17條網絡安全守則 成就高安全防護水平

覺得自己沒那么容易被黑？非也！黑客眼里，絕大多數人都是防不設防的小綿羊。想維持安全狀態，一下幾個秘密不可不看。
    被請去做計算機安全實踐評估的時候，會看到公司整理實踐中哪些有用而哪些根本就是擺設。一名從事信息安全咨詢20余年的顧問，每年都會分析20-50家大大小小的公司，他基于這么多年的評估經驗能出一個結論：成功的安全策略不在于工具----在于團隊。
     只要在正確的地方配置對的人，有支持性管理和執行良好的防護過程，無論你使用的是什么工具，你的公司都會非常安全。了解計算機安全的重要性，把安全作為業務關鍵部分，而不僅僅是罪惡之源來看待的公司，也是最不容易遭受災難性數據泄露的公司。每家公司都覺得自己擁有這種公司文化；然而，極少有公司真正做到。
     下面列出的，是極佳在安全方面有著非常高的防護水平公司所采用的通行時間和策略，看成保證自身企業重要資產安全的秘籍。
一、關注真正的威脅
    一大波威脅正向我們涌來，真真正正是前所未有的，歷史性的挑戰。惡意軟件、人類對手、企業黑客、黑客活動分子，政府（國內外政府均是），乃至內部人士，都是我們面臨的威脅。銅線、能量波、無線電波，甚至光線，都是黑客能用的手段。
    因此，我們被灌輸了成千上萬條“安全須知”。我們每年都被要求往操作系統、應用、硬件、古劍、計算機、平板、移動設備和手機里打上幾百個補丁，但我們還是會被黑，會被勒索軟件把重要的數據鎖上。聰明的公司意識到，大多數安全威脅都只是可以忽略的噪音。他們明白，任何時候，自身風險都只來自于一小撮基本威脅。因此，他們的關注力只放在這些基本威脅上。花點時間識別出自家公司的最主要威脅，排個優先級，然后集中精力對付威脅列表上最頂級的那些。就是這么簡單。
    然而，大多數公司都這么干。相反，他們在幾十到幾百個安全項目中來回折騰，最嚴重的缺口一直放著不管，或者只把最輕微的威脅滅殺掉。
    好好想想。你曾被人利用SNMP（簡單網絡管理協議），曾在現實世界中看到此類報道嗎？那么，為什么要讓我把這倆當成最高優先級寫進我的審計報告里呢（曾經有個客戶這么要求過）？同時，你的環境已經被人通過其他更常見的漏洞攻破了......
    想要成功緩解風險，弄清那種風險需要你及時關注，哪種可以稍后再看，是十分必要的。
二、知道你擁有的
    有時候，最不起眼的東西才是決勝法寶。在計算機安全上，這意味著建立準確的資產清單，公司的系統、軟件、數據和設別都要列出來。大多數公司根本不知道的東西，你怎么去保護它的安全？
    捫心自問，你的團隊對公司電腦開機運行的所有程序和進程了解多少？在一個任何額外程序都會為黑客提供另一個攻擊界面的世界里，所有這些程序和進程都是員工工作必須的嗎？你的環境中各個程序的副本都有什么？都是哪幾個版本的？有多少業務關鍵程序構建了公司的基礎？它們有什么依賴關系？
    最好的公司對哪個程序運行在哪里有著嚴格的控制。缺乏一張全面的準確的當前IT資產清單，安全就是空談。
三，去除，然后保護
    不必要的程序就是不需要的風險。最安全的公司審視自己的IT資產清單，去除那些不必要的，然后減少所剩資產的風險。
    最近我剛給一家公司做了咨詢，那家公司裝了超過80000份沒打補丁的Java，橫跨5個版本。他們的員工從不知道竟然有這么多Java。域控制器、服務器、工作站，簡直到處都是。大家都知道，而這個程序僅僅只在幾十臺應用服務器上跑。
