搜索
LANDesk白皮书利用分层式方法实现端点安全提高安全成熟度白皮书|提高安全成熟度在现行法律允许的最大限度内,LANDesk对于与LANDesk产品的销售和/或使用相关的任何事项概不负责,并且声明免于任何明示或暗示的担保,包括与特定用途的适用性、适销性或专利、版权或其他知识产权侵权相关的责任或担保(若未限定版权所有之权利)。LANDesk保留在未事先通知的情况下,随时更改本文档或相关产品的规格和说明的权利。LANDesk不对本文档的使用提出任何担保,并且对于文档中可能出现的任何错误概不负责,也没有更新其中所含信息的义务。有关最新的产品信息,请访问。版权所有©2011,LANDeskSoftware,Inc.及其附属公司。保留所有权利。LANDesk及其徽标为LANDeskSoftware,Inc.及其附属公司在美国和/或其他国家/地区的注册商标或商标。其他品牌和名称是其他各自拥有者的财产。LSI-09091010HB/BB/DL3白皮书|提高安全成熟度目录摘要……………………………………………………………………………………………………………4IT安全领域日益增长的复杂性需要成熟的安全管理……………………………………………………4成熟、系统的安全管理方法…………………………………………………………………………………5第1层:首先构建强大的安全防线和数据基础………………………………………………………5LANDesk方法:…………………………………………………………………………………………6第2层:借助更强大的智能和系统的修正方法提高主动性…………………………………………7LANDesk方法:…………………………………………………………………………………………8第3层:保护内部重要信息—数据……………………………………………………………………9LANDesk方法:………………………………………………………………………………………10第4层:优化安全流程…………………………………………………………………………………11LANDesk方法:………………………………………………………………………………………11简化升级到成熟安全模式的过程…………………………………………………………………………12被动型企业主动型企业■■■■■安全水平低多点解决方案IT资源利用率低下用手动方法来隔离安全威胁IT安全部门管理整个安全流程■■■■■多层安全防护集成安全解决方案流程简化至最基本的几个步骤自动隔离安全威胁IT运行部门管理已知安全流程,IT安全部门则持续监控并调查安全威胁LANDesk白皮书|提高安全成熟度摘要恶意软件中的犯罪性创新越来越具创意、成本投入越来越高,并且威胁环境也在快速演变。各种恶意软件的数量急剧膨胀,且基于Web的越来越多。IT部门通过设置越来越多的障碍来抵抗网络攻击和数据丢失,原因不仅在于保护数据这一工作越来越复杂,还在于尽量避免陷入丢失客户机密数据这一尴尬处境。公司在提高安全性方面的努力可能会促使他们购买更多的单一针对性产品,而这些产品可能只会让他们感觉更加安全而非实际上更加安全。这些企业实际上只是更具反应力,而这也是大多数企业目前的现状。问题在于高级攻击的层出不穷不再允许企业只是单纯地做出反应而己。具有更加成熟的安全系统和方法的公司在安全性方面表现出更加主动的姿态。更加主动就是部署多层集成保护技术来增加网络攻击的难度。下表显示事后反应型企业与更加主动或具有更加成熟的IT安全性的企业各自的一些倾向性做法:LANDesk分层式安全方法旨在简化每个安全层。LANDesk首先使用LANDesk®管理套件全面的硬件和软件管理功能为企业提供逻辑的增量型方法,以此来更加紧密集成的使用相同客户端软件代理、服务器基础架构和管理控制台的安全功能。