17條網(wǎng)絡(luò)安全守則 成就高安全防護(hù)水平的公司

責(zé)任編輯:editor005

作者:nana

2016-06-08 15:04:22

摘自:安全牛

環(huán)境中的每個(gè)對(duì)象——網(wǎng)絡(luò)、虛擬局域網(wǎng)(VLAN)、虛擬機(jī)(VM)、計(jì)算機(jī)、文件、文件夾等,都應(yīng)該比照處理:積極審計(jì)下的最小權(quán)限。每一個(gè)安全域都應(yīng)有自己的命名空間、訪問(wèn)控制、權(quán)限、角色等等,而且全部都應(yīng)只能在該命名空間中有效。

覺(jué)得自己沒(méi)那么容易被黑?非也!黑客眼里,絕大多數(shù)人都是毫不設(shè)防的小綿羊。想維持安全狀態(tài),以下幾個(gè)秘密不可不看。

被請(qǐng)去做計(jì)算機(jī)安全實(shí)踐評(píng)估的時(shí)候,會(huì)看到公司整體實(shí)踐中哪些有用而哪些根本就是擺設(shè)。一名從事信息安全咨詢20余年的顧問(wèn),每年都會(huì)分析20~50家大大小小的公司,他基于這么多年的評(píng)估經(jīng)驗(yàn)?zāi)艹鲆粋€(gè)結(jié)論:成功的安全策略不在于工具——在于團(tuán)隊(duì)。

只要在正確的地方配置對(duì)的人,有支持性管理和執(zhí)行良好的防護(hù)過(guò)程,無(wú)論你使用的是什么工具,你的公司都會(huì)非常安全。了解計(jì)算機(jī)安全的重要性,把安全作為業(yè)務(wù)關(guān)鍵部分,而不僅僅是罪惡之源來(lái)看待的公司,也是最不容易遭受災(zāi)難性數(shù)據(jù)泄露的公司。每家公司都覺(jué)得自己擁有這種公司文化;然而,極少有公司真正做到。

下面列出的,是幾家在安全方面有著非常高的防護(hù)水平公司所采用的通行實(shí)踐和策略,堪稱保證自身企業(yè)重要資產(chǎn)安全的秘籍。

一、關(guān)注真正的威脅

一大波威脅正向我們涌來(lái),真真正正是前所未有的,歷史性的挑戰(zhàn)。惡意軟件、人類對(duì)手、企業(yè)黑客、黑客活動(dòng)分子、政府(國(guó)內(nèi)外政府均是),乃至內(nèi)部人士,都是我們面臨的威脅。銅線、能量波、無(wú)線電波,甚至光線,都是黑客能用的手段。

因此,我們被灌輸了成千上萬(wàn)條“安全須知”。我們每年都被要求往操作系統(tǒng)、應(yīng)用、硬件、固件、計(jì)算機(jī)、平板、移動(dòng)設(shè)備和手機(jī)里打上幾百個(gè)補(bǔ)丁,但我們還是會(huì)被黑,會(huì)被勒索軟件把最重要的數(shù)據(jù)鎖上。

聰明的公司意識(shí)到,大多數(shù)安全威脅都只是可以忽略的噪音。他們明白,任何時(shí)候,自身風(fēng)險(xiǎn)都只來(lái)自于一小撮基本威脅。因此,他們的關(guān)注力只放在這些基本威脅上?;c(diǎn)時(shí)間識(shí)別出自家公司的最主要威脅,排個(gè)優(yōu)先級(jí),然后集中精力對(duì)付威脅列表上最頂級(jí)的那些。就是這么簡(jiǎn)單。

然而,大多數(shù)公司都沒(méi)這么干。相反,他們?cè)趲资綆装賯€(gè)安全項(xiàng)目中來(lái)回折騰,最嚴(yán)重的缺口一直放著不管,或者只把最輕微的威脅滅殺掉。

