安全观察

McAfee®Avert®Labs安全观察2009年夏季刊无法管理无法衡量就无法管理-要衡量安全，必须了解核心问题风险与法规遵从法规与法规遵从要求正在彻底改变企业安全2McAFEESECURITYJOURNAL目录3面临风险与法规遵从方面的挑战我们重点关注实施安全法规的难点问题。作者：JeffGreen4风险与法规遵从：迈向安全的第一步我们将尝试激发大家对这个未得到足够重视的主题的兴趣，并至少解释它为何如此重要。作者：StuartMcClure7审计成本多年来，IT审计的范围与开支间的矛盾一直是审计人员与IT部门发生摩擦的根源。作者：EvelyndeSouza10PCIDSS：聊胜于无支付卡行业制定出了保障企业和消费者利益的安全标准。作者：AnthonyBettini13审计与法规遵从的变革法规无处不在，而有效遵从这些法规是一项非常艰巨的任务。作者：KentLandfield19纵观全球恶意消息恶意软件和消息威胁的态势和性质都发生了重大变化。作者：DavidMarcusMcAfeeSecurityJournal2009年夏季刊编辑DanSommer作者AnthonyBettiniEvelyndeSouzaJeffGreenKentLandfieldDavidMarcusStuartMcClure营销BethMartinezJenniferNatwick文字编辑MaryKarlton设计和排版PairDesign,LLC美工DougRoss印刷RRDonnelley翻译McAfeeLocalisation公共关系JorisEversRedConsultancyLtd.McAfeeAvertLabs高级副总裁JeffGreen安全研究与通信主管DavidMarcus2009年夏季刊3现今，公司都面临着极为艰巨的法规遵从挑战。法规可不单单存在于美国，它们无处不在。本期中的几篇文章从概念上探讨了风险与法规遵从的基本原则。我们将以全球化视角探究法规的棘手问题。我们重点关注支付卡行业的标准并评估其利弊。此外，我们还将探讨审计人员与IT部门之间的固有冲突，以及由此引发并给企业带来很大负担的审计疲劳现象。在任何情况下，遵从法规和/或策略都不等同于获得安全，本期我们将密切关注这种误解。在本期最后，我们会通过一些可能会令读者大吃一惊的统计结果，阐明全球消息威胁不断变化的本质。在现今的计算机安全领域，风险与法规遵从是人们了解最少且误用最多的两个方面。即便是此领域最有经验的人，要掌握真正实现计算机安全量化的概念也绝非易事。面临风险与法规遵从方面的挑战作者：JeffGreenJeffGreen是McAfeeAvertLabs与产品开发高级副总裁。他负责领导迈克菲分布于美国、欧洲和亚洲的全球所有研究机构。Green监管的研究团队主要致力于以下研究：病毒、黑客/区域性攻击、间谍软件、垃圾邮件、网络钓鱼、漏洞和修补程序，以及主机和网络入侵技术。此外，他还主管长期安全研究，以确保迈克菲领先于各种新兴的威胁。漏洞会造成什么影响？免受黑客攻击或恶意软件感染可节省多少成本？我的网络防范措施是否带来价值，能否证明此价值？我是否经常承受一些风险？这些审计人员到底想做什么？卓越的研究人员本期为McAfeeSecurityJournal第五期，在此，我们将重点关注风险与法规遵从的现状、应用、历史状况和不合理性，并与一组优秀的作者共同完成此次探讨。McAfeeAvertLabs与其他研究组织的区别之一便是，我们拥有大量来自各个安全领域的研究人员。AnthonyBettini、KentLandfield、StuartMcClure和EvelyndeSouza等优秀的研究人员和饱学之士向风险与法规遵从、法规和审计的既有概念和规则发起了挑战。4McAFEESECURITYJOURNAL这个催人入睡的话题究竟是什么呢？风险与法规遵从。为什么刚刚说出“风险与法规遵从”这个短语，一些人就开始打瞌睡了呢？原因很简单。