这些功能包括反恶意软件、设备和应用程序控制、数据保护、应用程序白名单、防火墙、主机入侵防护(HIPS)、网络访问控制(802.1x)和全面的修补程序管理。每个防御性新增功能都会集成到公共管理平台中并作为一个紧密结合的应用程序来运行。本白皮书将探究为什么企业需要成熟的分层式方法来构建安全管理以及LANDesk可如何帮助客户满足其对分层式方法的需求。IT安全领域日益增长的复杂性需要成熟的安全管理端点安全需要更加灵活,而这一需求也与日俱增。如今的IT威胁为竭力保护大量台式机和便捷式计算机的IT部门提出了极大的挑战。随着越来越多的移动工作者使用多种设备来访问公司资源,IT安全部门考虑用户所在的位置和周围环境将变得更加重要(无论他们位于防火墙内部还是外部)。一旦出现重大IT安全事故,企业将蒙受巨大损失;漏洞和潜在攻击的表现形式也在不断地发展变化。对于任意单一针对性解决方案而言,如今的威胁环境太过变化多端,它们难以实现有效的保护。以IT部门每天面对的越来越多的威胁为例:■随着操作系统安全性方面的改进,恶意攻击策略现在的关注重点是利用应用程序的漏洞,包括浏览器、办公软件、媒体播放器、备份软件、智能手机、iPad甚至安全性软件。这些攻击的目标通常是僵尸网络招募。■基于Web的攻击数量已显著增加,不仅包括钓鱼网络,还包括从已被危害的受信任站点启动的攻击。通常它们会针对每个访问者发动经过特殊编码的攻击以避开基于签名的安全性。■信息窃取目前是跨国犯罪集团的主要领域。许多公司网络入侵是定向攻击,旨在窃取个人信息和知识产权,并且同时从企业内部和外部启动。通常,在检测到此类攻击时,入侵者已经逃之夭夭了。■数据丢失的媒介正在迅速增加:笔记本电脑仍最为常见,但可移动大容量存储设备(尤其是普遍存在且容易隐蔽的USB驱动器)和临时无线网络桥接设备正在快速增长。■恶意软件创新仍在不断加速。5白皮书|提高安全成熟度此外,还需要企业内的IT安全团队与IT运营团队之间增强协作。在许多情形下,企业中的这两个IT团队都存在争执。IT安全团队担心风险和威胁,制定各种策略并评估环境,而IT运营领域(服务器管理、网络管理和桌面管理)为可用性和性能而坐立不安,即保持环境的稳定、管理变更以及消除可能影响可用性和性能的一切因素。IT安全团队通常会督促执行各种策略和建议,并快速部署新的技术以便应对攻击和威胁,而有时也会将技术强行引入可能存在管理或性能问题的环境中。IT运营团队一直在寻找具有统一的界面、管理、报告和工作流而不会对可用性和性能产生外来干扰的技术。例如,在华盛顿特区郊外举办的2010Gartner安全与风险管理峰会中,副总裁兼著名分析家MarkNicolett在“IT安全与IT运营集成的最佳方法”会议中提到:“随着信息安全威胁和解决这些威胁的技术的日渐成熟,这些活动应移交到IT部门的运营团队。信息安全团队应将重点放在新兴威胁和技术上。它要求信息安全团队“放弃”更为常见、普通的威胁防护技术。如病毒(威胁)和防病毒(保护)技术。成熟的技术已能充分地了解它们。桌面运营团队应处理防病毒软件和签名更新。信息安全团队可以设置策略,但运营团队负责具体实施。还有一个例子就是修补程序管理,它应与软件分发合并起来,为什么要让两个团队使用两个流程来分别完成这一任务?这并不意味着将信息安全与运营合二为一。相反地,让每个团队将重点放在自己最擅长的领域。运营人员不希望事情发生改变,而在涉及安全威胁时,这种做法并不永远正确。“让您的信息安全专家们关注他们最擅长的领域并有效地处理新的威胁。让您的IT运营专家们关注他们最擅长的领域并有效地运营成熟的系统。”1IT安全专家可利用多种方法来让企业实现更为成熟的安全解决方案。他们可继续部署单一针对性解决方案,然后尝试单独管理它们或让IT运营部门管理。他们可部署单一针对性解决方案,并在找到更为整合的安全解决方案之后将它们“取而代之”。或者,他们可寻找一个可集成到IT运营工作流中的解决方案来管理端点设备,并在多个层中利用集成的安全性。