好好想想。你曾被人利用SNMP(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議),或者沒(méi)打補(bǔ)丁的服務(wù)器管理界面卡黑過(guò)嗎?曾在現(xiàn)實(shí)世界中看到過(guò)此類報(bào)道嗎?那么,為什么要讓我把這倆當(dāng)成最高優(yōu)先級(jí)寫進(jìn)我的審計(jì)報(bào)告里呢(曾經(jīng)有個(gè)客戶這么要求過(guò))?同時(shí),你的環(huán)境已經(jīng)被人通過(guò)其他更常見(jiàn)的漏洞攻破了……

想要成功緩解風(fēng)險(xiǎn),弄清哪種風(fēng)險(xiǎn)需要你及時(shí)關(guān)注,哪種可以稍后再看,是十分必要的。

二、知道你擁有的

有時(shí)候,最不起眼的東西才是決勝法寶。在計(jì)算機(jī)安全上,這意味著建立準(zhǔn)確的資產(chǎn)清單,公司的系統(tǒng)、軟件、數(shù)據(jù)和設(shè)備都要列出來(lái)。大多數(shù)公司根本不知道自己環(huán)境中都運(yùn)行著些什么。對(duì)根本不知道的東西,你怎么去保護(hù)它的安全?

捫心自問(wèn),你的團(tuán)隊(duì)對(duì)公司電腦開(kāi)機(jī)運(yùn)行的所有程序和進(jìn)程了解多少?在一個(gè)任何額外程序都會(huì)為黑客提供另一個(gè)攻擊界面的世界里,所有這些程序和進(jìn)程都是員工工作必需的嗎?你的環(huán)境中各個(gè)程序的副本都有多少?都是哪幾個(gè)版本的?有多少業(yè)務(wù)關(guān)鍵程序構(gòu)建了公司的基礎(chǔ)?它們有什么依賴關(guān)系?

最好的公司對(duì)哪個(gè)程序運(yùn)行在哪里有著嚴(yán)格的控制。缺乏一張全面的準(zhǔn)確的當(dāng)前IT資產(chǎn)清單,安全就是空談。

三、去除,然后保護(hù)

不必要的程序就是不需要的風(fēng)險(xiǎn)。最安全的公司審視自己的IT資產(chǎn)清單,去除那些不必要的,然后減少所剩資產(chǎn)的風(fēng)險(xiǎn)。

最近我剛給一家公司做了咨詢,那家公司裝了超過(guò)80000份沒(méi)打補(bǔ)丁的Java,橫跨5個(gè)版本。他們的員工從不知道竟然有這么多Java。域控制器、服務(wù)器、工作站,簡(jiǎn)直到處都是。大家都知道,僅僅只有1個(gè)業(yè)務(wù)關(guān)鍵程序需要用到Java,而這個(gè)程序僅僅只在幾十臺(tái)應(yīng)用服務(wù)器上跑。

他們?cè)儐?wèn)了全體人員,立即將Java安裝范圍縮小到幾百臺(tái)計(jì)算機(jī),版本也減少到3個(gè),并且大多打上了補(bǔ)丁。剩下幾十臺(tái)打不上補(bǔ)丁的才是重頭戲。他們聯(lián)系了供應(yīng)商,找到為什么Java版本不能更新的原因,更換了一些供應(yīng)商,給打不上補(bǔ)丁的Java設(shè)置了風(fēng)險(xiǎn)緩解補(bǔ)償措施。

四、設(shè)想風(fēng)險(xiǎn)評(píng)估和整體工作量之間的差別

這不僅應(yīng)用在軟件的每一個(gè)比特和硬件上,對(duì)數(shù)據(jù)也適用。先清除掉不必要的數(shù)據(jù),然后保護(hù)剩下數(shù)據(jù)的安全。有意的刪除,是最強(qiáng)大的數(shù)據(jù)安全策略。確保每個(gè)新數(shù)據(jù)收集者定義好自己的數(shù)據(jù)需要保存多長(zhǎng)時(shí)間。給數(shù)據(jù)打上有效期時(shí)限。時(shí)候一到,與其主人核對(duì)能不能刪除。然后,保護(hù)剩下的數(shù)據(jù)。

