企业网络安全亟待解决的六大问题(下)

日期:2010-9-20

  问题4 Microsoft会正确对待安全性吗?

  在Bill Gates最后一次在RSA 2007大会上出现在公众面前时,他与Craig Mundie(Gates将指挥公司产品安全发展方向的指挥棒交给了他)同台亮相。这两个人以自我批评的口吻解释了Microsoft的软件为什么达不到要求的原因。

  两个人指出过去Microsoft软件缺少安全性的原因可以追溯到早期年代的一种天真的想法。这种想法认为由于“所有人都是善良的”并且数据中心似乎被谨慎地保护起来,所以不需要多少控制。

  Nemertes Research公司高级副总裁、创建合伙人Andreas Antonopoulos认为,几十年积累下来的包袱仍是Microsoft的负担。他说:“甚至在今天,25年前做出的基本设计决策仍困扰着Microsoft.Windows Vista不是一种新操作系统。在Vista外衣下有很多老的操作系统,为了确保应用的向后兼容性,Vista承担了过去20年积累的负担。”

  Antonopoulos认为,Microsoft处于一种两难境地。如果这家公司的确决定在软件上重起炉灶,它可能不得不牺牲财务优势。他说:“这种事不可能发生。”

  Burton Group分析师Dan Blum表达了类似观点,他说:“从这个意义上讲,他们是受害者。他们在思想上受到向后兼容性的限制。几年前,Microsoft曾在所谓的下一代安全计算基础(NGSCB)项目中寻求与过去决裂,但Microsoft停止了这个项目。”

  Microsoft仍沿着“方便性、灵活性和向后兼容性”的道路前进,而这使得Microsoft在市场中具有最大的优势。Blum假设如果他是Gates,他会尝试一种“并行方式”来开发下一代可信任的操作系统,即使与已有应用决裂。

  “在另一些方面,Microsoft总体上制定了一种可行的身份战略,但受到其以Windows为中心的方式的束缚。”Blum说,“他们永远不会批准任何不同的平台。例如,Microsoft缺少对SAML标准的支持就是个大错误,不符合软件行业的最大利益。”

  Antonopoulos认为,Linux、Unix和Macintosh操作系统在发货时具有比Microsoft产品更好的“安全设计状态”。

  不过,Antonopoulos和Blum都认为Microsoft在Vista和XP2上有了改进。

  “问题在于Microsoft造成了一种坏的声誉,摆脱这种恶名很难。”Antonopoulos说。Microsoft拥有大量掌握着身份和信任专业知识的天才工程师,但他们在工程会议上表达的想法却很少被采用到Microsoft软件中。他补充说:“我认为这些想法肯定被驳回了。”

  对于一些与Microsoft密切合作的第三方安全软件提供商来说,有时也是很难受的。

  生产用于Microsoft桌面和服务器产品的口令和管理员管理工具的Lieberman Software公司总裁Phil Lieberman说:“这一直就是个过山车。

  Microsoft面临的问题是它不仅仅是一个公司;它是走在不同的道路上相互打架的存在分歧的多个公司。“

  Lieberman说,在一些Microsoft部门中,如那些管理CRM或Office产品的部门,不存在为安全性与第三方应用合作的努力,而核心操作系统部则更开放。

  但是,与Microsoft合作(这可能是获得正式Microsoft认证所必需的)的更令人生气的部分是这家公司不更新技术文件。

  Lieberman说:“很大一部分操作系统没有记录到文件中。他们前进的速度很快,发行那么多的版本和更新,没有人记录他们在做什么。例如,如果Microsoft为周二补丁发布修改某个东西并且数据链接库被修改了,他们不愿修改文件,而你的应用则不能使用。我们不得不研究这个问题,结果发现他们修改了它。”

  尽管承认Microsoft不良的记录,但另一些记录却让人稍感安慰。

  Symantec公司安全响应部经理Oliver Friedrichs说:“Microsoft进行改进的努力产生了正面影响。我们必须在改进操作系统安全性上给Microsoft一些表扬。”

  过去几年里,没有出现过像Code Red、Blaster和Nimbda这样的利用Microsoft产品存在的漏洞在世界范围造成重大破坏的灾难性的蠕虫攻击。

  Friedrichs补充说:“今天的攻击者将注意力放在第三方Web插件上。”

  SystemExperts公司总裁Jon Gossels说:“很容易选择Microsoft产品作为攻击目标,因为它们无处不在,而且历史上存在问题。但是他们的产品每年都在改进,有很多专业人员在努力寻找产品存在的隐患。”

  问题5 NAC:你的防火墙足够用了吗?

