
•基础架构即服务(IaaS)。
基础架构即服务(IaaS)模型为用户提供基本的计算资源。
这些资源包括服务器、存储,有些情况下还包括网络资源。
用户安装操作系统和应用程序,并对操作系统和应用程序实施所有必需的维护。
CSP维护云基础架构,保证用户可以访问租用的系统。
在评估公共服务时,IaaS和PaaS模型之间的区别并非总是非常明显。
不过,当采用云服务时,CSP所使用的标签并不重要,重要的是清楚地了解哪方负责执行各种维护和安全措施。
云部署模型也会影响云资产的责任分配。
可用的四种云模型是公有云、私有云、社区云及混合云。
•公有云模型
公有云模型是指可供任何用户租用或租赁的资产,资产由外部CSP托管。
服务水平协议可以有效地确保CSP在组织可接受服务水平上提供云服务。
•私有云部署模型
私有云部署模型适用于单个组织的云资产。组织可以使用自有资源创建和托管私有云。
如果这样的话,组织负责所有维护工作。但是,组织也可以从第三方租用资源供组织使用。
维护要求通常根据服务模型(SaaS、PaaS或IaaS)进行拆分。
•社区云部署模型
社区云部署模型为两个或更多组织提供云资产。资产可由一个或多个组织拥有和管理。
维护职责根据资产托管方和服务模型进行分配。
•混合云模型
混合云模型是指两个或更多云的组合。
与社区云模型类似,维护责任根据资产托管者和正在使用的服务模型进行分配。
16.2.5 介质管理
介质管理是指为保护介质及其存储数据而采取的步骤。
介质(泛指任何存储数据的设备)包括:
磁带、光学介质(如CD和DVD)、便携式USB驱动器、外部SATA(eSATA)驱动器、内部硬盘驱动器、固态驱动器和USB闪存驱动器。
许多便携式设备,例如智能手机,也属于这一分类,因为它们配备了存储数据的存储卡。
因为数据备份通常保存在磁带上,因此介质管理直接与磁带相关。
但是,介质管理不仅涵盖备份磁带,还包括任何存储数据的介质类型。
介质管理还包括所有硬拷贝数据的类型。
数据安全-当介质存储敏感信息时,应该将其存储在配备严格访问控制的安全场所,防止未经授权访问造成数据泄露。
环境安全-保管介质的场所应控制温度和湿度,防止因环境污染造成数据丢失。
访问控制-介质管理还包括技术控制措施,来限制计算机系统对设备的访问。
例如,许多组织使用技术控制措施,禁止使用USB驱动器,或在用户尝试使用时进行检测和记录。
有些情况下,成文的安全策略禁止使用USB闪存驱动器,并使用自动化方法检测和报告任何违规行为。
注意:
USB闪存驱动器的主要风险是恶意软件感染和数据盗取。
感染病毒的系统可以检测用户何时插入USB驱动器并感染USB驱动器。
当用户将被感朵的驱动器接入另一个系统时,病毒会尝试感染。
正确的介质管理直接解决保密性、完整性和可用性问题。
正确标记、处理和保管介质,可防止未经授权的泄露(保密性破坏)、未经授权的修改(完整性破坏)和未经授权的破坏(可用性破坏)。
控制USB闪存驱动器:
许多组织限制仅使用由组织采购和提供的特定品牌USB闪存驱动器。
这种做法允许组织保护驱动器上的数据,并确保驱动器不会无意中在系统之间传播恶意软件(malware)。
用户仍可享受USB闪存驱动器带来的好处,不过这种做法在不妨碍用户使用USB驱动器的情况下降低组织风险。
例如,金士顿数码销售具备多级内置保护的IronKey闪存驱动器。
多种身份验证机制保证仅有授权用户才可访问驱动器上的数据。
闪存驱动器内置基于硬件的256位AES加密来保护数据。
闪存驱动器上的主动反恶意软件可以防止恶意软件感染驱动器。
企业版闪存驱动器还包括其他管理方案,允许管理员远程管理设备。
例如,管理员可集中重置密码、激活审计及更新设备。
