安全死角

作者：Dark Reading 赵红权 译

欢迎访问e展厅 展厅 5 网络/安全/存储产品展厅 无线上网卡, 光纤设备, 网络布线产品, 计算机干扰器, 网关, ... 忙碌之余，仔细想想你是否忽略了一些确保企业安全的有效方法。 说到企业安全，我们想到的往往是防火墙、防病毒工具等软硬件设施。但是，其中也不乏一些平常为我们所忽略的问题，比如，你是否在服务器室中安装了监控摄像头？垃圾邮箱中的敏感数据是否已经清理干净？是否对新来的数据库管理员的背景做过深入调查？也许对于这些问题，你还没有做好准备。其实，这些情况绝非个案，很多企业或机构都或多或少存在一些安全死角。为此，我们特别列出了以下10种容易被企业忽视的IT安全问题。 将入侵者挡在门外 在审视公司的IT安全架构时，你很有可能忽略物理安全。但这恰恰是个致命的疏忽。 “许多公司的监控系统往往布置不够合理。”安全网络科技公司(Secure Network Technologies)创始人兼副总裁史蒂夫·斯塔修科尼斯(Steve Stasiukonis)指出。入侵者能成功侵入之处也往往是最易被遗忘的角落，比如堆放货物的场所，吸烟者休息时也经常会在那儿附近抽烟。 这样，入侵者就很容易潜入，实施网络攻击或造成其他安全缺口。斯塔修科尼斯为对其客户安全系统进行评估，大胆进行了一些尝试。最近，他在一家信用联盟客户的办公室，在那些员工的眼皮底下，假冒清洁工人清理复印机。“我就那么闯进去了，身着复印机公司员工通常所穿的那种T恤衫。”他解释道，“然后带着偷到的密码和注册信息大摇大摆地离开了，之后再利用这些信息从外部侵入该公司的系统。” 不要放过垃圾 企业将成吨的东西倾倒在路边的垃圾桶中，其中多数为无用的垃圾。但是，那些没有制订严格的垃圾处理政策的企业，可能会将一些极为重要的信息当作垃圾丢掉，黑客便可从其中发现有价值的客户信息或其他敏感数据。 废弃的硬盘即属于这种经常被无意中丢掉的宝贝。公司通常会将废掉的硬盘送到物资回收中心或者慈善机构，甚至在未清理数据的情况下就直接扔掉了。最近的一项调查显示，英国格拉摩根大学(University of Glamorgan)和澳大利亚埃迪科文大学(Edith Cowan University)的研究人员，在全球的拍卖和计算机市场中回收了300多个硬盘，并于其中发现了大量应该删除的数据，包括员工花名册、员工姓名及照片、IP地址以及网络信息等内容。 并且，企业也不应忽视最为传统的数据盗窃手段：纸垃圾。渗透测试(Penetration Test)企业TraceSecurity公司首席技术官(CTO)吉姆·斯蒂科利(Jim Stickley)表示，他就曾在垃圾堆中发现过大量的敏感信息，包括用户身份和密码等。 严格筛选IT员工 企业在招募员工时很容易忽视其个性问题。但随着IT战略价值的提升，企业需要确保掌管着公司命脉的员工不致于做出偷听、盗窃甚至更恶劣的行为。 对求职人员进行筛选现在已成了企业人事部门的重要工作，背景信息服务公司(Background Information Services)总裁詹森·莫里斯(Jason Morris)介绍说，确保候选人的工作经历完整、清楚，不存在无法解释的空白，这一点极为重要。那些候选人确实通过了思科系统公司(Cisco)的路由器认证吗？去确认一下就知道了。“另外，驾驶记录和信用报告也是说明一个人责任感的重要依据。” 那么，企业用于对候选人进行背景调查的成本究竟该有多少呢？“依据经验而言，候选人所申请的职位一天的工资应该比较合适。”莫里斯这样认为。 百密一疏 许多IT部门在办公室中会对其员工进行严格控制，但这些员工在家里的个人电脑(PC)中安装了哪些软硬件，或者还有其他哪些人有权使用他们的家庭电脑，这些问题，IT部门却无法监控了。 “如今，在家工作的员工可以从成百上千个地点登录互联网。”