五、保持最新版本

最安全的公司,其硬件和軟件都用的最新版本。是的,每家大公司都有舊硬件和老軟件,但其IT資產(chǎn)組成中絕大部分都是最新或次新版的。

不僅僅是硬件和操作系統(tǒng),應(yīng)用程序和工具集也是如此。采購(gòu)成本不僅僅包含購(gòu)買價(jià)格和維護(hù)開(kāi)銷,還包括了未來(lái)升級(jí)版本的資金。這些資產(chǎn)的主人有責(zé)任保持更新。

你也許會(huì)想,“為嘛要為了更新而更新呢?”但,這是一種過(guò)時(shí)的,不安全的想法。最新的軟件和硬件,內(nèi)置了最新的安全特性,通常還是默認(rèn)開(kāi)啟的。上一個(gè)版本的最大威脅,在當(dāng)前版本中很有可能被修復(fù)了,也就讓舊版在想要利用已知漏洞的黑客面前更加可口了。

六、速度打補(bǔ)丁

這是一條老生常談的建議:所有關(guān)鍵漏洞要在廠商補(bǔ)丁發(fā)布一周之內(nèi)補(bǔ)上。但是,大多數(shù)公司依然留有成千上萬(wàn)個(gè)沒(méi)補(bǔ)上的關(guān)鍵漏洞。而且,他們還會(huì)告訴你說(shuō)“我們的補(bǔ)丁修復(fù)是受控的喲”。

如果你的公司要用超過(guò)一周的時(shí)間才打上補(bǔ)丁,那被攻破的風(fēng)險(xiǎn)就上升了——不僅僅是因?yàn)槟慵议T戶大開(kāi),還因?yàn)槟隳切┌踩母?jìng)爭(zhēng)對(duì)手已經(jīng)把自家門戶鎖上了。

按理說(shuō),你應(yīng)該在打補(bǔ)丁前先對(duì)補(bǔ)丁包做個(gè)測(cè)試,但測(cè)試不僅難,還浪費(fèi)時(shí)間。想要真正安全,還是盡快打上為妙。如果需要的話,等幾天看有沒(méi)有什么小問(wèn)題被報(bào)道。但,短暫的等待之后,打吧,打吧,打吧。

持反對(duì)意見(jiàn)者可能會(huì)說(shuō),補(bǔ)丁打“太快”會(huì)帶來(lái)運(yùn)營(yíng)上的問(wèn)題。但是,安全上最成功的公司告訴我,他們并沒(méi)有看到太多因?yàn)榇蜓a(bǔ)丁而出現(xiàn)的問(wèn)題。很多最安全的公司都說(shuō),公司史上就沒(méi)有出現(xiàn)過(guò)因?yàn)檠a(bǔ)丁導(dǎo)致的宕機(jī)事件。

七、培訓(xùn),培訓(xùn),培訓(xùn),重要的事情說(shuō)三遍

培訓(xùn)是極其重要的。但不幸的是,大多數(shù)公司都視用戶培訓(xùn)為削減開(kāi)支好去處,或者,即使做培訓(xùn),內(nèi)容也是過(guò)時(shí)的,充斥著不再應(yīng)用的場(chǎng)景或拘泥于極少見(jiàn)的攻擊。

好的用戶培訓(xùn),著眼公司當(dāng)前面臨,或很有可能面臨的威脅。培訓(xùn)應(yīng)由專業(yè)人士指導(dǎo),甚或更好,有公司同事參加。我看過(guò)的一段最有效的防社會(huì)工程攻擊的視頻,就是通過(guò)凸顯出幾位公司風(fēng)云員工是怎么被騙來(lái)達(dá)到教育目的的。通過(guò)分享自身易騙性的真實(shí)故事,這些同事可以教授其他員工怎樣防止成為受害者。這樣的范例,能讓其他員工更愿意報(bào)告他們自己潛在的過(guò)失。

