基于云的端點(diǎn)安全服務(wù)與企業(yè)內(nèi)部安全服務(wù)相比遠(yuǎn)不夠成熟,如何在經(jīng)驗(yàn)和案例均不足的現(xiàn)階段成功完成自己的云端安全服務(wù)?這是個(gè)困擾著很多CSO的問(wèn)題。
所謂知己知彼百戰(zhàn)不殆,除了對(duì)自身的需求做一番仔細(xì)的考量外,另一方面就是搞清供應(yīng)商的產(chǎn)品和服務(wù)了,雙管齊下才能確保攻下云端安全服務(wù)這個(gè)碉堡。
在云端安全三大注意事項(xiàng):部署、警報(bào)與報(bào)告一文中,我們已經(jīng)做了初步闡釋,而本文將進(jìn)一步揭秘供應(yīng)商端點(diǎn)安全服務(wù)中的各種缺失,為企業(yè)完善云端點(diǎn)安全提供“知彼”的途徑,以便企業(yè)用戶在選擇云服務(wù)時(shí)少走彎路。還是以Tolly集團(tuán)最近發(fā)布的原型部署機(jī)制體驗(yàn)報(bào)告為基礎(chǔ),依然是來(lái)自五大知名云服務(wù)供應(yīng)商的服務(wù)產(chǎn)品,真相如下,給CSO們提個(gè)醒,選產(chǎn)品一定要在下面的細(xì)節(jié)擦亮眼睛:
云端點(diǎn)授權(quán)需明確
某些云端點(diǎn)安全服務(wù)允許使用者創(chuàng)建多個(gè)管理用戶,然后將不同企業(yè)部門(mén)的管理工作委托給特定管理員。某些安全服務(wù)甚至提供“只讀”管理員角色,旨在幫助管理者在進(jìn)行端點(diǎn)安全監(jiān)控時(shí)確保其內(nèi)容不變。
但是并非所有的供應(yīng)商都能做到這一點(diǎn),如果大家的企業(yè)希望將不同端點(diǎn)部門(mén)的管理職責(zé)委托給不同管理員,一定要向服務(wù)供應(yīng)商核實(shí)是否提供此類功能。當(dāng)然,最重要的是搞清楚管理員能對(duì)端點(diǎn)客戶端進(jìn)行哪些管理操控。
云服務(wù)策略配置有缺失
端點(diǎn)運(yùn)行所遵循的規(guī)則通常由策略配置文件來(lái)定義。在研究中,我們?cè)噲D建立一套具有以下屬性的策略:每四小時(shí)更新一次簽名文件、每天運(yùn)行一次全局掃描并在反惡意軟件掃描中排除特定文件/目錄。令人驚訝的是,如此基本的策略配置屬性居然都無(wú)法在全部五種云端點(diǎn)安全服務(wù)中實(shí)現(xiàn)。舉例來(lái)說(shuō),某項(xiàng)服務(wù)不允許對(duì)簽名文件的更新頻率做出任何修改,也不允許設(shè)置掃描例外。另一家供應(yīng)商的產(chǎn)品則將默認(rèn)策略設(shè)為只讀,因此所有其中不支持的功能就只有通過(guò)創(chuàng)建一套自定義策略才能實(shí)現(xiàn)——這也是我們達(dá)成上述屬性需求的惟一途徑。
反惡意軟件系統(tǒng)的任務(wù)在于搶在威脅損害端點(diǎn)之前對(duì)其進(jìn)行檢測(cè)與隔離。通常情況下,威脅的隔離審查工作應(yīng)該由管理員執(zhí)行。經(jīng)過(guò)審查流程,管理員往往會(huì)刪除實(shí)際威脅并對(duì)錯(cuò)誤警報(bào)結(jié)果予以放行,這樣被一次誤報(bào)的文件就不至于在未來(lái)的掃描中再次遭到攔截。令人驚訝的是(請(qǐng)?jiān)徫覀冇煮@訝了),并不是所有參與評(píng)測(cè)的端點(diǎn)安全服務(wù)中的反惡意軟件都提供這項(xiàng)功能。某些只是簡(jiǎn)單將全部被檢測(cè)為病毒的文件刪除,這樣粗暴的解決方式很可能給多數(shù)企業(yè)帶來(lái)大麻煩。
同樣地,我們也觀察了管理員應(yīng)當(dāng)如何處理被誤報(bào)為病毒且遭到隔離的文件。由于某些服務(wù)根本不提供警報(bào)內(nèi)容管理功能,因此管理員根本無(wú)法對(duì)誤報(bào)狀況做出補(bǔ)救。只有一款產(chǎn)品允許管理員自動(dòng)將誤報(bào)項(xiàng)目添加至例外名單,其它幾種產(chǎn)品只能通過(guò)手動(dòng)方式添加例外項(xiàng)目,從而讓誤報(bào)對(duì)象繼續(xù)正常運(yùn)行。(雖然添加工作倒也不算復(fù)雜,但如果誤報(bào)狀況數(shù)量龐大,肯定會(huì)明顯消耗管理員的時(shí)間與精力。)
