• 项目

安全性

每个 IT 组织都必须具备的 4 项安全技术

Matt Clapham and Todd Thompson

 

概览:

  • 风险管理仪表盘
  • 反恶意软件
  • 网络异常检测

谈到 IT 安全,大多数企业确实都面临基本相同的问题。Microsoft 也不例外。我们在

Microsoft® 托管解决方案 (MMS) 的风险管理与遵从性团队工作了两年(有关 MMS 的详细信息,请参阅“Microsoft 为 Energizer 的 IT 部门充电”)。

风险管理与遵从性团队负责定义、监控和修正所有 MMS 环境的风险状况(针对面向客户的服务和基础结构协调)。早些时候,我们的经理 Arjuna Shunn 认识到我们需要一种技术解决方案,能够提供所需的控制并以集中且紧密结合的方式进行监控。下面将要讨论的技术就是这些早期想法的直接结果,也是我们两年来在自己的操作中使用各种 Microsoft 及第三方产品的经验所得。

首先,我们需要的安全技术应涵盖三种基本控制类型,即预防、检测和修正,并能提供审计和报告功能。我们发现这一工具集合可划分为四个类别:风险管理仪表盘、反恶意软件、网络异常检测以及所需的配置管理。我们尝试过在自己的风险管理操作中针对每个类别至少包含一个代表。结果我们发现,通过利用所有这四个方面的技术,IT 安全团队可以在成本与成效之间达到合理的平衡。

我们的两项主要风险管理操作 — 安全事件响应和遵从性管理 — 从这种方法中获益匪浅,但是要在这些工具中实现最终所希望的协调,仍有很长的路要走。一组结合紧密的技术可大大提高工作效率,但遗憾的是整个行业还没有这样一个集成系统。

幸运的是,IT 安全团队并非毫无希望;四个系统间更具效力的协同工作和互操作只是一个时间问题。一旦这些系统实现协同工作,它们将不仅能够主动监控系统安全状况,在审计或其他例行 IT 操作过程中也能提供很大方便。本文将描述每个系统的理想功能,并会穿插一些我们在运行时使用的示例。

风险管理仪表盘

在我们看来,风险管理仪表盘 (RMD) 是绝对必不可少的。它是 IT 安全团队运作中最为重要的技术。企业中的保密性、完整性、可用性和责任性 (CIA2) 风险经常由多个系统和过程分散监控,没有用于数据聚合、关联和风险修正的单一界面。此外,相关法规所要求的企业数据透明性的实施难度越来越大,目前没有一个优化的系统能够跟踪从创建策略到企业执行策略的过程。企业在数据采集、关联、评估、修正和遵从方面所存在的普遍困难就是证明。(图 1 所示的 System Center Operations Manager 2007 虽然不是像这里所描述的那种完整的 RMD 解决方案,但它确实为监控多个资源和收集相关警报提供了一个单一界面。)

图 1 System Center Operations Manager 2007 为跨网络查看警报和管理资源提供了单一界面

图 1** System Center Operations Manager 2007 为跨网络查看警报和管理资源提供了单一界面 **(单击该图像获得较大视图)

数据采集因无法聚合和规范化来自分散源的数据而受到束缚。数据聚合本身就是一项挑战,因为它要求摆脱所有过于粗放的数据收集和报告方法。即使能够完成数据聚合,接下来的规范化又将带来另一个更大的挑战,因为建立支持数据规范化所需的通用框架非常困难。缺少这种规范化,将无法以一种有意义的方式比较来自不同系统的安全和运行状况相关事件。

要执行所需的自动化,风险管理仪表盘必须能够从此处所述安全技术之外的来源访问数据馈送。许多非安全性数据可用来确定总体风险状况。诸如路由器日志、资产跟踪、修补程序状态、当前登录的用户、性能报告和更改管理数据等信息都可以为事件调查员提供相关信息。因此,整个系统需要能够访问所有这些数据。我们知道,即使是最以 Microsoft 为中心的企业基础结构也会包含非 Microsoft 技术,因此,RMD 需要通过某种通用接口接受来自非 Microsoft 技术的馈送。