    他們詢問了全體人員，立即將Java安裝范圍縮小到幾百臺計算機，版本也減少到3個，并且大多打上了補丁。剩下幾十臺打不上補丁的才是重頭戲。他們聯系了供應商，找到了為什么Java版本不能更新的原因，更換了一些供應商，給打不上補丁的Java設置了風險緩解補償措施。
四、設想風險評估和整體工作量之間的差別
    這不僅應用在軟件的每一個比特和硬件上，對數據也使用。先清除掉不必要的數據，然后保護剩下數據的安全。有意的刪除，是最強大的數據安全策略。確保每個新數據收集者定義好自己的數據需要保存多長時間。給數據打上有效期時限。時候一到，與其主人核對能不能刪除。然后，保護剩下的數據。
五、保持最新版本
    最安全的公司，其硬件和軟件都用的最新版本。是的，每家大公司都有舊硬件和老軟件，但其IT資產組成中絕大部分都是最新或次新版的。
    不僅僅是硬件和操作系統，應用程序和工具集也是如此。采購成本不僅僅包含購買價格和維護開銷，還包括了未來升級版本的資金。這些資產的主人有責任保持更新。
    你也許會想，“為嘛要為了更新而更新呢？”但，這是一種過時的，不安全的想法。最新的軟件和硬件，內置了最新的安全特性，通常還是默認開啟的。上一個版本的最大威脅，在當前版本中很有可能被修復了，也就讓舊版在想要利用已知漏洞的黑客面前更加可口了。
六、速度打補丁
    這是一條老生常談的建議：所有關鍵漏洞要在廠商補丁發布一周之內補上。但是，大多數公司依然留有成千上萬個沒補上的關鍵漏洞。而且，他們還會告訴你說“我們的補丁修復是受控的喲”。
    如果你的公司要用超過一周的時間才打上補丁，那被攻破的風險就上升了——不僅僅是因為你家門戶大開，還因為你那些安全的競爭對手已經把自家門戶鎖上了。
    按理說，你應該在打補丁前先對補丁包做個測試，但測試不僅難，還浪費時間。想要真正安全，還是盡快打上為妙。如果需要的話，等幾天看有沒有什么小問題被報道。但，短暫的等待之后，打吧，打吧，打吧。
    持反對意見者可能會說，補丁打“太快”會帶來運營上的問題。但是，安全上最成功的公司告訴我，他們并沒有看到太多因為打補丁而出現的問題。很多最安全的公司都說，公司史上就沒有出現過因為補丁導致的宕機事件。
七、培訓，培訓，培訓，重要的事情說三遍
    培訓是極其重要的。但不幸的是，大多數公司都視用戶培訓為削減開支好去處，或者，即使做培訓，內容也是過時的，充斥著不再應用的場景或拘泥于極少見的攻擊。
    好的用戶培訓，著眼公司當前面臨，或很有可能面臨的威脅。培訓應由專業人士指導，甚或更好，有公司同事參加。我看過的一段最有效的防社會工程攻擊的視頻，就是通過凸顯出幾位公司風云員工是怎么被騙來達到教育目的的。通過分享自身易騙性的真實故事，這些同事可以教授其他員工怎樣防止成為受害者。這樣的范例，能讓其他員工更愿意報告他們自己潛在的過失。
    安全團隊同樣需要最新的安全培訓。每個成員，每年必訓。無論是請人來公司培訓，還是把人派去參加外部培訓或會議。這意味著，培訓的內容不僅僅圍繞你購置的東西，還圍繞當前最新的威脅和技術。
八、保持配置的一致性
    最安全的公司，在同樣功用的計算機上保持幾乎相同的配置。絕大多數黑客都是耐心超過聰明的。他們不過是不停地探測探測再探測，直到找到成千上萬臺服務器中你忘了修復的那一個漏洞。