1. 磁带介质
组织通常将数据备份存储在磁带上,而磁带若受损将极易丢失数据。
作为最佳实践,组织至少保留两份数据备份。
(1)维护一份副本以备不时之需
(2)将第二份副本保存在异地的安全位置。
如果火灾等灾难破坏了主要位置,那么备用位置的数据仍然可用。
存储区域卫生情况可直接影响磁带介质的使用寿命和可用性。
磁场可作为消磁器,擦除或损坏磁带存储的数据,磁带不应暴露在磁场中(电梯、电机、打印机等设备产生磁场)。
以下是一些磁带介质管理的指南:
•除非需要使用,新介质应在原始密封包装中保管,保护其免受灰尘和污垢的污染。
•打开介质包装时,请务必小心,不要损坏介质,包括避免碰到尖锐物体、不扭曲或弯曲磁带介质。
•避免把磁带介质暴露在极端温度下;不要应靠近加热器、散热器、空调或其他极端温度源。
•请勿使用损坏的、暴露在超标尘垢内或跌撞过的介质。
•应通过温控车辆将介质从一个站点运输到另一个站点。
•应保护介质免受外界环境的影响;避免阳光、潮湿、高温和寒冷。介质应该在使用前放置24小时来适应环境。
•从备份设备到安全的场外存储设施,应保证介质的安全。在运输过程中,介质易遭受损坏和盗窃。
•根据介质存储数据的分类级别,应在整个生命周期内保证介质安全。
•应考虑对备份进行加密,防止在备份磁带丢失或被盗时出现数据泄露。
2. 移动设备
移动设备包括智能手机和平板电脑。这些设备配置了内部存储器或可移动存储卡,可容纳大量数据。
带有附件、联系人和日程信息的电子邮件也是数据。
此外,许多设备安装了阅读和操作不同类型文档的应用程序。
许多组织向用户发放移动设备或实施自选设备(Choose Your Own Device, CYOD)策略,允许员工在组织网络中使用一些移动设备。
虽然一些组织仍然支持自带设备(Bring Your Own device, BYOD)策略,允许员工使用任意类型的移动设备。
但事实证明BYOD策略极具挑战性,组织往往转而采用CYOD策略。
管理员使用移动设备管理(Mobile Device Management, MDM) 系统注册员工设备。
MDM系统可监视和管理设备,并确保这些设备能够保持更新。
组织通常在员工手机上启用一些常见控制措施:
1.加密- 如果手机丢失或被盗,加密可保护数据;
2.屏幕锁定- 可以减缓小偷解锁手机的进度;
3.全球定位系统(GPS)- 如果手机丢失或被盗,GPS会提供有关手机位置的信息。
4.远程擦除- 可将远程擦除信号发送到丢失设备,删除丢失设备上部分或全部数据。
当远程擦除成功时,许多设备会返回确认消息。
注意:擦除并不能提供万无一失的防护。
精明的盗贼为从商务智能手机获取数据,通常会立即取下SIM卡。
此外,他们使用类似于法拉第笼(Faraday cage)的屏蔽室,然后将SIM卡放入手机来荻取数据。
这些技术会阻止手机接收远程擦除信号。
如果未收到表示远程擦除成功的确认消息,则数据很可能已经泄露。
3. 介质管理生命周期
所有介质都有一个有益但有限的生命周期。
可重复使用的介质会受到平均故障时间(Mean Time To Failure, MTTF)的影响,其中,MTTF有时表示为可重复使用的次数或期望保存多少年。
例如,一些磁带的规格说明书注明其可在理想条件下重复使用多达250次或使用寿命长达30年。
不过,许多因素都会影响介质的使用寿命,并可能降低预期指标。
监控备份是否出现错误非常重要并将这点作为衡量环境中介质寿命的指南。
当磁带开始出现错误时,技术人员应对其进行替换。
一旦备份介质达到平均故障时间(MTTF),就应该将其销毁。
磁带存储数据的密级将决定介质销毁的方法。
