防止被安全突破的五个教训　　

　　我们从这些案例和其它现实世界的入侵中归纳了五个教训：认真对待Web应用程序安全;增加安全控制层次;理解安全技术的局限性;评估第三方系统;要知道糟糕的事件反应比没有事件反应更糟糕。

　　1.认真对待Web应用程序安全

　　Web应用程序经常是入侵者的起点。我们继续看到IT团队不断地给系统使用补丁和部署防火墙，但是，机构却没有防备有漏洞的应用程序。这些安全漏洞是很容易利用的。

　　一个机构的非常好的防御是把安全集成到应用程序开发的声明周期中。与对正在使用的应用程序打补丁相比，制作安全缺陷较少的代码会提供更大的回报。在质量保证或者评估过程中使用IBM的AppScanner或者惠普的WebInspect等Web应用程序扫描技术是非常重要的。购买而不是制作Web应用程序的企业应该评估这些应用程序或者要求厂商执行由第三方验证的安全评估。

　　Web应用程序防火墙是一个备用的安全控制。这些产品旨在发现已知的攻击和找出可能支持入侵意图的可疑行为。然而，它们只是辅助性的。它们不能解决有瑕疵的开发做法和有漏洞的应用程序的根本症候。一个Web应用程序防火墙也许会让你花一些时间。但是，企业不修复这个风险的根本原因是愚蠢的。

　　2. 增加辅助的控制

　　内部防火墙、加密或者数据库监视软件等辅助控制措施能够提前向安全人员报警或者在入侵者绕过主要控制措施之后阻止其攻击。遗憾的是，我们很少看到有效地实施辅助控制。

　　例如，我们看到企业在网络内部增加额外的一层防火墙以便更好地隔离重要的系统。我们强烈推荐采用这种做法。然而，人们常见的是缺少政策设置的内部防火墙，简单地允许所有的通讯经过，或者是采用没有人理解的笨拙的政策的防火墙，因为缺少说明书。在我们处理的一些案例中，如果他们恰当地设置防火墙，有些攻击是可以阻止的。

　　聪明的机构将发现他们能够在什么地方使用分段以便更好地隔离敏感的或者重要的系统和数据，并且根据那个分段创建第二和第三控制系统。这个问题是“如果系统被攻破，对于我们损害最严重的东西是什么?”因此，厂商会在存储产品设计或者控制组装线的系统周围增加安全层次。一个工具也许会分段网格控制系统。一个支付处理机构或者商家应该把重点放在处理支付的系统上。

　　但是，不要停留在加入这些备用的控制措施，然后就不管了。要当心只顾减少经营开支从而完全导致减少风险的控制价值失效的笨蛋政策。配置、记载和监视这些控制措施。投入一些资源定期检查控制系统的记录，小心修改和异常活动。做得正确，这些额外的控制措施就能挽救你。做得不对，它们就会提供虚假的安全感，使这个环境更复杂。

　　3. 了解你的局限性

　　第三个教训是理解你的安全系统的局限性。我们有杀毒软件、防火墙、网络和主机入侵检测系统、身份识别、PKI、VPN、NAC、安全漏洞扫描器、数据丢失预防工具、安全信息、事件管理平台。尽管如此，安全突破仍在继续发生。

　　这是因为控制措施的发展没有攻击者的能力进步的那样快。我们研究了一些案例。在其中的一些案例中，一些完全使用了更新的杀毒软件特征的系统没有检测出活跃的木马程序、键盘记录器和嗅探器。大多数病毒特征的开发周期仍然是采用过时的假设制作的。这个假设是恶意软件成功地广泛传播，让厂商了解这个恶意软件，然后制作一个这个恶意软件的特征。此外，攻击者利用包装把自己隐藏起来以躲避病毒扫描器。

　　安全漏洞扫描器也跟不上已经发布的安全漏洞，不能及时有效地实施应用程序扫描。入侵检测和防御系统也像杀毒产品一样有同样的缺陷。

　　IT团队能做什么?对于最开始应用安全技术的人们来说，要适度信任技术，不要过多地信任技术。不要指望你的杀毒软件能够找到客户的恶意软件。安全漏洞扫描器只能作为辅助的测试手段以保证你的补丁管理系统在发挥作用。假设你的防火墙能够封锁自动的扫描，可是一个熟练的攻击者会穿过周边设备。

　　入侵检测和防御系统有时候是有用的。但是，我们经常发现路由器网络流量数据和防火墙“允许”记录能够提供黑客去了哪里的更好的信息，帮助测量突破影响的范围。

　　从运营的观点看，可以考虑部署一种事件管理技术以得到多个系统活动的状况，或者至少实施集中的记录管理以帮助搜索、评估和存储记录。

　　还要考虑你的对手的技能和动机，以及有必要采取什么控制措施检测他们的存在。理解他们的能力正在变得越来越重要。

　　4. 信任，但是要验证

　　第四个教训是简单的，但是经常容易被忘记：评估第三方的系统。正如我们的售货机的例子显示的那样，尽职的安全调查应该由内部团队或者一个第三方的应用程序安全公司执行。不要忽略容易摘到的果子，如默认的口令。

　　5. 做好应对事件的计划

　　最后，要知道糟糕的事件反应比根本没有事件反应更糟糕。我们经常与IT团队销毁了证据的企业打交道。他们销毁证据也许是故意的，也许是因为其它原因，如重建系统、删除硬盘数据、进行数据库分段或者允许第三方提供商访问被攻破的系统。发现这些问题变得很严重，他们可能会销毁或者破坏能够在犯罪起诉中使用的证据。

　　要拥有一个基本的程序--甚至就像“在你检查事件反应程序之前什么也不要做”这样最基本的程序。有许多免费的材料，范围包括从NIST 800-61指南到Visa的“如果被攻破”指南。使用网络搜索很容易找到这两个文件。

　　安全突破对于有关的企业和IT专业人员是很痛苦的。但是，沉默并不总是非常好的的反应。揭露常见的错误可帮助企业理解他们面临什么问题。