  网络访问控制(NAC)并不是为所有人准备的,但它可以成为控制个人获得网络接入环境的有价值的工具。

  NAC可以在对终端进行全面的检查后,再允许终端进入企业网络。这类检查有助于那些要求合法终端必须被正确配置的企业。

  大多数NAC平台不仅执行这种功能,而且还记录执行过程,而这是不同管理规定(如PCI标准和医疗保险便携与责任法)所要求的。

  如果企业拥有经常使用它们的网络的全职雇员、承包商和客户构成的多样化的用户群体,NAC可以帮助确保他们用来连接的设备符合配置政策。

  对于达不到要求的机器,NAC可以修补它们,隔离它们或批准它们访问只有有限资源并且它们只能造成有限破坏的网段。

  同样,必须按部门或职能划分网络的企业可以利用NAC中的授权控制将访问权限控制在相当精细的水平上。

  Forrester Research公司分析师Rob Whitely说:“如果公司面临多种遵从性要求(Sarbanes-Oxley法、PCI、HIPAA),拥有多样化的劳动大军(雇员、承包商、远程工作人员、合作伙伴、供应商)和全球运营(需要按地区、业务单位以及其他情况划分环境),那么NAC最终将成为分层安全架构中的元素。”

  这种分层的安全架构较少依赖于作为主要防线的周边防火墙,而更多的依赖于寻求减少威胁的不同的安全层。他说,NAC并不是必需的,但是它将成为这些新安全架构的至关重要的组成部分。

  多数网络没有NAC仍可以存在下去。这项技术防止受到损害的机器获得网络接入以及减少如果它们得逞所造成的破坏。但它并不能保证安全性。

  NAC是为应对传统的3层防火墙不能对付的威胁而生的,现在出现了NAC不能对付但可以做出重要贡献的威胁。

  Whiteley说:“问问你自己:你的防火墙足够用了吗?如果够用了,很可能就不需要NAC了。NAC提供额外的主机完整性检查,但这除了更细粒度的认证和授权之外(这些实际上只是试图弥补今天防火墙存在的不足),没有提供其他的价值。”

  问题6 IT解决了补丁管理问题了吗?

  补丁和安全漏洞管理工具可以承担检测和保护一个基本上静态的、受控的环境中存在漏洞的机器的任务。这一技术领域被认为是IT经理中的重点任务。IT经理很可能用了很多年时间来完善他们的漏洞扫描、补丁测试和软件分发过程。

  据Enterprise Management Associates公司的一项调查显示,接受调查的250位IT经理中的76%使用某种补丁管理产品,并说打补丁是个非常重要的过程。VanDyke Software的第五次年度企业安全调查采访了300位网络管理员。调查发现30%的人仍为打补丁去担心,这一数字比过去几年减少了。一些业界观察家推测担心的减少反映了补丁管理产品和IT经理的修补过程中的成熟度。

  佛罗里达州Gainesville市Exactech公司网络管理员Craig Bush说:“我们实际上没有任何改变需要被修补的东西的事情,除了远程访问用户之外,这些用户一直给我们保持修补造成困难。目前,我们必须等到客户机连接在我们的VPN后才进行更新,而这永远是不规律的。”

  Exactech公司的修补过程很成熟,但厂商可以通过为用户节省在把补丁部署到分散的机器之前恰当地测试补丁的时间,来方便修补过程。他说:“厂商应当确保在发布补丁之前全面地测试过它们。这种事对于开源技术比对于像Microsoft这样的封闭源代码公司更容易,Microsoft通常需要更长的补丁交货时间。”

