對(duì)于企業(yè)內(nèi)部安全來(lái)說,最重要一點(diǎn)就是對(duì)內(nèi)部數(shù)據(jù)的安全管控。也就是能夠有效地對(duì)企業(yè)內(nèi)部數(shù)據(jù)進(jìn)行監(jiān)控、管理,知道是哪些人對(duì)哪些數(shù)據(jù)進(jìn)行了怎樣的操作,并從中發(fā)現(xiàn)安全威脅和隱患。日前,筆者專訪了RSA中國(guó)區(qū)資深技術(shù)顧問馮崇彪先生,與其就法規(guī)遵從、企業(yè)內(nèi)控等業(yè)界趨勢(shì)話題進(jìn)行了交流。
馮崇彪先生具有近20年的IT領(lǐng)域高級(jí)技術(shù)及管理經(jīng)驗(yàn)。熟悉企業(yè)安全整體解決方案,精通以信息為核心的RSA安全整體解決方案。
安全審計(jì)保護(hù)企業(yè)內(nèi)部數(shù)據(jù)
企業(yè)內(nèi)部網(wǎng)絡(luò),要核心保護(hù)的就是企業(yè)內(nèi)部數(shù)據(jù)的安全。保護(hù)數(shù)據(jù)安全的方法有許多,這里主要從審計(jì)的角度來(lái)談下如何保護(hù)數(shù)據(jù)安全。合規(guī)審計(jì)需要滿足內(nèi)部、外部?jī)煞矫娴陌踩螅簿褪且獫M足企業(yè)內(nèi)控的需求,以及外部審計(jì)的要求。具體而言,包括信息的安全保護(hù)以及IT審計(jì)。IT審計(jì)主要是基于整個(gè)數(shù)據(jù)的審計(jì),重點(diǎn)在于日志審計(jì)和行為審計(jì)。通過對(duì)日志及行為的審計(jì),能夠知道用戶都做過什么事情,并可以回溯。
現(xiàn)在各個(gè)行業(yè)都有安全審計(jì)的需求,審計(jì)日志涉及主機(jī)、網(wǎng)絡(luò)、應(yīng)用、存儲(chǔ)、安全、數(shù)據(jù)庫(kù)六大類日志。在許多情況下,這些日志都存放在各自的系統(tǒng)里,難于管理。對(duì)于用戶而言,他們希望能夠?qū)@些日志進(jìn)行有效的統(tǒng)一管理、保證安全運(yùn)維并滿足內(nèi)控和外部審計(jì)的要求。
企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境復(fù)雜,確保安全運(yùn)維十分重要。當(dāng)有惡意入侵者冒充合法用戶登錄時(shí),無(wú)論他進(jìn)行任何操作都會(huì)在相應(yīng)日志里留下記錄。如果能將各個(gè)系統(tǒng)里惡意入侵者的日志記錄按照時(shí)間線順序關(guān)聯(lián)起來(lái),就可以進(jìn)行分析判斷,及時(shí)發(fā)現(xiàn)其是否有惡意行為。一旦發(fā)現(xiàn)其進(jìn)行了非法操作,就可以定性為安全事件,發(fā)出警報(bào),交由相關(guān)人員予以處理。這樣就防止了企業(yè)內(nèi)部數(shù)據(jù)遭受進(jìn)一步的破壞。
比如某些證券相關(guān)企業(yè),其審計(jì)工作主要是對(duì)投資者的登錄、交易、轉(zhuǎn)賬活動(dòng)進(jìn)行監(jiān)控和限制,如發(fā)現(xiàn)行為異常則予以記錄,并可以進(jìn)行回溯,查找到底是誰(shuí)做的事情,這樣就能做相應(yīng)取證工作了。
對(duì)于電信運(yùn)營(yíng)商,安全審計(jì)也極為重要,通過將企業(yè)防火墻日志與話單系統(tǒng)的關(guān)聯(lián),可以迅速發(fā)現(xiàn)哪些人通過移動(dòng)設(shè)備做了非法事情。