在达到寿命时,一些组织首先对高密级的磁带进行消磁,然后存放起来,最后进行销毁。
磁带通常在散装粉碎机或焚烧炉中进行销毁。
第5章讨论了一些固态硬盘(SSD)的安全挑战。
确切地说,消磁不会删除SSD存储的数据,内置的擦除命令通常也不会清理整个硬盘。
因此,许多组织会销毁SSD,而不是试图从SSD上删除数据。
16.3 配置管理
配置管理有助于确保系统从安全一致的状态部署,并在整个生命周期内保持安全一致的状态。
基线和镜像通常用于系统部署。
16.3.1 基线
基线是指起点。在配置管理背录下,基线是指系统初始配置。
管理员通常在部署系统后修改基线,从而满足不同需求。
不过,当部署在配置安全基线的安全环境时,系统更可能保持安全。
如果组织有合适的变更管理计划,更是如此。
检查清单(checklist)创建基线,这些检查清单要求系统以某种方式部署或使用特定的配置。
手工基线易于出现人为错误,个人很容易遗漏某个步骤或失手错误配置某个系统。
脚本和自动化操作系统工具来实现基线,非常有效,并减少了发生错误的可能性。
例如,Microsoft操作系统自带的组策略。
管理员可配置一次组策略,然后自动将该组策略应用到域中的所有计算机。
16.3.2 使用镜像技术创建基线
许多组织使用映像来部署基线。
图16.2显示创建和部署基线镜像的整个流程的3个步骤。
(1)管理员首先在计算机上安装操作系统和所有需要的应用程序(图中标记为基线系统)。
然后,管理员配置系统使其相关安全设置及其他设置满足组织要求。
接着,员工执行全面测试,确保系统能够按照预期运行,之后进入下一个步骤。
(2)接下来,管理员使用映像软件捕获系统镜像,并将其存储在图中所示的服务器(标记为镜像服务器)上,
也可将镜像存储在外部硬盘驱动器、USB驱动器或DVD。
(3)随后,员工根据组织需要将镜像部署到具体系统。
这些系统通常需要额外配置来完成部署,例如为系统提供唯一名称。
但这些系统的整体配置与基线系统相同。
基线镜像可确保系统所需安全设置总能正确配置,从而提高系统的安全性。
此外,镜像基线还缩减了系统部署和维护所需的时间,降低了总体维护成本。
部署预先构建的镜像只需要耗费技术人员几分钟的时间。
此外,当用户系统损坏时,技术人员可在几分钟内重新部署系统镜像,而不是花费数小时对系统进行故障排除或尝试从头安装系统。
镜像通常与其他基线自动化方法相结合。
也就是说,管理员可为组织的所有台式计算机创建统一的系统镜像。
然后使用自动化方法为特定类型的计算机增加其他应用程序、功能或设置。
例如,可通过脚本或其他自动化工具为某个部门的计算机增加额外安全配置或应用程序。
组织通常会保护基线镜像,确保其不会被任意修改。
在最糟的情况下,恶意软件可植入系统镜像,然后部署到网络上的系统。
16.4 变更管理
在安全环境下部署系统是一个良好开端。
不过,让系统保持相同的安全级别也非常重要。
变更管理可减少因未经授权修改导致的意外中断。
变更管理的主要目标是保证变更不会导致意外中断。
变更管理流程确保相应人员在变更实施前对变更进行审核和批准,确保有人对变更进行测试和记录。
变更往往会产生造成中断的意外副作用。
管理员为解决某个问题对系统进行更改,但可能在不知不觉中导致其他系统出现问题。
请思考图16.3所示的场景。
Web服务器可允许互联网访问,同时它可以访问内部网络上的数据库。
管理员在防火墙1上配置适当的端口策略,允许Internet流量访问Web服务器;
同时,在防火墙2上配置相应端口策略,允许Web服务器访问数据库服务器。
未经授权变更可能直接影响CIA三元组中的A,即可用性。
不过,变更管理流程使得各方IT专家有机会在技术人员实施更改前审查提出的更改,考虑变更可能带来的意外副作用。