安全團(tuán)隊(duì)同樣需要最新的安全培訓(xùn)。每個(gè)成員,每年必訓(xùn)。無(wú)論是請(qǐng)人來(lái)公司培訓(xùn),還是把人派去參加外部培訓(xùn)或會(huì)議。這意味著,培訓(xùn)的內(nèi)容不僅僅圍繞你購(gòu)置的東西,還圍繞當(dāng)前最新的威脅和技術(shù)。

八、保持配置的一致性

最安全的公司,在同樣功用的計(jì)算機(jī)上保持幾乎相同的配置。絕大多數(shù)黑客都是耐心超過(guò)聰明的。他們不過(guò)是不停地探測(cè)探測(cè)再探測(cè),直到找到成千上萬(wàn)臺(tái)服務(wù)器中你忘了修復(fù)的那一個(gè)漏洞。

這種情況下,一致性就稱了你的好朋友。每一次,按同樣的方式,做同樣的事。確保安裝的是同樣的軟件。不要留10種連接服務(wù)器的方式。如果裝了某個(gè)App或程序,確保其他同類服務(wù)器上都裝的是同一個(gè)版本和配置。讓對(duì)你的計(jì)算機(jī)進(jìn)行對(duì)比檢查的人感到厭煩是個(gè)不錯(cuò)的做法。

想要配置一致,缺了配置基準(zhǔn)和嚴(yán)格的修改及配置控制可不行。管理員和用戶都要清楚,未經(jīng)許可的情況下,任何的新增或重配置都是不可以的。但是,要注意別讓一個(gè)月才碰面一次的完全改變委員會(huì)把你的同事搞疲了。這樣會(huì)引起企業(yè)中風(fēng)停頓的。要找到控制和靈活性的正確契合點(diǎn),但又確保任何改變,一旦被批準(zhǔn),就要在所有同類機(jī)器上保持一致。不遵從一致性的應(yīng)有懲罰。

記住,我們討論的是基準(zhǔn),是底線,不是泛泛的配置。事實(shí)上,或許從一兩打建議中你就能得出99%的價(jià)值了。找出真正需要的配置,放下其他的,但要保持一致。

九、嚴(yán)格實(shí)踐最小權(quán)限訪問(wèn)控制

“最小權(quán)限”就是最大安全。然而,你很難找到全面實(shí)現(xiàn)這一點(diǎn)的公司。

最小權(quán)限涉及到將僅夠用于完成基本任務(wù)的最低權(quán)限分配給需要的員工。大多數(shù)安全域和訪問(wèn)控制列表都充斥著太過(guò)開(kāi)放的權(quán)限,且缺乏審計(jì)。訪問(wèn)控制列表會(huì)長(zhǎng)大到毫無(wú)意義的程度,而且沒(méi)人愿意談?wù)撨@個(gè),因?yàn)槎家呀?jīng)成為企業(yè)文化的一部分了。

拿活動(dòng)目錄林信任做個(gè)例子。大多數(shù)公司都有這個(gè)玩意兒,可被設(shè)置成選擇身份驗(yàn)證或完全身份驗(yàn)證信任。過(guò)去10年里我審計(jì)過(guò)的(成千上萬(wàn))信任幾乎都是完全身份驗(yàn)證式的。而當(dāng)我建議所有信任都用選擇身份驗(yàn)證時(shí),我聽(tīng)到的全都是實(shí)現(xiàn)起來(lái)有多難的抱怨:“要接觸每一個(gè)對(duì)象,還要明確地告訴系統(tǒng)哪一個(gè)能訪問(wèn)誒!”沒(méi)錯(cuò),說(shuō)到點(diǎn)子上了。這就是最小權(quán)限。

