2011頭等安全大事

為了處於安全狀態，一定要確保在新的一年裡這些行動在你優先考慮的範圍之內。

    毫無疑問2010年是在IT安全方面發生事件最多的一年。 首先是極光行動事件，該事件讓人們認識到在它瞄準諸如Adobe Systems, Juniper Networks, Rackspace, Yahoo, Symantec, Northrop Grumman 和Dow Chemical之類的知名公司時聯合攻擊和廣泛攻擊是怎樣的一個情形。 然後在去年春天，Stuxnet浮出水面– 以行業控制系統為攻擊對象– 向人們展示了科幻小說的情景是可能從圖書中搬到現實中來的。 而儘管Zeus殭屍網絡沒有引起同樣多的報導，但它也展示出了隱秘地、集中管理廣泛傳播的殭屍網絡的威力和危險性。

    我們還不能忘記還有很多很多與個人金融和健康有關的信息洩露事件，如Gawker攻擊使得數百萬口令遭到曝光。 這些只是重大安全破壞事件的一些事列。 另外還有一些大趨勢如經濟恢復乏力，使得預算火力缺乏不能再次強勁啟動，以及內部計算向雲計算系統的轉移。

    沒有任何理由表明這些高級複雜的攻擊和惡意軟件不會在2011年繼續興風作浪。 這也是為什麼企業將需要提升對身份管理、安全事件監控和管理，以及虛擬化和雲安全的關注。 是的，這些都不是什麼新內容；但隨著今年時間的進展，對這些內容的強調和它們的重要性將是不可否認的。

管理用戶身份和訪問控制
    在有新員工加入或承包商出場時，公司企業在向他們的系統中增加新的身份和登錄資格方面做得很好。 但不幸的是，他們在這些訪問權限的生命週期內的其它時間段中在管理這些訪問權限時的表現是非常恐怖的。 在員工轉換到新的部門時，他們未能終結該終結的訪問。 在工人升遷後，或工作角色發生變化後，新的訪問權限雖給出了，但舊的依然未經任何觸動。 這就為攻擊者提供了很大便利。 例如，作為一個有道德良知的黑客，我會有很多的時機獲得經過加密的某個員工的資格（很多情況下是前員工），然後利用那些資格進入到某個系統中– 並進一步利用那訪問權限獲得對更多用戶和系統的訪問。 休眠的訪問資格簡單地到處散放，另所有這些情況都是可能發生的。 有鑑於此，根據2009 Deloitte年度全球安全調查報告，過度的訪問權限是最普遍的外部和內部審計中發現的問題也就毫不奇怪了。

    隨著Web應用、SaaS服務、移動設備和基於雲的服務的大爆炸。 企業將別無選擇地對他們的身份和訪問權限加以控制。 他們將需要審計用戶帳戶，並無疑會存檔或刪除那些在90天或180天內一直沒有被使用的帳戶。 並且要求用戶在合理的時間段內必須變換口令。

    對身份目錄進行評估也是一個很好的想法。 目錄是否太多了？ 是否可以進行合併？ 如何制定處理流程以確保用戶訪問帳戶和相關權限定期得到審計，並終結過期的帳戶？

企業將越來越多地利用所擁有的安全日誌和事件數據
    這是迫切需要考慮的一件事。 想想有多少安全數據在遍布整個企業的安全系統、應用、和服務器日誌文件中睡大覺。 在網絡上有多少安全事件的發生本可用來減緩攻擊但卻視而不見？ 如果根據那些信息採取相應行動公司企業會增加多少安全？

    來看看Verizon Business 2010數據洩​​露調查報告中的一些發現，有86%的數據洩露受害者在他們的審計日誌中存在洩露證據，61%的數據遭洩露的公司企業自身沒有註意到洩露問題；他們是（尷尬地）被第三方告知的。

    從所有應用、安全、和服務器日誌中挑出裂縫數據的唯一方法是a）僱用一支專家團隊手工清洗日誌並期望（祈禱也可以）他們可準確地將所有需要的事件關聯成可理解可採取行動的信息；或b）部署一個安全事件和信息管理（SEIM）系統。 SEIM工具通過鑑定並集成與安全有關的信息和事件，可實時鑑別可疑活動和事件。 這些事件包括從不尋常的登錄企圖到惡意網絡活動的方方面面。 這種能力對於安全與合規授權來說是必不可少的。

虛擬化和雲安全
    由於企業都在以令人震驚的速度投入雲計算的懷抱，因此對這件事的優先考慮無需多說。 幸運的是，投入可觀努力於身份管理（或說最優先考慮的事）的公司企業將會發現那有助於構建一個強大的虛擬化和雲計算安全基礎。 第二優先考慮的事是SIEM，也會有助於令向私有云的過度更加的平順。

    雲計算將會增加員工使用應用的數量，以及增加員工訪問和管理數據的地點。 如果公司企業未能將他們的身份置於控制之下，那麼相比於在高度虛擬化的或云環境中面臨的安全挑戰，他們在物理環境中所遇到的安全挑戰將會顯得十分暗淡。 攻擊者將能滲透進帳戶、野蠻強攻用戶資格、和執行許多其它類型的攻擊。 除非適時採取恰當的預防措施，否則企業將會看到這些攻擊的到來。

    對於虛擬化的許多威脅與那些基於物理系統的威脅類似。 但由於虛擬系統可輕易構建、孵化和移動，確保恰當的處理過程和安全控制措施就位就變得更加重要。 例如，一台存儲虛機崩潰了怎麼辦？ 如果黑客侵蝕了其基本映像，可在映像中感染一個根單元。 每次當那個映像在某個地方孵化時，攻擊者於是就有了一個已安裝好的後門。 如果沒有採取正確的預防措施，風險就將會順著不安全的系統流到雲中，公共雲或私有云中。 在你向雲前行的過程中，一定要確保你沒有犯下同樣的錯誤。

    也沒有太多的空間留給這些錯誤。 除了我們今天已看到的各種攻擊類型，新的攻擊技術還將會被發現、被發布，甚至在黑客會議上被展示。 但基本原理不會改變，因此通過關注這些需優先考慮的事，你將會處於可能的最佳位置，在新的IT雲海中安全地航行，以及保護自己免遭世界上任何投向你企業的攻擊。

    或許2011年將是和2010年一樣的多變故一年，如果不是更多變故的話。 就我個人而言自然不希望如此。 但這些不應對你產生影響。 如果你將正確的優先考慮之事就位，並執行一份健全的安全計劃，你將會顯著降低成為任何重大安全事件一部分的可能。