安全自动化应超越病毒保护和补丁管理

申请免费试用、咨询电话：400-8352-114

    当然，也许这种集中管理站并不能算是集成式的监控站，而更像是安全管理员将各个监控站集中到一个控制台中。这也可以算是安全技术的基本特征之一。不同的安全产品无法共享网络和安全信息，这一问题对安全自动化造成了很大的限制，在其他的地方也有一些限制，例如，入侵防护系统（IPS）自己不能分辨圣诞节流量暴增和拒绝服务式攻击之间的区别，这也就是为什么很多企业都在以很有节制的方式使用入侵防护系统，有些则根本不用。当然，安全工具也不可能根据您的业务独有特质来制订与之相适应的安全策略。

    我们完全有理由相信，安全技术终将实现自动化，但永远不可能代替人类的感知能力、直觉和介入。Unisys公司企业设计师兼安全顾问John Pironti总结道：“您可以搭建自动化的安全模型并使其能够探察问题、建立对抗措施和向人类报警，而人类负责过滤和制约这些自动化技术。通过这种方式，人类与计算机之间就能够形成一种融洽的共生关系。”

    了解您的业务

    目前，入侵检测、防病毒、防火墙和反垃圾邮件的技术都已经相当成熟，基本上可以实现自动化，也就是说，人类对此类功能的介入可以降至最低程度。一些分析专家指出，安全信息集成和身份管理这两项技术却处于另外一个极端，远远没有达到成熟的地步。也就是说，这两种技术到2010年前后才能有成熟的自动化。

    蒙特利尔银行金融集团副总裁兼首席信息安全官Robert Garigue指出，不要仅仅用产品趋势来判断自动化水平。相反，企业应当将注意力放在如何使安全特性与企业的最佳实践相匹配，以及如何使自动化从单纯的安全性提升到企业一般业务运营的层次上。

    Garigue说：“如果我们从产品、从架构的角度来看，自动化的发展都是非常广泛的。例如，防火墙已经成为日常必不可少的产品，因此被嵌入到我们的网络基础设施之中。补丁更新和数据质量也已经不再是特例管理的内容，而是正常的操作。”

    当自动安全成为日常工作的一部分，安全小组就获得了更大的自由，能够将更多精力用来对付新的风险和紧急策略问题。他说：“目前，我们已经能够将注意力放在服务导向型架构、数字权限管理、身份管理和其他新出现的安全问题上，而只有建立了完善的最佳实践，才能实现这些功能的自动化。”

    在规范较为严格的行业中，最佳实践和安全自动化总是形影相随的。费城证券交易所负责质量保证的副总裁Bernie Donnelly认为，这一点非常重要，尤其是当我们需要证明谁访问了敏感数据以及包含敏感数据的网络中发生过什么情况时，就显得更加突出。

    他说：“在以前的安全自动化工作中，我必须向内部审查小组、外部审查小组和证券交易委员会证明这些问题。”

    Donnelly说，近年来，这家交易所已经建立起了多元化的贸易系统平台，而当前那些调节机构要求的审查踪迹也不再由大型机访问控制来提供。新的系统可以提供大量的报告数据，交易所的人员再从这些数据中筛选出调节机构感兴趣的信息。

    Donnelly说：“我们希望利用一套系统来整合这些信息。因此我们与Consul进行了合作，它是IBM负责远程访问控制设施的分支企业。目前我们在自己的环境中仍然在使用其产品。Consul可以从所有三个平台中收集数据并将其汇总到一台中心服务器中。在中心服务器上，我们利用单一的语言就能对所有数据进行检索。

    该交易所与其他组织很相似，都需要通过人工建立过滤器的方法来缩减数据，从而使数据达到可管理的水平。另外，要想从数据中检索出重要的信息，仍然需要进行大量的手工操作。

    Meta公司负责安全管理的副总裁Chris Byrnes说：“安全信息包含在数百个潜在的信息源中，因此，其中的关键就是去除那99%您不关心的数据，而留下1%真正有用的内容。”

    他认为，实现安全事件管理自动化的关键是找出数据来源并且分离出其中有用的信息，然后对这些信息实施自动化的关联和分析功能。不过，如果企业的拥有者不知道应该向分析引擎提出什么样的问题，那么即使实现了关联和分析功能的自动化也没有太大的意义。

    Byrnes指出：“如果知道应该向这些工具提出什么样的问题，那么它们就可以向您提供答案。但用户必须知道自己要找的是什么，并且要给出具体的关联规则。目前，厂商提供的产品仍然需要定制，还没有具备普遍适用的能力。”

    此外，安全信息管理（SIM）工具也不能充分利用已经存在于网络中的信息，除非这些信息来自SIM厂商开发和支持的产品或系统。因此，要想从更深层次的关联和分析中收集信息，就必须在整个网络中添加一些节点和内嵌式的设备。

    Computer Associates公司执行安全顾问Diana Kelley说：“无论是在有线通信还是在无线通信领域，情况都是如此。这是一场争夺安全管理控制台的战斗。如果我们想实现自动化，这类控制台就必须是集成式的，而且是开放的。我们可能配备来自不同厂商的IDS、防火墙和其他报告机制，但在自动化过程中必须抛弃门派之见，从所有的产品中获取我们想要的信息。在这一过程中，标准是必不可少的。为此，我们需要一整套的标准。”