尽管风险与法规遵从与大家紧密相关，但是在日常生活中，却很少有人了解风险和法规遵从因素，更别说将二者结合在一起考虑。因此，让我们来揭开这个看似普通的概念的神秘面纱。我们将尽力使这个话题变得有趣，但如果我们无法做到这一点，也至少能解释它为何如此重要。我们每个人每天都会做出很多风险决策，但我们并未意识到其中大部分决策。我们做出一个决策后，它产生了正面结果；我们做出另一个决策后，却产生了负面结果。这同样适用于安全方面。在管理日常生活中的风险时，我们力争在已知风险与决策成本之间取得平衡，以做出最佳的选择。风险基于每个行动都会产生结果（好或坏）的基本观念。我们不会始终知晓所做决策的结果，但几乎每个决策都会产生一个正面或负面的结果。简单地说，这就是风险管理。风险我已经开车多年，并已接受驾驶的风险（意外事故、受伤甚至死亡），因为其他出行方式（步行、骑自行车或乘公共汽车）并非总是可行或者方便。我每天都要承受这些风险，通常是在无意识的情况下，但有时也会清醒地认识到这一点，比如发生交通意外时。但我常常忘了，在开车时，我可能无法快速对糟糕的路况（碎石、雨水、碎片）做出反应，从而引发撞车甚至伤害别人的风险。鉴于开车已存在风险，如果没有仪表盘让我知道驾驶速度，会发生什么情况呢？如果没有后视镜让我看到后面或两侧的物体，情况又会怎样呢？我如何知道自己的驾驶是否安全以及能否降低事故的风险呢？我无从得知。这些仪表和助视器提供了司机安全驾驶所需的信息。当司机忽略这些指标时，他们会将自己置于危险之中。这同样适用于安全风险：您衡量的越多，预测出麻烦或实际伤害（乃至避免负面结果）的机会就越大。您忽视的风险越多，就越有可能遇到问题。要为安全建立一个仪表盘，您必须了解如何衡量安全。您的汽车仪表盘连接了数以百计的输入装置，例如：车轮的旋转（速度）、轮胎牵引（牵引控制）、发动机组的温度、水位等。如果您的汽车没有这些连接点，仪表盘将变得毫无意义。这同样适用于安全方面。任何成功的风险和法规遵从程序必须识别内部连接点并每天进行衡量。为此，我们必须创建安全程序，这些程序可以说明安全风险的基本情况，并应用质量和数量衡量指标。然后，我们必须随着时间的推移跟踪这些指标，以显示进展或倒退状况。请打起精神，精彩内容将马上向您呈现。在讨论企业安全的某个方面时，我们需要您保持清醒并集中注意力，因为这个话题往往无法引起人们的兴趣。风险与法规遵从：迈向安全的第一步作者：StuartMcClure2009年夏季刊5安全指标无法衡量就无法管理。这是所有成功企业的信条，虽然安全在很大程度上避免了这一模式，但这种情况即将改变。法规与法规遵从要求造成了这种变化。大多数安全技术处理的是安全症状，而非核心问题。但要衡量安全，就必须了解核心问题-原因。什么原因引起了安全事件？有以下两个核心原因或可能性：设计缺陷和功能滥用。还有两种攻击媒介或动机：恶意黑客和较差的用户判断力。将这些核心原因和媒介结合起来，您可以解决无数个安全事件。除非监控和管理这些攻击方法，否则必然要忍受这些问题的重复出现。核心问题设计缺陷是首要的核心问题，它是对以下说法的委婉表示：“开发商没能理解安全含义，由此导致不良事件发生。”这包括由网络、系统、应用程序和数据库开发商与供应商（如Microsoft、Oracle和SAP）所引入的硬件和软件漏洞，以及各公司（如大型银行、Web开发公司、在线交易公司及其他公司）创建其自有应用程序所导致的硬件和软件漏洞。设计缺陷所波及的范围非常广泛，并且由于人类在不断设计技术、编写相关代码并实现这些技术，因此会一直存在设计缺陷。如果汽车领域出现了这样的缺陷，汽车制造商通常会召回这些车辆。如果调查显示布线或油箱存在严重缺陷，可能会导致事故或死亡，那么我们必须纠正这种错误。就像汽车如果存在严重缺陷就会带来麻烦，甚至出现更糟糕的情况一样，计算机的硬件和软件也存在类似的问题。这些技术的工程师不一定总能在设计和规划时周全地考虑安全问题，由此可能会导致缺陷和潜在的门户网站攻击。