訪問(wèn)控制、防火墻、信任——最安全的公司總是在任何地方都部署最小權(quán)限。他們有自動(dòng)化過(guò)程要求資源擁有者定期重驗(yàn)證權(quán)限。資源擁有者會(huì)收到一封郵件,標(biāo)明資源名稱和誰(shuí)有著何種訪問(wèn)權(quán)限,然后擁有者會(huì)被要求確認(rèn)當(dāng)前設(shè)置。如果擁有者沒(méi)能回復(fù)后續(xù)郵件,該資源就會(huì)隨著之前的權(quán)限和訪問(wèn)控制列表被清除而被刪除或挪到別的地方。

環(huán)境中的每個(gè)對(duì)象——網(wǎng)絡(luò)、虛擬局域網(wǎng)(VLAN)、虛擬機(jī)(VM)、計(jì)算機(jī)、文件、文件夾等,都應(yīng)該比照處理:積極審計(jì)下的最小權(quán)限。

十、盡量逼近“零管理員”

為做盡壞事,壞人總在尋求控制高權(quán)限的管理員賬戶。一旦被他們掌握了root、域,或者企業(yè)管理員賬戶,就回天乏力了。大多數(shù)公司在防止高權(quán)限憑證失控上表現(xiàn)不佳。作為反擊手段,高安全性公司通過(guò)取消這些賬戶來(lái)達(dá)到一種“零管理員”的狀態(tài)。畢竟,如果你自己的管理員團(tuán)隊(duì)都不用超級(jí)賬戶或不怎么用這些賬戶,那么這些賬戶就不容易被盜,也更容易檢測(cè)并阻止偶發(fā)的泄露狀況。

在這里,憑證衛(wèi)生的藝術(shù)是關(guān)鍵。這意味著盡可能少地使用永久超級(jí)管理員賬戶,一個(gè)都不用,或者盡量趨近于零管理員。永久超級(jí)管理員賬戶應(yīng)被緊密跟蹤,嚴(yán)格審計(jì),并限制在少量預(yù)定義的區(qū)域。而且不應(yīng)啟用廣泛普及的超級(jí)賬戶,尤其是服務(wù)賬戶。

但是,萬(wàn)一有人需要用到超級(jí)憑證呢?嘗試使用委托授權(quán)吧。這種方式可只賦予請(qǐng)求者訪問(wèn)特定對(duì)象所需的必要權(quán)限。真實(shí)世界中,極少有管理員需要對(duì)全部對(duì)象的完全訪問(wèn)權(quán)。這種事簡(jiǎn)直不可理喻,但卻是大多數(shù)公司目前的做法。相反,我們應(yīng)只對(duì)修改單一對(duì)象、單一屬性,或者最多對(duì)修改某個(gè)對(duì)象子集進(jìn)行授權(quán)。

這種“剛剛夠”的做法應(yīng)與“適時(shí)”訪問(wèn)相結(jié)合,只在預(yù)定時(shí)段對(duì)執(zhí)行單一任務(wù)進(jìn)行臨時(shí)權(quán)限提升。還要加上地點(diǎn)限制(例如:域管理員只能出現(xiàn)在域控制器上)。這樣你就能有非常強(qiáng)的控制了。

注意:超級(jí)管理員賬戶并不總是需要全部的權(quán)限。舉個(gè)例子,在Windows系統(tǒng)中,用一個(gè)單一權(quán)限——比如作為操作系統(tǒng)一部分的調(diào)試權(quán)限(Debug)或備份權(quán)限(Backup),有經(jīng)驗(yàn)的攻擊者就足以做一系列危險(xiǎn)操作了。要將被提升的權(quán)限當(dāng)做被升級(jí)的賬戶一樣嚴(yán)密控制。