如果可以获得数据并将其规范化,那么下一步就是关联它。我们的目标是将一系列事件(如网络异常事件、防病毒报告事件和所需配置变化事件)关联在一起,形成一块可操作的风险相关数据。这需要大量手动工作来构建关联逻辑,该逻辑最终将产生有意义且基于风险的警报。基于当前的可用技术,要想获得这种关联逻辑的确有些困难。

评估数据同样需要大量手动工作。如果关联已完成,分析人员还必须检查关联数据以确定其效力。关联数据的效力只与它所基于的规则相当。结果是我们仍然需要人工对关联数据进行分析,以评估 IT 环境所面临的风险。此时,一个清晰且系统化的风险管理框架将有助于减少达到某一分类级别所需的人工干预工作量。缺少这种框架,要想在一个给定的实施中开发一套实际可操作的关联规则会很困难。

假设系统已到达风险评估点,下一步就是自动修正。目前,这只在企业中才能做到,即便如此,也只能是针对一组有限的技术,如修补程序管理或防病毒。以 RMD 系统为前导的自动修正功能将赋予 IT 管理员强大的能力,将 IT 风险保持在一个可接受的水平。当同时识别出多项风险时,关联逻辑应当能够基于资产分类数据帮助确定事件响应的优先级。

最后,提供遵从各种法规要求的证据也是 IT 部门面临的一个巨大难题,并且如我们所提到的,此系统应当支持这类功能。与策略相联系的集中式风险管理系统在生成报告和提供遵从性证据方面极具价值。但是策略需要解决的不仅仅是问题所在和原因。要协助自动修正,还需要将策略转换为一组可由仪表盘监控、强制实施并为其提供反馈的标准。

因此,我们可以将理想的风险管理仪表盘概括为一种为企业运行状况评估、法规和策略遵从以及风险管理过程提供统一界面的方式。实现它的方法是将来自分散的安全和运行状况相关产品以及来源的信息合并为一个与风险相关的综合显示。一个优秀的 RMD 解决方案需要能够完成以下工作:

  • 聚合、规范化和关联来自分散源的数据
  • 提供自动化信息收集和风险评估
  • 将法规要求映射到策略并支持审计和报告
  • 提供可进行修改以适应企业需要的统一框架

仪表盘应允许以有意义的方式来组织和显示数据,例如,按类型或源系统来显示首要事件、待定事件、已解决的事件等。它还应允许您深入每个报告行项以了解更多详情。在考察一个事件时,用户应当能够轻松访问任何以及所有相关数据。这将改善决策过程并加快决策速度。

我们应当指出,RMD 对于安全团队以外的管理员也很有用。由于仪表盘包含了环境的整体视图,因此 RMD 可以充当一个中心点,供所有人员查看当前状态。例如,仪表盘可以向消息团队发出有关 SMTP 网关处的拒绝服务攻击警报。虽然这是风险管理团队的安全事件,但消息团队会将其视为一个可用性事件。尽管消息团队可能并不负责调查和解决此类事件,但他们至少希望能够了解此类会影响该团队所管理资产的事件。

反恶意软件技术

一个综合性的反恶意软件系统非常重要,可以保护您的基础结构不受无法预料的威胁(隐藏在代码和用户操作中)影响。目前,一般有两种不同类型的工具可用来防范恶意软件:防病毒和防间谍软件。(例如,图 2 所示的 Windows® Defender 就属于后一类。)这两类工具都能有效防止、检测和修正不同类型的感染。但是,将这两种防护类型统一到单一解决方案中只是一个时间问题,届时系统上将只有一套反恶意软件。

图 2 Windows Defender 帮助客户端防范间谍软件

图 2** Windows Defender 帮助客户端防范间谍软件 **(单击该图像获得较大视图)

一个彻底的反恶意软件解决方案需要进行实时监控和定期扫描。它应当基于典型的危险行为集中报告已知恶意软件(包括病毒、间谍程序和 rootkit)和未知恶意软件。强大的反恶意软件技术通过与操作系统和应用程序的紧密集成来监视所有典型的入侵点(包括文件系统、注册表、外壳、浏览器、电子邮件和连接的应用程序)。