    寻求标准

    在过去的两年中，CA一直在与IETF的开放安全交换小组进行密切的协作，目的是开发出一种在多种品牌和类型设备之间识别和共享安全事件信息通用的方法。这项名为开放源代码漏洞数据库的计划,于2002年8月在DEFCON大会上正式启动。该数据库可以在现有的多种漏洞管理系统之间共享通用的漏洞定义。数十年来，网络管理厂商一直在使用IETF著名的SNMP协议，而这种协议如今仍然是企业中一种必不可少的工具。

    Coast Capital Savings公司已经将其安全管理的未来都押在了SNMP协议上。Surrey是加拿大的一家银行信用企业联盟。它在50家零售企业中拥有2000家用户，并且正在通过兼并、收购和新建等方式迅速扩展其在加拿大的业务规模。为了支持该公司激进的发展计划，公司的高级系统工程师Andrew Banman正在开发一种名为“套装分行”的模块，使新建的分行能够立即安装和运行标准化的安全系统，而且可以通过单个控制台对其实施完善的管理。

    Banman的小组正在执行一项为期两年的计划，利用SNMP来统一所有的安全和管理信息。该小组已经使用了F5 Networks公司的FirePass SSL VPN来检查远程计算机的安全完整性，只有当这些计算机通过了安全检查后才能获得访问数据中心的权力。

    Banman说：“如果要监视所有的数据，那肯定会是一场可怕的噩梦。因此，我们根据具体情况决定应该购买哪些功能，自己编写哪些功能，并且利用SNMP管理功能来帮助我们整合所有的数据。”

    利用您的基础设施

    等到所有的标准都像SNMP一样成熟时，从不同的设备中采集和关联安全信息的过程仍然会是一项非常昂贵和困难的工作。

    于是，人们想到了将安全管理功能集成到交换机管理平台中：根据3Com的计划，该公司将把今年年初从TippingPoint Technologies公司收购来的IPS技术集成到自己的平台中，而Cisco在去年也推出了具备安全访问、IPS和安全监视等功能的自防御网络概念。另外，Enterasys Networks公司也开始提供集成式的杀毒与策略管理产品。

    北卡罗来那大学已经采用了Enterasys的安全管理产品，用来在交换机端口上阻断病毒或攻击。这种产品最大的优势之一就是，无须在每一台交换机和终端上安装节点。北卡罗来那大学数据联网副主任Mike Hawkins指出，当这种产品发现某个特定的端口上出现黑客或病毒活动，就会将这台计算机置于补救状态下，直至该计算机被修复。为了对抗层出不穷的威胁，北卡罗来那大学还使用Netsight Policy Manager在边缘交换机上实施通讯阻断策略。

    了解用户的角色

    以身份管理为例，如果对每一项应用都实施层次分明的精细访问权限管理，企业就必须对所有的定制应用和厂商的非集成式应用重新编写定制策略定义。但是，PricewaterhouseCoopers公司安全及隐私管理合伙人Brad Bauch认为，从企业的角度来看，这种精细的方式根本不可能实现用户角色和供应资源的自动化。

    然而，那些比较容易实现自动化的身份管理功能都确实已经实现了自动化，不再是安全问题的范畴，而成为了企业日常运营中的一部分。这与Garigue的安全成熟性模型完全一致。

    Bauch指出，自助式的口令设置已经成为一项非常普及的功能，并且已经证明可以在某企业中将帮助人员的呼叫量减少70%，具备很高的投资回报率。在他的客户站点上，取消服务的工作已经实现了完全的自动化，因而在很大程度上已经变成了一种人力资源功能。另外，用户自己就可以启动新的账户请求。

    例如，在Nextel公司，员工和承包商可以利用Thor Technologies公司的身份管理系统申请自己的用户ID，该系统在工作时位于该公司的PeopleSoft人力资源应用前端。用户申请好自己的ID后，系统就可启动工作流程电子邮件并为用户提供相应的资源。

    但Nextel公司IT战略及架构主任Tom Deffet说，Nextel称自己并没有向用户角色提供精细的属性和适应这些属性的独特资源，因为要想实现这些功能，就需要对数百种定制应用开发一种系统，而这种开发工作所耗费的时间将是非常惊人的。

    Deffet解释说：“角色和应用之间的组合是多种多样的，所以，实现全部这些组合的自动化供应是一件非常让人困惑的事情。因此，我们决定先摘一些容易摘到的果子，这样进展就可以快一些。”

    Nextel设置了四种主要的用户角色 :员工、承包商、业务伙伴和客户，在这些角色范围内，所有用户都可以自动获得访问共同资源的权限。例如，分析给员工的资源包括局域网、电子邮件、VPN和Internet接入。差不多一年后，Nextel公司希望进一步开发更详细的属性，如部门和职务。

    Garigue说，所有的安全自动化都会呈现出这样一种形式。首先，找出风险，然后开发标准，并最终实现最佳实践的自动化。这种形式在未来还会继续适用，尤其是对那些为了分布式服务密集型计算而部署新型数据中心架构的企业来说，这将是一条必经的道路。

    来源：CCW