    這種情況下，一致性就稱了你的好朋友。每一次，按同樣的方式，做同樣的事。確保安裝的是同樣的軟件。不要留10種連接服務器的方式。如果裝了某個App或程序，確保其他同類服務器上都裝的是同一個版本和配置。讓對你的計算機進行對比檢查的人感到厭煩是個不錯的做法。想要配置一致，缺了配置基準和嚴格的修改及配置控制可不行。管理員和用戶都要清楚，未經許可的情況下，任何的新增或重配置都是不可以的。但是，要注意別讓一個月才碰面一次的完全改變委員會把你的同事搞疲了。這樣會引起企業中風停頓的。要找到控制和靈活性的正確契合點，但又確保任何改變，一旦被批準，就要在所有同類機器上保持一致。不遵從一致性的應有懲罰。
    記住，我們討論的是基準，是底線，不是泛泛的配置。事實上，或許從一兩打建議中你就能得出99%的價值了。找出真正需要的配置，放下其他的，但要保持一致。
九、嚴格實踐最小權限訪問控制
    “最小權限”就是最大安全。然而，你很難找到全面實現這一點的公司。
    最小權限涉及到將僅夠用于完成基本任務的最低權限分配給需要的員工。大多數安全域和訪問控制列表都充斥著太過開放的權限，且缺乏審計。訪問控制列表會長大到毫無意義的程度，而且沒人愿意談論這個，因為都已經成為企業文化的一部分了。
    拿活動目錄林信任做個例子。大多數公司都有這個玩意兒，可被設置成選擇身份驗證或完全身份驗證信任。過去10年里我審計過的(成千上萬)信任幾乎都是完全身份驗證式的。而當我建議所有信任都用選擇身份驗證時，我聽到的全都是實現起來有多難的抱怨：“要接觸每一個對象，還要明確地告訴系統哪一個能訪問誒！”沒錯，說到點子上了。這就是最小權限。
    訪問控制、防火墻、信任——最安全的公司總是在任何地方都部署最小權限。他們有自動化過程要求資源擁有者定期重驗證權限。資源擁有者會收到一封郵件，標明資源名稱和誰有著何種訪問權限，然后擁有者會被要求確認當前設置。如果擁有者沒能回復后續郵件，該資源就會隨著之前的權限和訪問控制列表被清除而被刪除或挪到別的地方。
    環境中的每個對象——網絡、虛擬局域網(VLAN)、虛擬機(VM)、計算機、文件、文件夾等，都應該比照處理：積極審計下的最小權限。
十、盡量逼近“零管理員”
    為做盡壞事，壞人總在尋求控制高權限的管理員賬戶。一旦被他們掌握了root、域，或者企業管理員賬戶，就回天乏力了。大多數公司在防止高權限憑證失控上表現不佳。作為反擊手段，高安全性公司通過取消這些賬戶來達到一種“零管理員”的狀態。畢竟，如果你自己的管理員團隊都不用超級賬戶或不怎么用這些賬戶，那么這些賬戶就不容易被盜，也更容易檢測并阻止偶發的泄露狀況。
    在這里，憑證衛生的藝術是關鍵。這意味著盡可能少地使用永久超級管理員賬戶，一個都不用，或者盡量趨近于零管理員。永久超級管理員賬戶應被緊密跟蹤，嚴格審計，并限制在少量預定義的區域。而且不應啟用廣泛普及的超級賬戶，尤其是服務賬戶。
    但是，萬一有人需要用到超級憑證呢？嘗試使用委托授權吧。這種方式可只賦予請求者訪問特定對象所需的必要權限。真實世界中，極少有管理員需要對全部對象的完全訪問權。這種事簡直不可理喻，但卻是大多數公司目前的做法。相反，我們應只對修改單一對象、單一屬性，或者最多對修改某個對象子集進行授權。
    這種“剛剛夠”的做法應與“適時”訪問相結合，只在預定時段對執行單一任務進行臨時權限提升。還要加上地點限制(例如：域管理員只能出現在域控制器上)。這樣你就能有非常強的控制了。