在生产环境实施变更前,变更管理流程使管理员有时间在受控环境中检查变更。
一些变更可能削弱或降低安全性。
例如,如果组织未采用有效的访问控制模型来授予用户访问权限,那么管理员可能无法跟上额外的访问请求。
沮丧的管理员可能决定将一组用户添加到网络管理员组。
用户现在获得所需的全部访问权限,提高他们使用网络的能力,于是不再为访问请求来打扰管理员。
但是,授予管理权限会直接违反最小特权原则,并严重削弱安全性。
16.4.1 安全影响分析
变更管理流程帮助员工执行安全影响分析。
在生产环境中实施变更之前,专家会评估变更,从而识别所有的安全影响。
变更管理控制提供一种流程,实现控制、记录、跟踪和审计所有系统变更。
这涵盖对系统任何方面的变更,包括硬件和软件配置。组织需要在所有系统的生命周期中实施变更管理流程。
变更管理流程的常见步骤如下:
(1)请求变更。
一旦识别出所需的变更,员工便会请求变更。
一些组织使用内部网站,允许员工通过网页提交变更请求。
该网站自动将变更请求记录在数据库,便于员工追踪变更。
该网站还允许所有员工查看变更请求的状态。
(2)审核变更。
组织内的专家会审核变更。审核变更的人员通常来自组织几个不同的领域。
在一些情况下,他们可能会快速完成审核,批准或拒绝变更。
在另一些情况下,经过大量测试后,变更可能需要经过正式的变更审核委员会批准。
(3)批准/拒绝变更。
依据审核结果,这些专家然后会批准或拒绝变更。
他们还在变更管理文档中记录答复。
例如,如果组织使用内部网站,则有人会将审核结果记录在网站数据库。
在一些情况下,变更审核委员可能需要创建回滚或退出计划。
回滚或退出计划确保如果变更引发故障员工可将系统恢复到原始状态。
(4)测试变更。
一旦批准更改,需要对变更进行测试,最好安排在非生产服务器。
测试帮助验证变更不会造成意外的问题。
(5)安排并实施变更。
按部就班地实施变更,以便对系统及用户造成的影响最小化。
可能需要在休班或非高峰时间安排变更实施。
(6)记录变更。
最后一步是记录变更,确保所有相关方知悉变更。
记录变更通常需要修改配置管理文档。
如果不相关的灾难要求管理员重建系统,则变更管理文档会提供有关变更的信息。
变更管理文档可以帮助管理员将系统回退到变更之前的状态。
实施紧急变更,仍需要记录变更。
例如,如果攻击或恶意软件感染导致一个或多个系统宕机,则管理员可能需要对系统或网络的配置进行变更,从而遏制安全事件。
这么做是确保变更审核委员可以审查变更,以便发现潜在问题。
此外,记录紧急变更可确保受影响的系统在需要重建时能够包含新的配置。
在执行更改管理流程时,会为系统的所有变更创建文档。
如果员工需要撤消变更,这些文档可以提供一系列信息。
如果员工需要在其他系统上实施相同的变更,则文档还提供变更需要遵循的路线图或流程。
变更管理控制是ISO通用标准中一些安全保障要求(Security Assurance Requirement, SAR)的强制性内容。
但是,许多没有ISO通用标准合规性要求的组织也实施了变更管理控制。
变更管理控制通过防止引发意外损失的未经授权变更,从而提高组织环境的安全性。
16.4.2 版本控制
版本控制通常指软件配置管理所使用的版本控制。
标签或编号系统在多台机器上或在单个台机器的不同时间点辨识不同的软件集和配置信息。
1.软件开发
例如,应用程序的第一个版本标记为1.0。
经历第一次较小的更新后,版本标记为1.1,在第一次重要更新后,版本标记为2.0。
这么做有助于追踪部署软件随时间的变更。
2.web开发
虽然大多数资深软件开发人员已认识到应用程序的版本控制和修订控制的重要性,但许多新的Web开发人员并不以为然。