委托授權(quán)——在正確的區(qū)域適時(shí)賦予剛剛夠的權(quán)限,能夠幫助你查出壞蛋,因?yàn)樗麄兾幢刂肋@一策略。如果你看到有超級(jí)賬戶在網(wǎng)絡(luò)中游弋,或者在錯(cuò)誤的地方使用了超級(jí)權(quán)限,你的安全團(tuán)隊(duì)會(huì)去圍追堵截的。

十一、制定基于角色的配置

最小權(quán)限對(duì)人對(duì)計(jì)算機(jī)都適用,環(huán)境中所有對(duì)象都應(yīng)該依據(jù)其扮演的角色進(jìn)行配置。在理想世界中,應(yīng)該只在執(zhí)行時(shí)被賦予對(duì)特定任務(wù)的訪問(wèn)權(quán)。

首先,應(yīng)調(diào)查清楚每個(gè)應(yīng)用必需的各種任務(wù),將通用任務(wù)聚集到盡可能少的工作角色中,然后將這些角色分配給需要的用戶賬戶。這樣一來(lái),每個(gè)用戶賬戶和個(gè)人就會(huì)分配到僅用于執(zhí)行任務(wù)所需的必要權(quán)限了。

基于角色的訪問(wèn)控制(RBAC)應(yīng)被應(yīng)用到每一臺(tái)計(jì)算機(jī)上,每一臺(tái)計(jì)算機(jī)的同一角色都具有相同的安全配置。實(shí)踐應(yīng)用綁定的RBAC,如若沒(méi)有專門的軟件是很難的。利用現(xiàn)有操作系統(tǒng)工具,可以很方便地實(shí)現(xiàn)操作系統(tǒng)和網(wǎng)絡(luò)RBAC化,不過(guò)用第三方RBAC管理工具會(huì)更方便。

將來(lái),所有訪問(wèn)控制都會(huì)是RBAC,因?yàn)镽BAC體現(xiàn)了最小特權(quán)和零管理員。最安全的公司已經(jīng)在可能的地方進(jìn)行了此項(xiàng)實(shí)踐。

十二、隔離,隔離,隔離

良好的安全域衛(wèi)生是另一個(gè)重點(diǎn)。安全域,就是一個(gè)或多個(gè)安全憑證能在其中訪問(wèn)對(duì)象的(邏輯上)隔離的域。理論上,在未經(jīng)事前協(xié)定或訪問(wèn)控制修改的情況下,同一個(gè)安全憑證不能被用于訪問(wèn)兩個(gè)安全域。防火墻就是最簡(jiǎn)單的安全域的例子。同一側(cè)的用戶不能輕易過(guò)到另一邊,除非通過(guò)預(yù)定義規(guī)則規(guī)定的協(xié)議、端口之類的。大多數(shù)網(wǎng)站都是安全域,大多數(shù)公司網(wǎng)絡(luò)也是,雖然它們可能,也應(yīng)該,包含有多個(gè)安全域。

每一個(gè)安全域都應(yīng)有自己的命名空間、訪問(wèn)控制、權(quán)限、角色等等,而且全部都應(yīng)只能在該命名空間中有效。確定到底應(yīng)該設(shè)置多少個(gè)安全域是件棘手的事。最小特權(quán)法應(yīng)成為確定安全域的指南,但讓每臺(tái)計(jì)算機(jī)都單獨(dú)成為安全域就是管理噩夢(mèng)了。關(guān)鍵在于,問(wèn)問(wèn)你自己能夠承受多大的損失——如果訪問(wèn)控制失敗,讓入侵者獲得了某區(qū)域完全訪問(wèn)權(quán)的話。如果你不想淪為其他人過(guò)失的受害者,可以考慮創(chuàng)建自己的安全域。