    注意：超級管理員賬戶并不總是需要全部的權限。舉個例子，在Windows系統中，用一個單一權限——比如作為操作系統一部分的調試權限(Debug)或備份權限(Backup)，有經驗的攻擊者就足以做一系列危險操作了。要將被提升的權限當做被升級的賬戶一樣嚴密控制。委托授權——在正確的區域適時賦予剛剛夠的權限，能夠幫助你查出壞蛋，因為他們未必知道這一策略。如果你看到有超級賬戶在網絡中游弋，或者在錯誤的地方使用了超級權限，你的安全團隊會去圍追堵截的。
十一、制定基于角色的配置
    最小權限對人對計算機都適用，環境中所有對象都應該依據其扮演的角色進行配置。在理想世界中，應該只在執行時被賦予對特定任務的訪問權。
    首先，應調查清楚每個應用必需的各種任務，將通用任務聚集到盡可能少的工作角色中，然后將這些角色分配給需要的用戶賬戶。這樣一來，每個用戶賬戶和個人就會分配到僅用于執行任務所需的必要權限了。
    基于角色的訪問控制(RBAC)應被應用到每一臺計算機上，每一臺計算機的同一角色都具有相同的安全配置。實踐應用綁定的RBAC，如若沒有專門的軟件是很難的。利用現有操作系統工具，可以很方便地實現操作系統和網絡RBAC化，不過用第三方RBAC管理工具會更方便。
    將來，所有訪問控制都會是RBAC，因為RBAC體現了最小特權和零管理員。最安全的公司已經在可能的地方進行了此項實踐。
十二、隔離，隔離，隔離
    良好的安全域衛生是另一個重點。安全域，就是一個或多個安全憑證能在其中訪問對象的(邏輯上)隔離的域。理論上，在未經事前協定或訪問控制修改的情況下，同一個安全憑證不能被用于訪問兩個安全域。防火墻就是最簡單的安全域的例子。同一側的用戶不能輕易過到另一邊，除非通過預定義規則規定的協議、端口之類的。大多數網站都是安全域，大多數公司網絡也是，雖然它們可能，也應該，包含有多個安全域。
    每一個安全域都應有自己的命名空間、訪問控制、權限、角色等等，而且全部都應只能在該命名空間中有效。確定到底應該設置多少個安全域是件棘手的事。最小特權法應成為確定安全域的指南，但讓每臺計算機都單獨成為安全域就是管理噩夢了。關鍵在于，問問你自己能夠承受多大的損失——如果訪問控制失敗，讓入侵者獲得了某區域完全訪問權的話。如果你不想淪為其他人過失的受害者，可以考慮創建自己的安全域。
    如果安全域間通信是必需的(就像林信任環境)，盡量給域間設最小訪問權限。“外來”賬戶應對除極少量應用以外的對象幾乎沒有訪問權，除了這些應用中必要的基于角色的任務，對其他任務也不應具有訪問權。安全域中的所有其他事務，都應該是不可訪問的。
十三、重視智能監測實踐和及時響應
    大部分黑客活動實際上都是通過事件日志捕獲的，但確只有在事件發生后才會有人去查看這些日志。最安全的公司則會普遍而積極地監測特定異常，設置警報，并進行響應。
    最后一部分很重要。良好監測環境不會產生太多警報。在大多數環境中，事件日志啟用的情況下，每天會產生成千上萬乃至數十億條記錄。不是每個事件都是警報，但不當定義的環境就會產生成千上萬的潛在警報——多到成為類似噪音的存在而最終落到無人理會的境地。過去幾年里一些大型黑客事件就涉及到被忽略了的警報。這就是設計很差的監測環境的特征。
    最安全的公司會對所有日志源和警報對象創建比較判斷矩陣。將此矩陣與威脅列表進行對比，匹配能被當前日志或配置檢測到的每一個威脅任務。然后，對事件日志進行調整，盡可能彌補空白。
    更重要的是，只要警報產生，他們會立即響應。如果我被告知某個團隊監測某個特定威脅(比如口令猜解)，我會在之后嘗試觸發警報以查看警報產生后是否有人進行響應。大多數情況下都沒人響應。安全的公司則一有警報觸發，就會有人從座位上跳起來，詢問別人出了什么事。