这些Web开发人员已经学会一些建设出色网站的优秀技能,但并不总是认识到版本控制等基本原则的重要性。
如果不通过某种版本控制系统来控制变更,他们可能实施会极大地破坏网站的变更。
16.4.3 配置文档
配置文档明确了系统的当前配置。
明确了哪些人负责系统,明确了系统的目的,并列举了基线之后的所有变更。
•纸质版记录:几年前,许多组织使用纸质笔记本来记录服务器的这些信息,但是现在更多是将这些信息存储在文件或数据库。
•文件或数据库记录:配置文档存储在数据文件遇到的挑战是,系统中断期间是不可访问。
16.5 补丁管理和漏洞减少
补丁管理和漏洞管理过程协同工作,帮助保护组织防御新出现的威胁。
补丁管理,可确保系统已安装合适的补丁。
漏洞管理,帮助验证系统能否防御已知威胁的攻击。
16.5.1 系统管理
值得强调的是,补丁和漏洞管理不仅适用于工作站和服务器,也适用于运行操作系统的所有计算设备。
诸如路由器、交换机、防火墙、设备(如统一威胁管理设备)和打印机等网络基础设施系统,均包含某种类型的操作系统。
这些操作系统可能是基于思科的,基于微软的,基于Linux的。
嵌入式系统,指配备中央处理单元(CPU)、运行操作系统以及安装一个或多个执行单一或多个功能的应用程序的设备。
例如相机系统、智能电视、家用电器(诸如防盗警报系统、无线恒温器和冰箱)、汽车、医疗设备等。
这些设备有时被称为物联网(IoT,Internet of things)。
物联网设备也需要及时安装补丁!
例如,2016年底针对DNS服务器的大规模分布式拒绝服务攻击,阻止用户访问数十个知名网站,进而成功地使互联网近似瘫痪。
据报道,攻击者经常使用Mirai恶意软件控制物联网设备(如IP摄像头、婴儿监视器和打印机),并将其纳入僵尸网络。
数以于万计的设备向DNS服务器发送DNS查询请求,成功地使其负荷超载。
显然,这些设备安装补丁可防止这类攻击再次出现,但许多制造商、组织和业主并不会为物联网设备安装补丁。
更糟的是,许多供应商甚至都不会发布补丁。
最后,如果组织允许员工在企业网络中使用移动设备(如智能手机和平板电脑),则也应将这些设备纳入管理范畴。
16.5.2 补丁管理
补丁,是纠正程序缺陷及漏洞或提高现有软件性能的所有代码类型的总称。
软件可以是操作系统或应用程序。
补丁有时称为更新、快速修复(quick fix)和热补丁(hot fix)。
在安全方面,管理员主要关注修复系统漏洞的安全补丁。
实施补丁管理策略,防止安全事件发生!
虽然供应商经常编写和发布补丁,但是这些补丁只有安装之后才能起作用。
虽然事情看似简单,但实施起来困难,很多安全事件的产生仅仅是因为组织未实施补丁管理策略。
有效的补丁管理程序可以确保系统的当前补丁更新至最新。
有效的补丁管理计划包含常见步骤:
•评估补丁。
当供应商公布或发布补丁时,管理员会对补丁进行评估,确定其是否适用于自已维护的系统。
例如,DNS服务器的Unix系统上的漏洞补丁与Windows上运行DNS的服务器无关。
同样,如果Windows系统未安装某个功能,则不需要安装修复该功能的补丁。
•测试补丁。
管理员应尽可能在隔离的非生产系统上测试补丁,确定补丁是否导致任何不必要的副作用。
最糟糕的情况是安装补丁之后系统将无法再启动。
例如,补丁偶尔会引发系统无休止地重启循环。
系统启动后发生错误,并继续尝试重启,期望从错误中恢复。
如果单个系统测试出现上述结果,那么仅影响到单个系统。
但是,如果组织在测试之前将补丁安装到数于台计算机,那么可能产生灾难性后果。
•审批补丁。
管理员测试补丁,并确认补丁是安全的,接下来便批准补丁的部署。