如果安全域間通信是必需的(就像林信任環(huán)境),盡量給域間設(shè)最小訪問(wèn)權(quán)限。“外來(lái)”賬戶應(yīng)對(duì)除極少量應(yīng)用以外的對(duì)象幾乎沒(méi)有訪問(wèn)權(quán),除了這些應(yīng)用中必要的基于角色的任務(wù),對(duì)其他任務(wù)也不應(yīng)具有訪問(wèn)權(quán)。安全域中的所有其他事務(wù),都應(yīng)該是不可訪問(wèn)的。

十三、重視智能監(jiān)測(cè)實(shí)踐和及時(shí)響應(yīng)

大部分黑客活動(dòng)實(shí)際上都是通過(guò)事件日志捕獲的,但確只有在事件發(fā)生后才會(huì)有人去查看這些日志。最安全的公司則會(huì)普遍而積極地監(jiān)測(cè)特定異常,設(shè)置警報(bào),并進(jìn)行響應(yīng)。

最后一部分很重要。良好監(jiān)測(cè)環(huán)境不會(huì)產(chǎn)生太多警報(bào)。在大多數(shù)環(huán)境中,事件日志啟用的情況下,每天會(huì)產(chǎn)生成千上萬(wàn)乃至數(shù)十億條記錄。不是每個(gè)事件都是警報(bào),但不當(dāng)定義的環(huán)境就會(huì)產(chǎn)生成千上萬(wàn)的潛在警報(bào)——多到成為類似噪音的存在而最終落到無(wú)人理會(huì)的境地。過(guò)去幾年里一些大型黑客事件就涉及到被忽略了的警報(bào)。這就是設(shè)計(jì)很差的監(jiān)測(cè)環(huán)境的特征。

最安全的公司會(huì)對(duì)所有日志源和警報(bào)對(duì)象創(chuàng)建比較判斷矩陣。將此矩陣與威脅列表進(jìn)行對(duì)比,匹配能被當(dāng)前日志或配置檢測(cè)到的每一個(gè)威脅任務(wù)。然后,對(duì)事件日志進(jìn)行調(diào)整,盡可能彌補(bǔ)空白。

更重要的是,只要警報(bào)產(chǎn)生,他們會(huì)立即響應(yīng)。如果我被告知某個(gè)團(tuán)隊(duì)監(jiān)測(cè)某個(gè)特定威脅(比如口令猜解),我會(huì)在之后嘗試觸發(fā)警報(bào)以查看警報(bào)產(chǎn)生后是否有人進(jìn)行響應(yīng)。大多數(shù)情況下都沒(méi)人響應(yīng)。安全的公司則一有警報(bào)觸發(fā),就會(huì)有人從座位上跳起來(lái),詢問(wèn)別人出了什么事。

十四、從頭開(kāi)始實(shí)踐所有權(quán)和問(wèn)責(zé)制

每個(gè)對(duì)象和應(yīng)用都應(yīng)該有個(gè)所有者(或所有者組),控制著使用情況并對(duì)其存在負(fù)責(zé)。

典型的公司里,大多數(shù)對(duì)象都沒(méi)有所有者,IT團(tuán)隊(duì)也不清楚到底是誰(shuí)最先請(qǐng)求的某個(gè)資源,更不用說(shuō)知曉該資源是否仍被需要了。事實(shí)上,大多數(shù)公司里,創(chuàng)建的群組個(gè)數(shù)是比活躍用戶數(shù)多的。換句話說(shuō),IT團(tuán)隊(duì)可以為每個(gè)個(gè)體分配他/她自己的自定義組,公司也可以創(chuàng)建比當(dāng)前數(shù)量更少的群組以便管理。

然而,沒(méi)人知道某個(gè)群組是否應(yīng)被移除。他們害怕刪除任何一個(gè)組。畢竟,萬(wàn)一那個(gè)組是某個(gè)關(guān)鍵活動(dòng)需要的,無(wú)意刪除了會(huì)導(dǎo)致某個(gè)任務(wù)依賴的功能失效呢?