此外,反恶意软件解决方案不仅需要涵盖主机安全性。还需要监视受感染文件通常会经其传输的常见消息和协作服务,如 SharePoint® 和即时消息。它还需要通过停止操作(已知和可疑的)以及仔细扫描用户数据以删除诸如宏病毒(隐藏在用户文档中但尚未感染系统)等内容来提供自动防护。

当然,不加以更新的反恶意软件工具是没有用的。系统必须保持其签名和删除系统处于最新状态,以提前防范最新的威胁。如果出现新的威胁,供应商应在下一个“零天”威胁爆发之前将附加保护措施准备就绪。一个易于管理的反恶意软件解决方案还应当是可集中配置和更新的。

当然,这种保护不能以损失性能为代价。如果性能有损失,那么生产力也会降低。用户甚至可能尝试禁用反恶意软件解决方案,结果是完全没有任何防范。

最后,请不要忽略为反恶意软件系统提供协助的辅助技术的重要性。防火墙、限制用户特权以及其他策略也会改善对恶意代码和用户操作的防范。

网络异常检测

反恶意软件工具用于监视系统,而网络异常检测 (NAD) 工具用于监控常见通道,监视可疑行为的已知线索并将此信息报告给 RMD 以进行修正。(例如,图 3 所示的防火墙就属于此类。)可疑行为可以是已知的攻击通信(如蠕虫或拒绝服务攻击)或通过电子邮件发送、且符合某种模式(如美国社会安全号)的数据。

图 3 防火墙是网络异常检测解决方案的重要组成部分

图 3** 防火墙是网络异常检测解决方案的重要组成部分 **(单击该图像获得较大视图)

尽管在 IT 管理方面付出了巨大努力,但任何大型企业网络无疑还会遇到偶发的恶意软件事件。NAD 可提供一种早期警告系统,有助于加速修正。此外,对于涉及数据泄漏和法规遵从性的环境,NAD 的数据监控功能以及识别和防止泄漏敏感信息的功能为保护其中的信息提供了便捷的工具。

与反恶意软件技术相同,NAD 也必须不断适应最新的威胁和敏感数据类型,否则其价值将大打折扣。此外,一个优秀的 NAD 系统还应当掌握有关真实异常的足够信息以尽可能减少误报。否则,管理员可能会忽略来自 NAD 的报告,并假设这只是又一个误发警报。

经过一定的调试和培训后,NAD 系统应当了解典型的通信使用模式并对其进行监控。这一点很重要,因为新型的恶意软件和其他攻击可能会通过改变其使用模式以新的面孔出现。网络设备在整个 NAD 系统中具有重要作用,因为解决方案必须处理来自路由器、交换机和防火墙的数据。然后,NAD 警报可由 RMD 中的关联引擎来处理。

这里,一种有趣的可能性是将网络异常检测器内置到主机反恶意软件系统或防火墙中,从而撒下一个保护网,其中所有包括在内的计算机都会帮助监视攻击威胁并可能在其扩散之前阻止这些攻击。

所需配置管理

在大型企业中,IT 部门所面临的最大挑战之一就是保持系统的正确配置。人们在维护系统配置时会出于多种考虑,例如,易于管理、简化可伸缩性、确保遵从性、防范各种形式的入侵以及提高生产力等。许多这些原因都将安全性纳入考虑范围。

在大多数企业中,鉴于其复杂性和启动成本,所需配置管理还是一个未有更多涉足的领域。但研究表明,从长远来看,对系统进行维护可节约成本并提高可靠性。所需配置监控 (DCM) 解决方案对此会有所帮助。

一个优秀的 DCM 系统应当能够自动扫描网络以确保新系统的部署如预期设想,同时还要验证所建立的系统一直满足遵从性要求。不管是在确保部署了最新修补程序方面,还是在最小化拥有域特权的用户数方面,一个完整的 DCM 解决方案必须对系统进行配置和分析,并报告每个配置趋近于理想的程度。修正过程可以很简单(例如在网络上部署新系统时为其安装修补程序),也可以是强制性的(例如为用户强制实施电子邮件客户端设置)。关键是要将它们与组织的策略和法规要求相关联。(DCM 还可以协助进行恶意软件感染识别和删除,因为在扫描结果中可以轻易找出一些简单的类型。)