通常变更管理流程会作为审批流程的一部分。
•部署补丁。
经过测试和审批,管理员可以着手部署补丁。许多组织使用自动化方法来部署补丁。
这些自动化方法可以是第三方产品或软件供应商提供的产品。
•验证补丁已完成部署。
部署补丁后,管理员会定期测试和审计系统,确保系统已保持更新状态。
许多部署工具都具备审计系统的功能。此外,许多漏洞评估工具可以检查系统是否安装合适的补丁。
周二补丁日和周三利用漏洞日:
微软在每月第二个周二定期发布补丁,通常称为“周二补丁日”(PatchTuesday)或周二更新日(UpdateTuesday)。
•规律性的补丁发布,允许管理员可以提前谋划,让其拥有足够的时间来测试和部署补丁。
许多与微软签订技术支持合同的组织都会在周二补丁日之前得到补丁通知。
•非常严重的漏洞,微软不会按照之前的时间惯例发布,而是早早地发布一些补丁。
攻击利用:
攻击者意识到许多组织可能不会立即修补系统。
一些攻击者使用逆向分析补丁来识别出潜在漏洞,然后构建漏洞利用的方法。
这些攻击通常在“周二补丁日之后的一天内开始,产生这一术语“周三漏洞利用日”。
可是,在供应商发布补丁之后的数周、数月甚至数年内,许多攻击仍发生在未修复的系统上。
换句话说,许多系统仍然没有打补丁,而攻击者在供应商发布补丁后的一天之后便开始利用这些漏洞。
例如,2017年5月WannaCry勒索软件攻击一天之内感染了超过230000个系统。
该攻击针对未安装2017年3月微软安全更新的系统。
16.5.3 漏洞管理
漏洞管理,指定期识别漏洞、评估漏洞并采取措施减轻漏洞相关的风险。
消除风险是不可能的。同样,也不可能消灭掉所有漏洞。
有效的漏洞管理计划,帮助组织定期评估漏洞,并修复代表着最大风险的漏洞。
漏洞管理计划的两个常见要素是日常漏洞扫描和定期漏洞评估。
1. 漏洞扫描
漏洞扫描器是测试系统和网络是否存在已知安全问题的软件工具。
攻击者使用漏洞扫描器来检测系统和网络的脆弱点,例如缺少补丁或弱密码。
在发现脆弱点后,攻击者会发动攻击来利用这些脆弱点。
许多组织的管理员也使用相同类型的漏洞扫描器来检测网络上的漏洞。
而管理员的目标是在攻击者发现之前检测到漏洞,并对其进行修复。
正如反病毒软件使用特征码文件来检测已知病毒,漏洞扫描程序配备了已知安全问题的数据库,依照这个数据库来扫描系统。
供应商会定期更新漏洞数据库,并向客户出售订阅更新。
如果漏洞扫描器未更新到最新,管理员将无法检测到最新的威胁。
这类似于反病毒软件如果没有最新的病毒特征库,便无法检测到最新的病毒。
Nessus是由Tenable Network Security管理的常见漏洞扫描器,它结合多种技术来检测各种漏洞。
Nessus分析从系统发出的数据包,确定系统的操作系统及有关系统的其他详细信息。
它使用端口扫描技术来检测系统的开放端口,并识别系统上可能运行的服务及协议。
一旦发现有关系统的基本情况,Nessus便跟进查询来测试系统是否存在已知漏洞,例如系统补丁是否更新至最新。
Nessus还可以发现网络上使用IP探测和ping扫描的潜在恶意系统。
重要的是要认识到漏洞扫描器不仅检查未打补丁的系统。
例如,如果系统正在运行数据库应用,那么扫描器可使用默认账户及默认口令来检查数据库。
同样,如果系统托管了网站,扫描器可以检查网站是否使用输入验证技术来防止不同类型的注入攻击,
例如SQL注入或跨站脚本。
在一些大型组织中,专设的安全团队使用可用工具来执行常规漏洞扫描。
在小型组织中,IT管理员或安全管理员将漏洞扫描作为其职责的一部分来执行扫描。
但请记住,如果负责部署补丁的人员还负责运行扫描来检查补丁,那么这种做法存在潜在的冲突。