StreamShield公司的产品市场总监杰夫·班尼特(Geoff Bennett)表示，“可被攻击的弱点呈指数级增长。” 企业高管恰是家庭用户链中最为薄弱的一环。“企业的首席执行官(CEO)和首席财务官(CFO)希望将敏感数据直接存到其笔记本电脑中，这样当他们需要访问这些数据时，就不必再接入虚拟专用网(VPN)了。”Consilim1公司负责渗透测试的技术咨询顾问肖恩·凯利(Sean Kelly)进一步分析道。 “举例来说，某个CEO的孩子偷偷使用了父亲的电脑，并修改了其中关键财务文件的名字，”恩德勒集团(Enderle Group)首席分析师罗布·恩德勒(Rob Enderle)犀利地表示，“结果是，公司便无法如期举行股东会议了。” 随着家庭用户日益成为网络钓鱼和僵尸网络(Botnet，又称波特网)的攻击对象，公司发放的笔记本电脑以及可以接入VPN的家庭PC，都会置企业网络于危险之中。“如果这些电脑被攻破，并能通过VPN访问企业网络，那么企业的信息就将暴露无遗。”恩德勒深入解释道。 公司可对电子邮件进行以生物测定为基础的多因素身份鉴定，从而取代以前的通过VPN接入企业网的访问方式，恩德勒说。另外，家庭安全评估和用户培训也会有助于提升企业IT安全。 系统自带的安全性 如今，安全是倍受企业关注的大事，许多厂商开始在其硬件设备中提供安全特性，但这些设备自身所带的安全能力在实际应用中却往往被弃之一旁。这方面最典型的例子是可信赖计算联盟(TCG)的可信赖平台模块(TPM)1.2版。厂商利用这套技术规范，可在任何一台PC中增加安全芯片。尽管多数新PC都装有TPM，但许多公司并没将这一功能用起来，波浪系统公司(Wave Systems)总裁兼CEO史蒂文·斯普莱格(Steven Sprague)指出。企业应当充分利用此功能，看它到底能做些什么，他说：“那将会改变他们对最终用户安全的认识。” 对日志文件了如指掌 日志文件与其说是被忽略，不如说根本不受重视。多数IT和安全专家由于手中的日志数据太多，以致他们通常只是浮光略影地扫一眼，或者直接弃之不顾。但是，日志文件是识别攻击的关键。外部攻击者通常采用系统化的方法，因而会被当作新的日志风格；而内部攻击者往往会在其日志中留下珠丝马迹，安全专家可借此反向追踪，找到源头。 关键在于学会如何对日志文件进行仔细分析但又不致耗费过多时间。对多数IT部门而言，这意味着需要利用日志文件分析程序和安全信息管理工具完成检测工作。 许多IT分析师都会对其日志进行分析，但却不能将数据标准化或投入研究的时间不够长，netForensics公司安全战略家安东·楚瓦金(Anton Chuvakin)剖析道，“要充分认识日志数据的价值，必须将日志挖掘工作提升到新的水平，切实发现日志文件中有价值的东西，而对于‘我们需要发现些什么’，头脑中事先不带任何成见。”他说，“这听起来很简单，但却往往被曲解。” 加强培训 最糟糕的安全问题往往源于最终用户的蠢行，比如打开来自陌生人的电子邮件附件，在路上随意建立到最近的Wi-Fi场所的连接等等。培训是企业安全战略中极为关键但却往往被忽视的因素。 将用户需要了解的所有内容打包，每年进行为期60分钟的安全意识培训是远远不够的。“总的来说，用户需要了解的东西太多了。”美国政府服务机构(United Government Services)系统安全官托德·菲茨杰拉德(Todd Fitzgerald)感慨地表示，“企业应该以最终用户能够理解的方式，增加安全警告的次数。” 他还进一步表示，培训可以多种形式进行，但需让用户感到真实可信，如海报宣传、基于计算机的培训、合规追踪以及面对面交流等。 合理使用外援 一些安全专家相信，在IT的任何阶段有第三方介入，都会增加安全风险。这种看法不无道理，但专家表示，凡过于教条地看待第三方服务的人，会对既能提升安全性又能省钱的好办法视而不见。