构建开源安全工具包的正确姿势

日期: 2016-02-14 作者:Judith M. Myerson翻译:邹铮 来源:TechTarget中国 英文

企业依靠一种开源安全工具保护自身往往并不是一个好主意,因为与所有开源产品一样,攻击者可以获取这个相同的工具,找到其漏洞并利用它们来攻击企业。为了让攻击者更难实现其攻击目的,企业应该打造自己的开源安全工具套件。企业应选择多种工具,如果其中一个工具存在漏洞,其他安全工具可帮助克服这个漏洞;企业的工具包中的工具越多,企业就能更好地保护其数据,而不会受到特定开源安全程序中漏洞的影响。 开源安全工具包至少应该包括检测/渗透测试工具(例如Metasploit Framework)、漏洞扫描仪(例如Nexpose)、安全事故处理程序(例如MozDef)、恶意软件分析工具(例如Cuckoo Sandbox)以……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

企业依靠一种开源安全工具保护自身往往并不是一个好主意,因为与所有开源产品一样,攻击者可以获取这个相同的工具,找到其漏洞并利用它们来攻击企业。为了让攻击者更难实现其攻击目的,企业应该打造自己的开源安全工具套件。企业应选择多种工具,如果其中一个工具存在漏洞,其他安全工具可帮助克服这个漏洞;企业的工具包中的工具越多,企业就能更好地保护其数据,而不会受到特定开源安全程序中漏洞的影响。

开源安全工具包至少应该包括检测/渗透测试工具(例如Metasploit Framework)、漏洞扫描仪(例如Nexpose)、安全事故处理程序(例如MozDef)、恶意软件分析工具(例如Cuckoo Sandbox)以及网络监控工具(例如Nagios)。为了确保它们正确工作以及不包含漏洞,安全管理人员应该在独立于生产环境的测试平台测试它们。

下面是在构建开源安全工具包时应该考虑的三个因素:

垂直行业

企业在选择工具包中的安全工具时,应该考虑企业类型以及企业所处的垂直行业。在选择安全工具时,还应该了解哪些垂直行业遭遇了最多的数据泄露和安全事件,以及不同垂直行业面对的威胁性质。

Verizon公司2015年数据泄露调查报告显示,公共事业组织是数据泄露和安全事件的头号目标,其次是金融服务、制造业、住宿和零售业。另外,零售和住宿业中较小型企业发生数据泄露的频率远远超过较大型企业。

零售业企业可能会使用开源POS系统工具(例如SUSE Enterprise Point of Service或者OpenBravo Retail),这些工具有自己的安全控制和功能。OpenBravo Retail具有基于角色的访问权限和审批,以及POS终端身份验证。而对于SUSE Enterprise Point of Service等Linux软件,企业应该考虑其他Linux开源安全工具。为了领先于攻击者,企业应该获取最新版本的工具,并确保它们会定期更新。

合规要求

企业通常需要满足多个合规要求,如果企业未能遵守法规,可能面临高昂的罚款,还可能损失企业信誉。然而,简单地执行法规或标准的合规政策是不够的;为了减少违规的风险,企业应该考虑合规工具,例如日志分析。其中笔者最喜欢的是OSSEC或者说开源基于主机的入侵检测安全,它会检查企业对各法案的合规情况,包括HIPAA、支付卡行业数据安全标准、萨班斯-奥克斯利法案以及联邦信息安全管理法案(FISMA)。在对FISMA文件使用OSSEC之前,企业可考虑先使用OpenFISMA,这是专为满足FISMA要求的自动工具。

OSSEC的核心是管理服务器,它可帮助企业更好地管理政策的完整性检查,以及跨多个操作系统的日志分析,包括Linux、Windows、Solaris和Mac。服务器在检测到对文件系统的未经授权更改或日志文件中的恶意行为时,它会发送警报给安全管理人员。企业必须确保在规定报告的期限前解决这些问题。

服务水平协议

如果企业计划通过软件即服务(SaaS)提供商来监督其IT要求部分,企业应该考虑使用网络监控工具来执行企业和提供商协商的服务水平协议(SLA)。其中一些工具在后台运行,而有些则是自动化。有些通过命令行窗口手动配置,例如Pandora FMS和PRTG Network Monitor Freeware,而其他工具则提供更方便的用户界面。

如果没有适当的网络监控工具,企业没有办法知道服务提供商是否满足SLA中规定的服务水平(正常运行时间保证),安全管理人员和网络管理员也不知道网络的运行状况。

通过监控工具,网络和安全管理人员能够监控网络性能,并使用这些数据来衡量服务水平协议。当性能开始减少时,该工具应该发送警报,让企业和服务提供商知道应该采取什么行动。如果警报第一次提示性能已经下降到商定的水平,应该给予服务提供商预先规定的一段时间来解决这个问题。未能满足最后期限可能会导致对供应商的处罚。

SLA也应该有退出条款。如果企业不满意服务提供商的网络性能或者存在没有得到解决的安全问题,企业应该能够在没有巨额罚款的情况下解除合约。退出条款应该明确提供商用来下载以及备份企业数据的格式。

翻译

邹铮
邹铮

相关推荐

  • DR基础知识:灾难恢复计划和灾难恢复策略

    IT灾难恢复(DR)计划的主要目标是制定详细的恢复计划,以在意外中断时执行。 这种计划应该列明详细步骤,说明在 […]

  • 如何确定应用程序的攻击面?

    应用程序漏洞以及错误配置都可能成为攻击者的靶子。能够正确的防御这些应用程序的要求是,在健全的风险管理发生之前,企业能够确认攻击面……

  • 隐私vs.安全:该如何平衡?

    中国的《网络安全法》已于今年6月1日正式开始实行,这给现代企业在维护信息隐私和安全性方面带来更多的挑战,也将对如何平衡隐私和安全性的探讨推上风口浪尖。

  • 不一致的国际数据隐私法

    中国新的网络安全法已经生效,这意味着全球范围内新增一个国际数据隐私法,这可能给跨国企业带来更多挑战。面对各种国际数据隐私法,跨国企业保持合规性并不容易……