企業(yè)依靠一種開(kāi)源安全工具保護(hù)自身往往并不是一個(gè)好主意,因?yàn)榕c所有開(kāi)源產(chǎn)品一樣,攻擊者可以獲取這個(gè)相同的工具,找到其漏洞并利用它們來(lái)攻擊企業(yè)。為了讓攻擊者更難實(shí)現(xiàn)其攻擊目的,企業(yè)應(yīng)該打造自己的開(kāi)源安全工具套件。企業(yè)應(yīng)選擇多種工具,如果其中一個(gè)工具存在漏洞,其他安全工具可幫助克服這個(gè)漏洞;企業(yè)的工具包中的工具越多,企業(yè)就能更好地保護(hù)其數(shù)據(jù),而不會(huì)受到特定開(kāi)源安全程序中漏洞的影響。
開(kāi)源安全工具包至少應(yīng)該包括檢測(cè)/滲透測(cè)試工具(例如Metasploit Framework)、漏洞掃描儀(例如Nexpose)、安全事故處理程序(例如MozDef)、惡意軟件分析工具(例如Cuckoo Sandbox)以及網(wǎng)絡(luò)監(jiān)控工具(例如Nagios)。為了確保它們正確工作以及不包含漏洞,安全管理人員應(yīng)該在獨(dú)立于生產(chǎn)環(huán)境的測(cè)試平臺(tái)測(cè)試它們。
下面是在構(gòu)建開(kāi)源安全工具包時(shí)應(yīng)該考慮的三個(gè)因素:
垂直行業(yè)
企業(yè)在選擇工具包中的安全工具時(shí),應(yīng)該考慮企業(yè)類(lèi)型以及企業(yè)所處的垂直行業(yè)。在選擇安全工具時(shí),還應(yīng)該了解哪些垂直行業(yè)遭遇了最多的數(shù)據(jù)泄露和安全事件,以及不同垂直行業(yè)面對(duì)的威脅性質(zhì)。
Verizon公司2015年數(shù)據(jù)泄露調(diào)查報(bào)告顯示,公共事業(yè)組織是數(shù)據(jù)泄露和安全事件的頭號(hào)目標(biāo),其次是金融服務(wù)、制造業(yè)、住宿和零售業(yè)。另外,零售和住宿業(yè)中較小型企業(yè)發(fā)生數(shù)據(jù)泄露的頻率遠(yuǎn)遠(yuǎn)超過(guò)較大型企業(yè)。
零售業(yè)企業(yè)可能會(huì)使用開(kāi)源POS系統(tǒng)工具(例如SUSE Enterprise Point of Service或者OpenBravo Retail),這些工具有自己的安全控制和功能。OpenBravo Retail具有基于角色的訪問(wèn)權(quán)限和審批,以及POS終端身份驗(yàn)證。而對(duì)于SUSE Enterprise Point of Service等Linux軟件,企業(yè)應(yīng)該考慮其他Linux開(kāi)源安全工具。為了領(lǐng)先于攻擊者,企業(yè)應(yīng)該獲取最新版本的工具,并確保它們會(huì)定期更新。
合規(guī)要求
企業(yè)通常需要滿足多個(gè)合規(guī)要求,如果企業(yè)未能遵守法規(guī),可能面臨高昂的罰款,還可能損失企業(yè)信譽(yù)。然而,簡(jiǎn)單地執(zhí)行法規(guī)或標(biāo)準(zhǔn)的合規(guī)政策是不夠的;為了減少違規(guī)的風(fēng)險(xiǎn),企業(yè)應(yīng)該考慮合規(guī)工具,例如日志分析。其中筆者最喜歡的是OSSEC或者說(shuō)開(kāi)源基于主機(jī)的入侵檢測(cè)安全,它會(huì)檢查企業(yè)對(duì)各法案的合規(guī)情況,包括HIPAA、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)、薩班斯-奧克斯利法案以及聯(lián)邦信息安全管理法案(FISMA)。在對(duì)FISMA文件使用OSSEC之前,企業(yè)可考慮先使用OpenFISMA,這是專(zhuān)為滿足FISMA要求的自動(dòng)工具。
OSSEC的核心是管理服務(wù)器,它可幫助企業(yè)更好地管理政策的完整性檢查,以及跨多個(gè)操作系統(tǒng)的日志分析,包括Linux、Windows、Solaris和Mac。服務(wù)器在檢測(cè)到對(duì)文件系統(tǒng)的未經(jīng)授權(quán)更改或日志文件中的惡意行為時(shí),它會(huì)發(fā)送警報(bào)給安全管理人員。企業(yè)必須確保在規(guī)定報(bào)告的期限前解決這些問(wèn)題。
服務(wù)水平協(xié)議
如果企業(yè)計(jì)劃通過(guò)軟件即服務(wù)(SaaS)提供商來(lái)監(jiān)督其IT要求部分,企業(yè)應(yīng)該考慮使用網(wǎng)絡(luò)監(jiān)控工具來(lái)執(zhí)行企業(yè)和提供商協(xié)商的服務(wù)水平協(xié)議(SLA)。其中一些工具在后臺(tái)運(yùn)行,而有些則是自動(dòng)化。有些通過(guò)命令行窗口手動(dòng)配置,例如Pandora FMS和PRTG Network Monitor Freeware,而其他工具則提供更方便的用戶界面。
如果沒(méi)有適當(dāng)?shù)木W(wǎng)絡(luò)監(jiān)控工具,企業(yè)沒(méi)有辦法知道服務(wù)提供商是否滿足SLA中規(guī)定的服務(wù)水平(正常運(yùn)行時(shí)間保證),安全管理人員和網(wǎng)絡(luò)管理員也不知道網(wǎng)絡(luò)的運(yùn)行狀況。
通過(guò)監(jiān)控工具,網(wǎng)絡(luò)和安全管理人員能夠監(jiān)控網(wǎng)絡(luò)性能,并使用這些數(shù)據(jù)來(lái)衡量服務(wù)水平協(xié)議。當(dāng)性能開(kāi)始減少時(shí),該工具應(yīng)該發(fā)送警報(bào),讓企業(yè)和服務(wù)提供商知道應(yīng)該采取什么行動(dòng)。如果警報(bào)第一次提示性能已經(jīng)下降到商定的水平,應(yīng)該給予服務(wù)提供商預(yù)先規(guī)定的一段時(shí)間來(lái)解決這個(gè)問(wèn)題。未能滿足最后期限可能會(huì)導(dǎo)致對(duì)供應(yīng)商的處罰。
SLA也應(yīng)該有退出條款。如果企業(yè)不滿意服務(wù)提供商的網(wǎng)絡(luò)性能或者存在沒(méi)有得到解決的安全問(wèn)題,企業(yè)應(yīng)該能夠在沒(méi)有巨額罰款的情況下解除合約。退出條款應(yīng)該明確提供商用來(lái)下載以及備份企業(yè)數(shù)據(jù)的格式。