雖然傳統(tǒng)防火墻、防間諜軟件、VPN加密等安全技術,在某些領域仍然起著不可替代的作用。但是它們中沒有一種方法能夠執(zhí)行所有安全措施中最基本的一條:對硬件、軟件資產(chǎn)以及它們的配置和漏洞進行持續(xù)監(jiān)控和管理。
? ? 持續(xù)風險管理的三大基石
風險管理解決方案的選擇將直接影響公司的實際安全狀態(tài)。一個好的風險管理方案,應該具備以下三大特點:
(1)盡可能多地采用自動化。持續(xù)風險管理的許多步驟都是重復的,手工完成這些任務將會消耗大量的時間和資源。自動化是確保風險管理以快速、系統(tǒng)和全面的方式完成,并在連續(xù)的過程中重復這些步驟的必要條件。
安全專家作為稀缺資源,不應該被束縛在那些可以通過自動化解決的簡單重復的工作任務中。他們應該去解決那些自動化工具解決不了的問題,例如,確定補丁的優(yōu)先級并對這些補丁的應用提供指導等。
(2)使用可靠、安全的技術。應該加大技術投入,慎重選擇那些尚在實驗性階段或未經(jīng)驗證的解決方案。畢竟涉及到業(yè)務系統(tǒng)和數(shù)據(jù)時,謹慎的安全總比大意的后悔好。
(3)自適應業(yè)務的變化。風險管理解決方案最好能夠自動適應企業(yè)業(yè)務的復雜和需求的多元化。
? ? 持續(xù)風險管理方案選型建議
筆者建議,企業(yè)在選擇風險管理方案時,能夠從設計、部署、管理三個維度進行考核,因為這些因素都對風險管理的成功部署起著至關重要的作用。
? ? 設計:建立強壯的風險評估
傳統(tǒng)針對主機掃描產(chǎn)品由用戶手動部署在企業(yè)網(wǎng)絡上,但是存在一些不可避免的缺陷。如果將漏掃產(chǎn)品部署在防火墻外側(cè),則容易受到攻擊和破壞,使得掃描產(chǎn)品的安全通信存在隱患;如果將漏掃產(chǎn)品部署在防火墻里側(cè),也存在無法處理諸如傳輸格式錯誤的數(shù)據(jù)包等漏洞。因此這類掃描產(chǎn)品會存在很多漏報和誤報的情況。
青藤的風險評估產(chǎn)品采用的是云安全架構,信息數(shù)據(jù)采集采用C/S模式,管理采用B/S模式??蛻舳撕头斩送ㄐ挪捎眉用芊绞絺鬏斠约吧矸蒡炞C機制,在客戶端上對自身進程、配置文件、服務等進行保護,能防止進程被非法注入、接口被惡意調(diào)用,具備掉線及時通知,并具備一定的自恢復功能。
? ? 部署:將操作復雜度降到最低
對于在全國或全球擁有多個數(shù)據(jù)中心的大型集團客戶,部署傳統(tǒng)漏掃軟件,會消耗大量時間和資源,比如IT人員要部署所需的設施來運行軟件,并且需要在防火墻中配置通信路徑。同時,將漏掃獲取數(shù)據(jù)與安全管理平臺集成也會存在諸多問題。
青藤Agent 只需一條命令就能在主機上完成安裝,且自動適配各種物理機、虛擬機和云環(huán)境。運行穩(wěn)定、消耗低,能夠持續(xù)收集主機進程、端口、賬號、應用配置等信息,并實時監(jiān)控進程、網(wǎng)絡連接等行為,還能與 Server 端通信,執(zhí)行其下發(fā)的任務,主動發(fā)現(xiàn)主機問題。
基于主機Agent掃描方式,安裝時不影響正常業(yè)務運轉(zhuǎn),無需重啟服務或系統(tǒng),并且采用非內(nèi)核驅(qū)動技術避免主機出現(xiàn)藍屏和崩潰等現(xiàn)象,采用非抓包技術減少對性能影響。安裝流程簡潔快速,單臺服務器安裝時間不超過三分鐘。
? 管理:提供有效低成本的解決方案
傳統(tǒng)漏掃產(chǎn)品,在大規(guī)模部署中,會產(chǎn)生昂貴管理成本。比如,掃描不同網(wǎng)段主機時候,掃描結(jié)果割裂獨立。IT人員如果想要了解整個企業(yè)風險情況,需要花費大量時間手工整理風險視圖。面對軟件更新、打補丁等常規(guī)動作,也需要在各節(jié)點上進行硬件維護和數(shù)據(jù)備份。
青藤風險評估產(chǎn)品提供系統(tǒng)規(guī)則包的離線上傳更新功能,用戶自助手動更新規(guī)則,在能連接外網(wǎng)的情況下,可以支持在線同步更新規(guī)則功能;支持系統(tǒng)各類通知的告警功能,包括如下分類:資產(chǎn)清點,風險發(fā)現(xiàn),入侵檢測,安全通告,產(chǎn)品動態(tài),系統(tǒng)監(jiān)控。同時,防止通知風暴問題,所有通知均進行聚合處理。
? ? 寫在最后
間歇性風險評估的效果是是短暫的,一旦環(huán)境發(fā)生變化或新威脅出現(xiàn)將失效。如果想要通過風險管理幫助企業(yè)提高安全性,那么應該進行持續(xù)掃描。當使用自動化風險管理解決方案時,持續(xù)風險管理變得相對容易。