高德纳公司(Gartner)曾长期质疑第三方安全服务，但2005年他们调整了其看法，并建议企业有选择地采用外包服务。 多数情况下，企业会将劳动力集中型业务外包，如维护和升级防火墙或分析日志文件等。专家表示，采取这种做法，可在提高效率的同时降低完成这些任务的成本。管理安全服务由于包括反病毒、反间谍软件以及入侵检测等内容，而在小企业中颇为流行，但目前尚未进入大企业。 慎用加密技术 如果IT部门忽视了加密技术，那并非因为它不重要，而是因为管理起来太复杂了，比如，如何管理密钥，如何搜索加密文档，在哪儿部署加密技术，以确保其持续起作用等等。但鉴于美国州或联邦数据隐私政策以及有关长期存档的规定，许多IT部门被迫在系统中部署加密技术。 专家表示，没有必要在整个企业IT系统中部署加密技术，挑选一些必要的设备和应用就行了。许多IT部门因而将笔记本电脑和备份磁带等当作加密的首选之地，因为这些设备中的数据是可移动的，因而具备相当的风险。其他也有些IT部门对特定的应用进行加密，如电子邮件或薪金总额和福利等业务流程。 “对任何存在着数据被窃风险的软硬件都应该加密。”国际战略顾问服务公司(Strategic Advisory Services International)管理总监约翰·罗切福特(John Rotchford)指出，“给笔记本电脑加密显然没错，但对数据中心内静止的数据进行加密就没什么太大的意义了，因为存储阵列被攻破的可能性很低。” 公司还需考虑如何在加密技术中引入智能因素。因此，必须深谋远虑，确保IT人员可以随时找到动态和静止的加密数据，并能对之进行管理，企业策略集团(Enterprise Strategy Group)安全分析师埃里克·奥格仁(Eric Ogren)指出。 将安全意识纳入开发 如果软件的安全性出了问题，你可以将之归咎于开发人员，但责任却在安全部门，因为他们需要敦促程序员开发出更安全的软件。即使是软件中有细微的编码错误，在企业部署该软件的过程中，也会引起重大的安全问题。许多内部和第三方程序员，在开始动手编制操作系统、应用软件和网络设备软件时，头脑中大都缺乏安全概念。 如果开发人员在写程序时，能够考虑提供相应的流程，用于识别编码问题和其他易导致安全危机的Bug，安全隐患和攻击就不会那么普遍了。“厂商并没有太大的压力，一定要开发出高安全性的软件，因为客户并没有提出这样的需求。”Cnsilium1的凯利分析道，尽管企业所面临的合规需求会有助于系统安全性的提高，“但如果他们没有切实地在开发流程中引入并集成安全性的话，”情形就不会有太大改变。 微软公司(Microsoft，下称微软)推出了可信赖计算(Trustworthy Computing)项目，积极推行安全计划。而Windows Vista即是这一计划的首个产品。“作为软件产品市场的平台提供商，微软发布了波及甚广的安全计划，这一点极为重要。”美国计算机网络安全事件应急小组(Computer Emergency Response Team，CERT)的高级安全漏洞分析师罗伯特·西科尔德(Robert Seacord)表示，微软以前曾做出过不遗余力的贡献：用于C语言的ISO/IEC WG14工作组即是以微软的库文件为基础的开发标准，其库文件旨在纠正普遍性的编程错误。同时，企业必须在系统的性能与安全风险之间进行权衡，西科尔德补充道。无疑，黑客会利用其所发现的最简捷的路径实施攻击。“如果由于其他需求而没有对攻击予以恰当地防范，在消耗巨大资源消除一个攻击的同时，将其他敏感领域置于危险之中，这种做法就没有什么意义了。”他说道。 安全编码最终还是取决于开发人员，西科尔德表示。但是，企业IT经理和采购经理在其采购和设计决策中，也必须将安全列为自己主要关心的问题之一。 (end)

文章内容仅供参考 (投稿) (3/16/2007)