  但是业界观察家说,今天和未来补丁技术所面临的问题将更多地涉及用户环境而不是厂商的更新。他们警告说,尽管补丁管理技术可以被认为是成熟了,但随着环境演进到包括更多的虚拟化和复杂应用基础设施,补丁技术也必须向前发展。Altiris公司(现在成为Symantec的一部分)、BigFix、CA、St. Bernard Software、PatchLink和Shavlik Technologies等厂商反过来必须将对虚拟化和其它技术的支持加入到他们的工具中来充分地修补客户环境。

  Enterprise Management Associates研究主管Andi Mann说:“这是个比较成熟的技术,但这并不意味着它在控制之中。虚拟化等领域中的补丁技术目前仍很不成熟;服务器和桌面虚拟化正在将补丁技术的老规则抛出窗外。”

  虚拟化带来复杂性,并且造成在同样的时间里需要修补的机器的数量大大增加。这可能造成IT经理加快补丁测试过程,而这最终将造成生产机器上的配置冲突。Mann说:“测试是补丁技术的关键要素,在存在像零天攻击这样的直接威胁以及虚拟机数量急剧增加的情况下,确保所有的更新一起配合保护环境变得更困难。”

  分析师Jasmine Noel认为,再加上依从性修补,修补可能成为IT经理面临的新的挑战。她表示,随着环境变得更加复杂,分发补丁的厂商数量的增加,测试和分发更新的多个层次将令许多IT经理目前采用的老修补方式不再适用。

  企业网络安全亟待解决的六大问题(上)

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

企业安全风险管理>更多

  • 802.11ax如何防御IoT安全漏洞?

    IEEE 802.11ax将更好地支持物联网(IoT)。那么,它是否会改善IoT安全性?IEEE 802.11ax是否可防御像最近的Netgear路由器漏洞这样的问题?

  • 主动防御:拥抱数字化转型的安全未来

    “主动防御”的安全新思路应用到越来越多的企业中。瑞数信息与IDC携手发布数字化转型安全白皮书,帮助用户在确保关键业务得到安全保护的同时,能够更加从容地利用数字化转型优势,驾驭数字的力量。

  • 云栖大会前夕:阿里云安全来了场神秘发布

    国庆即来,而国庆之后即是一年一度的杭州云栖大会,在距大会不到两周的节点上,一场以“云上安全 中国力量”的阿里云安全发布会在京神秘召开,更有神秘的“幕后智多星”首次公开亮相……

  • 企业实际云应用数量远超自身认知,如何保证云端安全?

    据赛门铁克7月份针对CIO、CISO进行的有关云应用状态的调查显示,绝大部分企业CIO认为企业在使用云应用方面的数据量大概只有30-40个左右,但实际上经用户调研显示,这一数字高达900个……

相关推荐

  • Stuxnet多年之后:Windows Shell漏洞仍然肆虐

    Stuxnet利用的Windows Shell漏洞是需要企业仔细评估的漏洞之一。自被公开以来,Windows Shell漏洞已经包含在很多漏洞利用工具包中,并被很多攻击者利用,尽管微软在2010年发布了补丁,但这个问题仍然没有得到解决。

  • 难以避免的泄漏事故:怎么解?

    网络安全泄露事故不可避免?如果遭遇网络安全泄露事故不可避免,如果真的不可能阻止泄露事故,那么,试图保护信息和信息系统是不是浪费时间和金钱?

  • 微软6月补丁日发布更多面向Windows XP的补丁

    微软在2017年6月份周二的补丁发布日提供了全新的Windows XP修复程序,以确保系统免受泄漏的NSA网络武器(如勒索软件WannaCry)的威胁。

  • 从WannaCry事件吸取教训:补丁管理需自动化

    更新升级软件是企业IT管理员的一项份内职责。为了提高打补丁的效率,符合合规要求,企业常需要购买补丁管理工具。补丁管理工具可实现更新的自动化,有助于保护企业基础架构和终端设备免受可能的安全威胁,并支持在线修复软件bug及增强功能……

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心