云端點(diǎn)交互問(wèn)題多
作為研究報(bào)告的最后一部分,我們審視了如何以各種方式與特定端點(diǎn)進(jìn)行交互操作。
按需掃描觸發(fā)機(jī)制:如果某個(gè)端點(diǎn)出現(xiàn)可疑行為或大量威脅,安全管理員必然希望為其設(shè)置一套按需掃描觸發(fā)機(jī)制,從而在此類情況再次發(fā)生時(shí)改動(dòng)進(jìn)行處理。令人驚訝的是,五項(xiàng)評(píng)測(cè)服務(wù)中居然有一項(xiàng)完全不支持該功能。其它幾項(xiàng)則只允許在組級(jí)別進(jìn)行按需觸發(fā)。因此,如果要對(duì)某個(gè)單獨(dú)端點(diǎn)進(jìn)行掃描,我們必須創(chuàng)建一個(gè)新組并將對(duì)應(yīng)端點(diǎn)分配到該組當(dāng)中,然后才能實(shí)現(xiàn)掃描觸發(fā)。有鑒于此,我們不得不向供應(yīng)商提出質(zhì)疑:為什么不提供指向單一設(shè)備的選項(xiàng)?在現(xiàn)有方案下,管理員幾乎不可能在無(wú)需手動(dòng)操作的前提下實(shí)現(xiàn)自動(dòng)掃描觸發(fā)。
暫時(shí)禁用反惡意軟件功能:需要暫時(shí)停用反病毒功能才能正常安裝的程序倒不太多見(jiàn),然而暫時(shí)叫停反惡意軟件掃描工具確實(shí)能夠簡(jiǎn)化端點(diǎn)的故障排查流程。因此,管理員當(dāng)然希望能對(duì)端點(diǎn)上的反惡意軟件功能隨時(shí)進(jìn)行開(kāi)啟及關(guān)閉。然而結(jié)果再次令人失望,五項(xiàng)評(píng)測(cè)服務(wù)對(duì)象中僅有一項(xiàng)能滿足我們的要求。在其它服務(wù)方面,惟一停用反惡意軟件掃描的方式就只有將其徹底卸載。這一狀況很可能成為眾多大型企業(yè)用戶運(yùn)營(yíng)流程的絆腳石
遠(yuǎn)程LAN喚醒:休眠系統(tǒng)通常會(huì)繼續(xù)使用已經(jīng)過(guò)期的簽名文件,且未能及時(shí)更新操作系統(tǒng)及應(yīng)用程序安全補(bǔ)丁。由于大多數(shù)系統(tǒng)會(huì)在啟動(dòng)時(shí)自動(dòng)執(zhí)行上述維護(hù)工作,因此休眠系統(tǒng)的喚醒機(jī)制也是一項(xiàng)非常實(shí)用的功能。LAN喚醒(簡(jiǎn)稱WoL)功能會(huì)向LANMac地址發(fā)送一個(gè)名為“魔法包”的數(shù)據(jù)包,從而觸發(fā)計(jì)算機(jī)的啟動(dòng)流程、觸發(fā)網(wǎng)絡(luò)中各設(shè)備的開(kāi)機(jī)時(shí)序。
在我們此次研究的五款云端點(diǎn)服務(wù)方案中,只有一款提供WoL功能。也許其它反惡意軟件供應(yīng)商認(rèn)為該功能對(duì)威脅檢測(cè)流程并無(wú)積極意義,但它確實(shí)能在檢測(cè)系統(tǒng)狀態(tài)或確保系統(tǒng)擁有最新補(bǔ)丁與病毒簽名方面起到重要作用。
總結(jié):
雖然傳統(tǒng)內(nèi)部端點(diǎn)安全產(chǎn)品市場(chǎng)已經(jīng)相當(dāng)成熟,但云基礎(chǔ)同類方案還顯得非常青澀。由于主流供應(yīng)商拿出的方案缺少眾多相當(dāng)基本的功能,企業(yè)用戶恐怕需要對(duì)現(xiàn)有內(nèi)部方案中的功能與云端點(diǎn)服務(wù)版本進(jìn)行一一比照,從而找出必要但卻尚處于缺失狀態(tài)的項(xiàng)目。好消息是云服務(wù)供應(yīng)商們能夠更簡(jiǎn)便、更頻繁地改進(jìn)產(chǎn)品,因此客戶的問(wèn)題反饋應(yīng)該能夠很快在方案中得到體現(xiàn)——這也正是云機(jī)制的最大優(yōu)勢(shì)之一。