如果有些事情阻止管理员部署补丁,管理员也可以跳过扫描,否则将检测到未打补丁的系统。
扫描器具备生成包括生成报告的功能,报告会显示发现的所有漏洞。
报告可以建议安装补丁,或修改特定配置或安全设置,从而提高或增加安全性。
显然,仅仅建议安装补丁并不能减少漏洞。管理员需要采取措施来安装补丁。
不过,可能存在这样做不可行或不可取的情况。
例如,如果修复低危安全问题的补丁破坏了系统的应用程序,管理员可能决定在开发人员提出变通方法之前不安装该补丁。
即使组织已解决此风险,漏洞扫描器也会定期报告该漏洞。
注意:
管理层可选择接受风险而不是减轻风险。
实施控制措施后仍然存在的风险就是剩余风险。
因剩余风险而产生的任何损失都是管理层的责任。
相反从不执行漏洞扫描的组织,其网络可能存在许多漏洞。
此外,这些漏洞仍将处于未知状态,管理层将无法决定哪些漏洞需要修复,哪些漏洞可以接受。
2. 漏洞评估
漏洞评估通常包含漏洞扫描的结果,但漏洞评估会做更多工作。
例如,年度漏洞评估可能会分析过去一年所有的漏洞扫描报告,从而确定组织是否正在修复漏洞。
如果所有漏洞扫描报告重复出现相同的漏洞,那么需要提出的逻辑问题是“为什么这个漏洞没有修复?”
可能是有正当理由,管理层选择接受风险,或者可能是漏洞扫描一直在执行,但从未采取措施来缓解已发现的漏洞。
漏洞评估通常作为风险分析或风险评估的一部分执行,识别系统在某个时间点的漏洞。
此外,漏洞评估可以参考其他区域来确定风险。
例如,漏洞评估可查看敏感信息在生命周期中如何标记、处理、存储和销毁,从而解决潜在问题。
16.5.4 常见的漏洞和风险
漏洞通常使用“通用漏洞和披露”(CVE)字典来标识。CVE字典提供了漏洞标识的标准规约。
在扫描特定漏洞时,补丁管理和漏洞管理工具通常使用CVE字典作为标准。
例如,WannaCry勒索软件利用了未修补的Windows系统漏洞,而微软发布Microsoft安全公告MS17-010来防止此类击。
这个漏洞被标识为CVE-2017-0143。
CVE漏洞数据库使公司更容易创建补丁管理工具和漏洞管理工具。
他们不必花费任何资源来管理漏洞的命名和定义,而可以专注于检查漏洞系统的方法。
1.在被记录为侵权行为前,可以接受的违规记录的数量又称作什么?(clipping level 限值水平)
解析:限值水平是一个阈值。一旦超过阈值,该活动就被认为是记录、调查或两者兼而有之的事件。
管理员可以设置操作参数,允许在用户被锁定之前接受一定次数的失败登录尝试;这是一种限值水平。
超过阈值后,用户可以被锁定五分钟或一整天。
限值水平(clipping level),设置普通用户的错误的基线,超过该阈值的违规行为将被记录,并对违规行为发生的原因进行分析。
2.可信恢复(trusted recovery),在系统崩溃或其他系统发生故障时确保安全性不受破坏。
3. 可信路径(trusted path)为特权用户功能提供可信接口,旨在提供一种方法来确保通过该路径的任何通信都不会被拦截或破坏。
例如,当用户在本地登录到系统时,重要的是可以通过从用户界面到访问控制子系统的路径安全地共享他的凭据。
然而,许多攻击旨在通过将输入重定向到可以拦截、披露或操纵的替代通道来专门攻击此类可信路径。
这种攻击的成功率随着特权级别的增加而增加,使得使用特权用户帐户的攻击非常危险。
4. 萨拉米技术(Salami techniques),场景:雇员通过从多个帐户划走少量的钱,存入资金到自己的银行账户。
5.容错对策:容错性,是指软件检测应用程序所运行的软件或硬件中发生的错误并从错误中恢复的能力,通常可以从系统的可靠性、可用性等方面来衡量。容错对策旨在对抗设计的可靠性。