另一個(gè)普遍的例子是,被攻破后公司需要重置環(huán)境內(nèi)所有口令的時(shí)候。但是你卻不能隨意這么做,因?yàn)槠渲杏行┦顷P(guān)聯(lián)到應(yīng)用的服務(wù)賬戶,口令要改就得應(yīng)用內(nèi)和服務(wù)賬戶本身同時(shí)改。

然后問(wèn)題來(lái)了,沒(méi)人知道給定的應(yīng)用是否在使用中,是否需要一個(gè)服務(wù)賬戶,或者口令是否可修改——因?yàn)闆](méi)有在一開(kāi)始就指定所有者和相關(guān)責(zé)任,也沒(méi)有人可以詢問(wèn)。最終,問(wèn)題應(yīng)用還是被留下了,因?yàn)閷?dǎo)致關(guān)鍵操作中斷遠(yuǎn)比你讓某個(gè)黑客在公司網(wǎng)絡(luò)里暢游,更有可能讓你被解雇。

十五、快速?zèng)Q策優(yōu)先

大多數(shù)公司都受困于分析無(wú)能。一致性、問(wèn)責(zé)制和所有權(quán)的缺乏,讓每個(gè)人都懼怕改變。而當(dāng)問(wèn)題涉及到IT安全,快速行動(dòng)的能力卻是關(guān)鍵。

最安全的公司會(huì)在控制和快速?zèng)Q策之間建立很強(qiáng)的平衡,使之形成公司文化的一部分。我甚至見(jiàn)過(guò)將精挑細(xì)選的項(xiàng)目經(jīng)理投入到長(zhǎng)期項(xiàng)目中,僅僅是為了完善項(xiàng)目本身。這些特別的項(xiàng)目經(jīng)理被賦予了一定的預(yù)算控制權(quán),可以在事后記錄所做改變,且有一直犯錯(cuò)的空間。

對(duì)快速行動(dòng)而言,留有犯錯(cuò)空間是關(guān)鍵。在安全上,我特別贊同“無(wú)論如何,先做決策;如有必要,過(guò)后再道歉”的態(tài)度。

對(duì)比典型公司,大多數(shù)問(wèn)題都不敢觸碰,安全顧問(wèn)建議修復(fù)的問(wèn)題到第二年依然還是問(wèn)題。

十六、玩得開(kāi)心

同志情誼不能忽視。認(rèn)為做正確的事就意味著要犧牲掉自由和樂(lè)趣的公司,其數(shù)量之巨,可能令人震驚。對(duì)他們而言,來(lái)自同事的怨恨必須是安全專家正在履職盡責(zé)的象征。簡(jiǎn)直錯(cuò)到離譜!當(dāng)你擁有了高效安全團(tuán)隊(duì),你就不會(huì)被不得不經(jīng)常性重構(gòu)計(jì)算機(jī)和服務(wù)器的壓力搞得不堪重負(fù),也不會(huì)成天憂慮不知道什么時(shí)候就又被黑了。因?yàn)槟闱宄謩?shì)在自己控制之下,所以一臉淡定。

這并不是說(shuō),在最安全的公司上班就輕松愜意。但總的來(lái)說(shuō),比在其他公司更有趣,同事間也更友愛(ài)。

十七、著手去做

高安全性公司的共有特性或許看起來(lái)很容易理解,甚至在某些方面是老生常談,比如說(shuō)快速打補(bǔ)丁和保護(hù)配置安全。但先別忙著為自己的安全實(shí)踐知識(shí)自滿。成功護(hù)住自家重要資產(chǎn)的公司,和遭受數(shù)據(jù)泄露的公司,僅僅是在兩個(gè)主要特征上有差異:專注于正確的元素,以及根植做正確的事的文化,而不是僅僅口頭上這么說(shuō)。秘訣已經(jīng)列出,要不要卷起袖子開(kāi)工實(shí)踐,就是你自己的事了。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)