目前，我们还无法在计算机领域实施同样的召回措施，但我可以大胆地预言我们将在下一个十年内实现这个目标。到那时，有能力负责召回不安全产品的独立实体将会召回这些不安全的硬件和软件。我们无法轻易衡量计算机系统的设计缺陷，因为它们在大多数情况下都是未知的，就像汽车工程师极少能预测到某个特定的设计会有缺陷一样。但是我们能够衡量计算机系统中的已知缺陷，它们会以漏洞的形式出现。目前，世界上已存在好几万个已知的漏洞。从路由器、无线设备、智能电话、计算机，到AppleMacintosh、Web应用程序、企业资源规划(ERP,EnterpriseResourcePlanning)应用程序或数据库，都可能受到已知的漏洞的危害。因此，您需要了解这些缺陷，并确认他们是否存在于您的计算机资产当中。当您能够确定已有漏洞的数量和类型后，您就可以降低它们带来的影响。如果不去跟踪漏洞，那么您将永远无法有效地减少您环境中存在的设计缺陷。第二个核心问题是功能滥用，这包括计算机网络、系统或应用程序的日常功能，及其被滥用的方式。从攻击者的角度考虑计算机的某个正常功能，这样您就可以看到问题的所在。我们还是用汽车来打个比方。对于汽车来讲，油门在驱动汽车行驶方面扮演着非常重要的角色，但如果您将油门错当刹车踩，那么就可能会导致伤亡事件发生。对于计算机来讲，拒绝服务攻击与上面的例子比较相似。能够强化Internet的核心TCP/IP功能也可以被用来对付其自身，快速地耗尽资源。这些功能的本质并不是恶意的，但如果以恶意的方式使用，它们就会给您带来麻烦。衡量功能滥用非常困难，但是您可以通过与已知的最佳做法（IT控件或法规遵从模板）进行比较来发现计算机资产的配置设置，从而找出相当大部分的此类问题。计算机与安全行业都已足够成熟，知道必须移除某些默认的功能，以确保资产更加安全。您应当在您的环境中实施这些最佳做法。如果未能遵循这些已知的有用资产配置指南，您可能会遭遇安全事故，还可能面临严重违反法规的风险。事实上，安全行业已推出大量的最佳做法指南：PCI、HIPAA、SOX、GLBA、ISO27002、CoBiT及其他指南，帮助公司采用合适的安全配置。在您的环境中应用和使用这些标准对衡量功能滥用至关重要。我们不会始终知晓所做决策的结果，但几乎每个决策都会产生一个正面或负面的结果。简单地说，这就是风险管理。6McAFEESECURITYJOURNAL攻击媒介第一种攻击媒介是恶意黑客。您可能难以衡量全世界黑客的数量和特性，但我们能够通过了解您网络的漏洞程度来确定其攻击能力。对黑客而言，您资源的开放和可用程度越高，他们就越有可能成功实施攻击；因此，您肯定希望能够了解内部和外部开放的端口的数量，并对其进行实时监控（或是尽可能地将其关闭）。第二种攻击媒介是较差的用户判断力。通常，如果我们不去与用户打交道，那么我们实际上可以拥有安全的系统。但是正是因为这些用户，才有了我们的工作。所以，这就是问题所在：当缺乏相关知识的用户遇到可能会发生攻击的情况时，问题随之产生。最常见的例子就是：用户单击电子邮件里的链接，或对电子邮件附件执行操作。当用户做出了这些糟糕的决定时，他们就会受到攻击。在用户掌握足够的知识之前，我们需要解决设计缺陷和功能滥用这两个核心问题。而这些就是大量的安全产品与服务所关注的方面，其目的旨在消除这两种情况所带来的威胁。因此，了解用户的防范意识和安全态度十分重要。通过定期和实时的问卷调查，以及发布结果，安全人员可以了解其用户遭受此类问题困扰的可能性。要对抗并赢得这场网络战争，我们必须了解所有的核心问题，并将其逐个全部解决。我们使用风险和法规遵从解决方案来达到这一目的。以汽车为例，我们有仪表盘、后视镜、倒车感应系统、电子稳定系统以及其他许多功能来提高安全驾驶的几率。法规遵从法规遵从即执行某些规则。它能够衡量我们是否遵从了能够使我们免于做出错误决定的规则。警察和法院系统负责执行道路使用规则。如果您超速行驶的话，会收到超速罚单。如果您不看后视镜就变换车道，您会收到“危险换道”罚单