RSA中國(guó)區(qū)資深技術(shù)顧問馮崇彪告訴我們,RSA enVision解決方案所提供的技術(shù)手段,能夠幫助客戶快速把現(xiàn)有網(wǎng)絡(luò)里的設(shè)備日志集中起來(lái),并在此基礎(chǔ)上保障安全運(yùn)維,簡(jiǎn)化合規(guī)審計(jì)。enVision提供了多種多樣的合規(guī)報(bào)表及關(guān)聯(lián)規(guī)則,可以幫助用戶快速滿足合規(guī)要求與內(nèi)控要求。安全運(yùn)維則幫助用戶發(fā)覺安全隱患、發(fā)現(xiàn)安全事件,并及時(shí)發(fā)出警報(bào)。enVision還能將實(shí)時(shí)安全威脅事件轉(zhuǎn)換成可執(zhí)行的數(shù)據(jù),即在發(fā)現(xiàn)安全威脅快速告警后,創(chuàng)建閉環(huán)的事件處理流程,優(yōu)化用戶網(wǎng)絡(luò)的運(yùn)行。
馮崇彪特別提到,RSA enVision解決方案是非侵入式的可擴(kuò)展予以部署?。也就是說,enVision無(wú)需理會(huì)任何網(wǎng)絡(luò)協(xié)議,不需要在用戶系統(tǒng)安裝任何軟件,僅需要用戶配置日志保存位置在enVision系統(tǒng)即可。而且,enVision在硬件上是可擴(kuò)展的,系統(tǒng)自身的安全問題無(wú)需額外考慮。
為了形象說明,馮崇彪還舉出幾個(gè)典型例子:
1、惡意攻擊者冒充管理員,創(chuàng)建、刪除賬號(hào),修改企業(yè)數(shù)據(jù)庫(kù)里的數(shù)據(jù)。在enVision的嚴(yán)密審查之下,通過對(duì)關(guān)聯(lián)日志的分析,能夠很快發(fā)現(xiàn)這一異常,發(fā)出告警,創(chuàng)建閉環(huán),快速解決。
2、企業(yè)內(nèi)部數(shù)據(jù)安全管理方面,RSA enVision解決方案通過關(guān)聯(lián)多設(shè)備日志,能快速發(fā)現(xiàn)來(lái)自企業(yè)內(nèi)部及外部的威脅源頭。
3、企業(yè)VPN登錄方面,通過enVision分析用戶登錄日志及操作日志,可以發(fā)現(xiàn)其中的異常,發(fā)布安全警告。
另外,RSA enVision解決方案還可以幫助客戶做風(fēng)險(xiǎn)監(jiān)控和合規(guī)報(bào)告。
持續(xù)建設(shè)的法規(guī)遵從
對(duì)于安全審計(jì)目前的需求,國(guó)內(nèi)與國(guó)外并不相同。國(guó)外方面,由于薩班斯、巴塞爾等法規(guī)的嚴(yán)厲要求,使得國(guó)外企業(yè)更注重合規(guī)審計(jì)。而國(guó)內(nèi)還沒有類似的強(qiáng)制性法規(guī),這就使得國(guó)內(nèi)用戶更注重于安全運(yùn)維。
而且,安全威脅一直處于變化發(fā)展過程中,現(xiàn)如今惡意入侵者更是形成了地下產(chǎn)業(yè)鏈。新互聯(lián)網(wǎng)時(shí)代的到來(lái),使得網(wǎng)絡(luò)威脅呈現(xiàn)爆發(fā)式增長(zhǎng),安全威脅壓力愈發(fā)凸顯,國(guó)內(nèi)相關(guān)機(jī)構(gòu)逐步加強(qiáng)監(jiān)管,企業(yè)安全審計(jì)的重心不再僅僅局限于安全運(yùn)維,合規(guī)審計(jì)的重要性也逐漸顯露出來(lái)。
由此可見,法規(guī)遵從是一個(gè)過程,需要逐步進(jìn)行建設(shè)。
相對(duì)的安全性需要整體建設(shè)
“安全永遠(yuǎn)是相對(duì)的”,馮崇彪認(rèn)為,雖然安全技術(shù)在不斷進(jìn)步,新的安全產(chǎn)品也在不斷推出,但惡意攻擊者總會(huì)跑到安全防護(hù)的前面,一旦防御體系顯露薄弱環(huán)節(jié),惡意攻擊者就會(huì)趁虛而入。企業(yè)要想保護(hù)其數(shù)據(jù)安全,就需要整體的安全考慮,除了基礎(chǔ)安全防護(hù)外,需要建設(shè)更高層面的安全防御體系,比如安全信息事件管理、DLP(數(shù)據(jù)丟失防護(hù))、基于風(fēng)險(xiǎn)的認(rèn)證、交易監(jiān)控等等。在IT治理方面需要完整的IT治理工具,需要網(wǎng)絡(luò)監(jiān)控系統(tǒng)防范APT類攻擊??梢哉f,企業(yè)數(shù)據(jù)安全防護(hù)需要從原先點(diǎn)的防護(hù),向面的安全防御轉(zhuǎn)變。