成熟、系统的安全管理方法提高安全成熟度需要各种分层式端点保护、管理和防御功能,将它们集成起来以实现全自动化运营。第1层:首先构建强大的安全防线和数据基础如下图所示,实现安全性的第一步就是了解环境中有哪些软件和硬件,设置防范恶意软件攻击的第一层障碍,随时为所有的操作系统安装修补程序并在任意指定时间生成报告以显示安全状态。资产发现和清单还应注意的是,不仅要查看所管理的设备,还要查看连接到网络的所有设备,因为如果您不了解连接了哪些设备以及这些设备上正在运行什么软件,将无法对网络进行保护。您需要能够发现整个企业网络中的资产(无论它们位于企业办公场所还是处于远程位置),并实时维护该资产清单。1MarkNicolett,*2010GartnerSecurity&RiskManagementSummit,NationalHarbor,MD,“BestPracticesinITSecurityandITOperationsIntegration”sessionspeakernotes,slide4.端点安全成熟度曲线管理混乱被动响应主动管理安全风险设备发现报警操作系统补丁个人防火墙杀毒软件/反间谍软件安全风险白皮书|提高安全成熟度恶意软件防护作为安全的基础,需安装防恶意软件的软件(如防病毒和防间谍软件)来阻止或防护特定的威胁。通过新的恶意软件病毒库来持续更新这些安全应用程序以便能够阻止已知的攻击。但是,黑名单对于剧增的新威胁而言正变得越来越无效,并且对于定向威胁而言基本不起作用。因此,许多公司正通过非基于签名的解决方案(如应用程序控制和白名单)来增强安全性,从而阻止除特定应用程序以外的所有应用程序或者阻止使用任意未经批准的应用程序。此外,恶意代码防御应包括其他组件,例如需要经常更新且集中管理的基于签名的传统防病毒和防间谍软件保护。将其与主机入侵保护解决方案(HIPS)结合起来,从而即使是在缺少公认的恶意软件签名的情况下,也能够阻止未经许可的代码执行、预防缓冲区溢出漏洞并检测异常应用程序行为。个人防火墙为实现更多保护,IT管理员应使用能阻止特定的入站或出站连接的个人防火墙。优秀的防火墙可根据计算机是连接到受信任网络还是非信任网络来动态更改阻止行为,甚至可在发生防火墙入侵时发出警告并加以记录。有些防火墙甚至做得更好,对哪些应用程序可以访问网络以及访问方式进行了限制。最终用户的防火墙通常放在受保护的网络与未受保护的网络之间。它的作用类似于保护资产的大门,以确保私有的信息不会流出并且恶意的内容不会流入。可将个人防火墙配置为允许或拒绝入站和出站连接,并且可针对任意入侵行为向IT人员发出警告,然后将它们记录下来。有些防火墙可根据用户位于受信任站点还是非信任站点来更改策略。防火墙还可控制或阻止应用程序以帮助最小化公司风险。操作系统修补程序管理随时更新MicrosoftWindows和其他操作系统的修补程序对于减少与操作系统漏洞相关的安全风险而言至关重要。因此,发现和清单是了解网络动态的重要环节。然后可制定策略来为指定的操作系统自动安装修补程序。此外,一旦新的修补程序可用就自动下载和安装它们,这样可以减少工作量并降低风险。LANDesk方法:对于资产发现和清单,LANDesk®管理套件用户已习惯实时的子网级发现技术的便利和透明性,这些技术会识别、定位计算机资产并列出清单,评估它们的配置和管理状态以及确定是否启用了本地防火墙。它们甚至无需使用VPN即可通过Internet访问远程分布式站点上的系统。LANDesk®安全套件通过无线访问点发现解决方案扩展了这些功能,即利用笔记本电脑无线网卡定位并归类企业环境内部和附近的所有访问点,从而使管理员可阻止访问未经授权的无线接入点。LANDesk为企业提供了两种方法来实现恶意软件防护,以使工作变得更加轻松。可使用LANDesk恶意软件解决方案,也可从单个LAND