80/20困境
为确保唯有授权者和特许用户才能访问和交换干净的数据,许多公司部署了防火墙、入侵检测方案和防病毒软件。但是调查表明,只有20%的数据破坏是由公司外部人所为。这等于说即便充分利用现有技术也只能解决五分之一的安全问题。这些解决方案并不能消除来自内部授权用户的安全隐患。
入侵检测软件包对于来自内部的入侵内部行无法向管理员做出报告,更让人担忧的是,无法调查内部员工在造成的破坏程度。
为克服这个难题,许多组织利用基于查询的内部分析工具来加强内部安全,发现未授权的活动。基于查询的分析工具虽然为发现安全漏洞或滥用网络权限提供了有效方法,但最多也只能算是被动的补救办法,即使最警惕的基于查询的分析通常也要晚一个小时。
控制关键的80%
要控制关键的80%的安全漏洞,关键在于解答四个根本问题:1.发生了什么?2.发生的具体时间?3.谁在搞破坏?我们应采取什么措施?
基于查询的分析工具只能解答头一个问题。在反复比较以前的报告时,它会准确无误地把重要网络参数的变更记入日志。但这种工具只能检查网络的目前状态,没法记下谁在破坏、破坏情况及其影响。如果没有这部分极重要的信息及实时跟踪功能,内部安全仍将停留于被动状态。唯有积极主动的安全政策管理才能真正有效地控制难以制服的80%.
积极主动的安全政策管理把入侵检测概念提升到了更有效、更合理的入侵者检测(甚至是内部入侵者)层面。内部安全漏洞在于人,而不是技术。因此,应重点由发现问题并填补漏洞迅速转向查出谁是破坏者、采取弥补措施并消除事件再发的可能性。如果不知道破坏者是谁,就无法解决问题。
三类内部安全危害
内部安全危害分为三大类:操作失误、存心捣乱及用户无知。操作失误包括用户不经意获得了不应该拥有的权限,虽然自己没有恶意,但这些新授权的用户无意中会给数据和系统带来严重破坏。正确的措施就是取消过高的权限。但基于查询的分析却无法显示,谁拥有引发问题的权限,也无法显示是谁授予了这些权限。
以在值员工和已辞职员工的蓄意破坏为例,可能存在的企业内部安全漏洞包括:满腹牢骚的员工离开公司后设立特洛伊木马以获得访问权,在职员工被解雇或工作变动前造成严重破坏等;对用户和用户组权限管理不善,会常常导致员工离开后很长时间仍能访问极重要的公司系统,对这种恶意事件,正确措施包括取消权限、消除捣乱的机会、通知管理员,若有必要,收集证据把非法活动记录在案。传统的安全措施如入侵检测和基于查询的分析无法显示这类活动的作恶者。
对高度重视存储空间和工作效率的公司来说,由于员工无知引起的安全漏洞会造成极大的代价。如员工下载大量MP3和图像文件而使服务器不堪重负,负荷过重会危及整个网络的性能。合理的安全政策响应机制包括教育用户、删除违反政策的文件及通知管理员和管理部门。基于查询的分析就无法采取这些行动。
公司利用包括实时事件跟踪和自动执行政策的积极主动的安全政策管理工具,就能够成功瓦解违反内部安全政策的每次破坏。不管居心不良还是破坏危害极大,由具有实时执行功能的实时审查工具跟踪的合理政策几乎能够消除所有重大安全漏洞。这种工具可以揭示谁破坏了安全、破坏情况及何时发生,但也许更重要的是,它能采取自愈行动,使系统回到攻击前的状态。
用好安全管理工具
真正的安全政策管理的最佳工具应包括实时审查目录和服务器的功能具体包括:不断地自动监视目录,检查用户权限和用户组账户有无变更;警惕地监视服务器,检查有无可疑的文件活动。无论未授权用户企图访问个人文件还是工作厌烦的员工下载MP3文件,真正的安全政策管理工具会通知相应管理员,并自动采取预定行动。
有了这种实时跟踪、通知及修复功能,内部安全破坏的危害会变得极容易控制,所需的管理时间也较少。然而,倘若已辞职员工通过特洛伊木马开始访问重要数据,这种工具会同时通知管理员、全面地审查跟踪活动、消除后门,把所有受影响的数据恢复到破坏前的状态。
遵守规则的唯一方式
目前,许多国家实施了数据安全立法。例如,美国的医疗信息便携性和责任法(HIPAA)新规定的安全要求对公司对待数据安全的方式产生了重要影响。HIPAA包括严格确定的一系列需求的安全措施。首先就是要求审查跟踪。当然,仅仅知道事件并不能给予你所需的安全,组织一定要跟踪谁是破坏者、发生时间及什么影响。明智的公司要求有一种全面、迅即的方式修复破坏。如果你想提供所有这些好处,唯一的选择就是使用安全政策管理工具。
80/20法则告诉我们什么
在网络安全行业内流行着这样一条80/20法则:80%的安全威胁来自网络内部。也就是说,黑客再狡猾、再危险,但真正的“敌人”还是隐藏在内部的。所以,要想保证网络的安全,在做好边界防护的同时,更要做好内部网络的管理。所以,目前有关安全的观点是:安全的最高境界不是产品,也不是服务,而是管理。没有好的管理思想,严格的管理制度,负责的管理人员,和实施到位的管理程序,就没有真正的安全。