Roger Grimes
即便是最好的安全控制也会在部署之后随着时间的推移而逐渐衰减,这会让黑客们很高兴。那么,该采取哪些措施来减缓这种衰减呢?
黑客们喜欢漂移。这是一个非正式的术语,用来描述一些好的(和安全的)状态是如何逐渐转变为不好的(和不安全的)状态的。计算机安全的实施很困难。防守队员必须随时做好准备,因为黑客只需要找出一个错误即可。
任何计算机控件都很难完美部署。更大的问题是,任何近乎完美的、部署好的控制几乎总是会衰减到一个更糟糕的状态。这个过程被一些安全专家称为“部署和衰减”。
什么是部署和衰减?
例如,假设你的工作是在应用程序或操作系统上部署和维护安全设置。你或你的团队花费大量时间来决定这些安全设置应该是什么。你们阅读了每个设置的负面和正面信息,考虑了业务影响,然后选择最适合企业允许风险状况的设置。
你可以将这些设置(例如使用Microsoft Windows或Active Directory组策略)部署到每台可能的托管計算机上。我们知道,由于种种原因,这些设置没有完美地应用到我们所期望的所有计算机上。这通常是技术不完善的问题。它可能是一个损坏的本地配置数据库,一个挡道的第三方应用程序,或者计算机在数月内没有连接到域。可能有很多不同的原因,我们并不总是知道部署的控件有没有应用到所有计算机。
同样的事情也适用于补丁管理。你推出了补丁,如果你能达到99%的合规性,就很幸运了。通常,原因无法确定,而且在繁忙的环境中,也不总是有时间进行故障排除和解决。我们这些计算机安全行业的人,不得不接受“足够好”的事实,很难100%地遵守任何安全控制。
因为缺乏对变化的控制,有时还会发生各种偏差。比如说有些程序在计算机上不能运行,于是就有人关掉了主机防火墙或防病毒软件,但事后他们却忘记了重新打开防火墙。有时候他们将一台电脑移动到另一个Active Directory上以便排除故障,但事后也忘了将其移回。有时他们会将某个用户的账户权限提高,以便解决阻塞问题。有时他们还会开放防火墙端口,或者使用令人不安的、无规则通过的方法,把防火墙完全扔弃在一边。
在试图解决关键任务问题的关键时刻,你很容易忘记写下你所做的更改,并在故障排除或者结束后将其更改回来。我不能告诉你我见过多少路由器允许无规则通过,因为有不少愚笨的人会忘记删除他们为快速故障排除测试所做的更改。安全配置的设置随着时间的推移出现偏差是正常的,这就意味着更安全的所在真是凤毛麟角。我们几乎总是处在一个不太安全的地方。这就是衰减。
在计算机安全领域,我们每天都面临着大量的问题和竞争压力,这意味着有些事情将变得不那么完美或者被忽视。我看过很多企业购买的完美的计算机安全设备和日志文件,但如果我在几个月或几年后再去看一看,它通常会是无人看守的,缺少监控的,有着更多的无用噪音。
更糟的是,每个设备的衰减都是不同的。一个设备的问题往往与另一个设备上的衰减完全不同。假如说所有设备上的坏的更改都相同,那你就走运了。你更有可能更快地注意到它,并通过适用于整个环境的一个更改来解决它。我们都面临的是一个微妙的全球变化和似乎随时间在我们的环境中发生的随机变化的组合。时间越长,偏差和衰减就越多。
这不仅仅是一个技术问题,它也发生在人的层面。社会工程和网络钓鱼是造成大多数恶意计算机攻击的原因。你可以为所有终端用户提供世界上最好的反社会工程培训,如果你不经常加强,人们就会忘记他们学到的东西。同样的事情,如果你把你所有的路由器管理员送到路由器学校,或者把你所有的安全员工送到CISSP学校,员工来来往往,你花钱让人接受这种训练,然后为另一个雇主工作以获得更多的钱。
可以说,部署和衰减是我们在计算机安全中面临的最重要的问题之一。黑客们似乎很欣赏它。
部署和衰减解决方案
这并不是说你不能与之抗争。有很多方法可以最小化部署和衰减的影响,包括以下六种:
1. 改变企业文化,意识到衰减存在
第一步是认识到部署和衰减是任何计算机安全控制环境的正常组成部分。认清它,接受它。如果想让企业环境意识到它的存在,并创造一种与之抗争的文化,你就要创造一种重视衰减所带来的风险的文化,作为一个整体,你要下定决心尽你所能去对抗它。
2. 防止衰减的预算
大多数IT企业在有预算足够的资金和其他资源时,在部署新的控制或设备方面都会做得很好。然而,大多数企业却没有为该项目的持续维护提供足够的预算和足够的资源。大多数人将几乎100%的资源用于初始部署,一旦部署完成(从一开始就不完美),就会想当然地认为项目已经成功,然后转到下一个不完美的项目。
在许多情况下,已部署的控件一般就不会再有时间和持续专用资源用于维护。它应成为每个人添加到他们的日常任务列表中的无数事物的一部分,这是确保衰减不会发生的秘诀。智能管理器意识到每个已部署的控件和设备都需要持续的维护,并在项目开始时将未来的资源投入到该控件/设备的持续维护中。如果你不这样做,就会发生衰减的情形。要认识到,如果你不为某件事情的持续维护规划资源,那么你就是在选择一个未来肯定会发生的衰减状态。
3. 负责改变管理政策和程序的衰减
使用策略和过程在企业文化中实施变更管理。未经事先批准,不得更改任何重要内容。包括紧急变更管理流程和程序,以满足特殊的紧急需求。良好的变革管理是值得的。
4. 使故障诊断程序恢复其原始状态
确保所有故障诊断人员都必须记录他们所做的所有更改,并且作为解决过程和关闭记录单的一部分,将所有不需要的更改恢复到其原始状态。任何永久性更改都需要在配置设置文档和更改控制日志中更新。
5. 自动监测和偏差分辨率
自动监控和解决未批准的更改。如果不定期自动检查控件的有效性,它将更快地出现偏差。你多久检查一次取决于它的重要性。如果可能,自动将任何未批准的设置更改回其批准状态。如果修复程序出现故障,请更新配置设置要求并遵循正常的更改管理过程。
6. 重新加强安全意识培训
记住,偏差和衰减也发生在人类身上。你需要定期加强安全意识培训。把你的新的路由器管理员送到路由器学校,替换之前接受过培训的那些留下来做其他工作的管理员。在内部wiki中记录知识并不能代替真正的动手培训。为每个新员工提供基本和理想的培训,并定期更新每个人得到的信息。
即使你尽最大努力去对抗偏差和衰减,它也会发生,但你可以减慢它发生的速度。你甚至可以领先。不管怎样,这都会降低你的整体网络安全风险,使黑客的工作更加困难。
Roger Grimes自2005年开始成为一名安全专栏作家,他拥有40多个计算机证书,并撰写了10本有关计算机安全的书籍。
原文网址
https://www.csoonline.com/article/3387638/6-ways-to-fight-deploy-and-decay.html