DCM 是针对 RMD 的关联引擎的主要数据报告程序之一,并且 DCM 可就相关主机偏离正常状况的程度提供重要详情。数据适时与否会使安全事件的意义迥然不同,因此我们需要按照与其价值成比例的频率对资产进行扫描;例如,低敏感度的资产可能只需每月扫描一次,而中等敏感的资产每周扫描一次,高度敏感的资产至少每天检查一次。

DCM 设置也是一个优秀的网络访问保护 (NAP) 机制的基本组成部分。这样,系统便可以确认所有连接的系统都已得到正确配置,并在验证之前阻止新的或未知的系统。此外,DCM 应搜寻配置的薄弱环节(例如有关某个共享的较弱的访问控制列表),以便管理员能够采取适当措施。

不要假定 DCM 仅适用于客户端或服务器之类的主机。网络设备和核心目录本身也可以成为 DCM 所涵盖的对象。如果有一个清晰、合理的网络设计,那么由理想的 DCM 系统为关联设备强制实施相关标准就顺利成章。请考虑这种可能性!DCM 可以处理相应实施,而不必手动调节路由器配置。或者,假设一组标准组策略设置与一组特定服务器或客户端相关联。DCM 应当监控它们并在域设置更改时发送警报。

DCM 收集的数据在用于 IT 审计方面应足够可靠。优秀的 DCM 必须与变动管理和法规遵从性控制机制相关联,以便能够以及时、几乎不间断的方式解决审计事项。例如,我们的一项例行控制检查就是确定 MMS 服务器上的本地管理员成员关系没有更改。此规则的强制实施就是 DCM 的用途所在!

即使您的 IT 部门尚未准备好采用自我修正式的 DCM 系统,仍然可以部署一种替代方案(也就是需要的配置监控),并能够取得很好的效果。同样,它也可以提供有关配置问题的报告和警报,但由于修正在很大程度上需要手动完成,因此可能无法获得相同的规模效应。但重要的是,我们可以获得 RMD 所需的通知和数据以进行关联。

虽然如此,我还有一点警告。无论是我上面描述的哪种形式的 DCM,其作用范围都必须仅限于重要性最低的配置项和标准资产集合数据。否则,它将有损 IT 团队所需的灵活性。如果 DCM 配置指南已过时,DCM 将迅速变成一种操作负担,而不是有用的工具。因此,不断更新对最佳资产配置方式的认识是非常重要的。此外,根据相关资产或应用程序的最佳实践,我们建议 DCM 系统应包括对其配置指南进行定期更新。

结束语

不管是自行开发还是从知名供应商那里购买,仪表盘都是必不可少的,它是您的团队对事件作出响应的主要工具。反恶意软件也是必要的,它可以帮助防范每天都在成倍增加的各种威胁。网络异常检测处于从单纯的恶意软件签名和主机入侵检测向包含数据泄漏发现功能转变的边缘 — 这最后一项功能可帮助防止出现下一个路人皆知的网络侵害。所需配置管理虽属新生事物,但必将很快成为监控和维护配置的主流。不管由谁提供这些工具,针对这四个类别中的每一类您都必须至少具备一个工具!

就目前而言,没有一家供应商(包括 Microsoft)能够提供解决所有这四个方面问题的全面解决方案。您需要自己选择适合您特定需要的产品。本文只希望针对您需要考虑的问题、要达到的目标和理想解决方案的功能提供一些见解。

Matt Clapham 是 Microsoft IT 事业部基础结构与安全小组的安全工程师。在此之前,他在 Microsoft 托管解决方案风险管理与遵从性团队工作了两年。

Todd Thompson 是 Microsoft IT 事业部基础结构与安全小组的安全工程师。在此之前,他在 Microsoft 托管解决方案风险管理与遵从性团队工作了两年。

© 2008 Microsoft Corporation 与 CMP Media, LLC.保留所有权利;不得对全文或部分内容进行复制.