十四、從頭開始實踐所有權和問責制
    每個對象和應用都應該有個所有者(或所有者組)，控制著使用情況并對其存在負責。
    典型的公司里，大多數對象都沒有所有者，IT團隊也不清楚到底是誰最先請求的某個資源，更不用說知曉該資源是否仍被需要了。事實上，大多數公司里，創建的群組個數是比活躍用戶數多的。換句話說，IT團隊可以為每個個體分配他/她自己的自定義組，公司也可以創建比當前數量更少的群組以便管理。
    然而，沒人知道某個群組是否應被移除。他們害怕刪除任何一個組。畢竟，萬一那個組是某個關鍵活動需要的，無意刪除了會導致某個任務依賴的功能失效呢？
    另一個普遍的例子是，被攻破后公司需要重置環境內所有口令的時候。但是你卻不能隨意這么做，因為其中有些是關聯到應用的服務賬戶，口令要改就得應用內和服務賬戶本身同時改。然后問題來了，沒人知道給定的應用是否在使用中，是否需要一個服務賬戶，或者口令是否可修改——因為沒有在一開始就指定所有者和相關責任，也沒有人可以詢問。最終，問題應用還是被留下了，因為導致關鍵操作中斷遠比你讓某個黑客在公司網絡里暢游，更有可能讓你被解雇。
十五、快速決策優先
    大多數公司都受困于分析無能。一致性、問責制和所有權的缺乏，讓每個人都懼怕改變。而當問題涉及到IT安全，快速行動的能力卻是關鍵。
    最安全的公司會在控制和快速決策之間建立很強的平衡，使之形成公司文化的一部分。我甚至見過將精挑細選的項目經理投入到長期項目中，僅僅是為了完善項目本身。這些特別的項目經理被賦予了一定的預算控制權，可以在事后記錄所做改變，且有一直犯錯的空間。
    對快速行動而言，留有犯錯空間是關鍵。在安全上，我特別贊同“無論如何，先做決策；如有必要，過后再道歉”的態度。
    對比典型公司，大多數問題都不敢觸碰，安全顧問建議修復的問題到第二年依然還是問題。
十六、玩得開心
    同志情誼不能忽視。認為做正確的事就意味著要犧牲掉自由和樂趣的公司，其數量之巨，可能令人震驚。對他們而言，來自同事的怨恨必須是安全專家正在履職盡責的象征。簡直錯到離譜！當你擁有了高效安全團隊，你就不會被不得不經常性重構計算機和服務器的壓力搞得不堪重負，也不會成天憂慮不知道什么時候就又被黑了。因為你清楚局勢在自己控制之下，所以一臉淡定。
    這并不是說，在最安全的公司上班就輕松愜意。但總的來說，比在其他公司更有趣，同事間也更友愛。
十七、著手去做
    高安全性公司的共有特性或許看起來很容易理解，甚至在某些方面是老生常談，比如說快速打補丁和保護配置安全。但先別忙著為自己的安全實踐知識自滿。成功護住自家重要資產的公司，和遭受數據泄露的公司，僅僅是在兩個主要特征上有差異：專注于正確的元素，以及根植做正確的事的文化，而不是僅僅口頭上這么說。秘訣已經列出，要不要卷起袖子開工實踐，就是你自己的事了。

>> 未知攻，焉知防 <<

北京易霖博信息技術有限公司（51ELAB）是國內領先的信息安全綜合實訓平臺解決方案提供商，是國內擁有自主品牌和知識產權的專業信息安全公司。易霖博2013年進入國內信息安全實訓市場，秉承“安全實訓、虛實結合、課程豐富、人才培養”的理念，立足自主研發與持續創新，為用戶提供智能、安全、內容豐富的實訓產品、解決方案和優質的服務。

紅客學院：希望能為推動信息安全技術的發展作出貢獻，探索和涉足信息安全的未來，培養一批富有正義感的信息安全力量，打造成中國信息安全的預備役人才培養基地。