Roger Grimes

即便是最好的安全控制也會在部署之后隨著時間的推移而逐漸衰減，這會讓黑客們很高興。那么，該采取哪些措施來減緩這種衰減呢？

黑客們喜歡漂移。這是一個非正式的術(shù)語，用來描述一些好的（和安全的）狀態(tài)是如何逐漸轉(zhuǎn)變?yōu)椴缓玫模ê筒话踩模顟B(tài)的。計算機安全的實施很困難。防守隊員必須隨時做好準(zhǔn)備，因為黑客只需要找出一個錯誤即可。

任何計算機控件都很難完美部署。更大的問題是，任何近乎完美的、部署好的控制幾乎總是會衰減到一個更糟糕的狀態(tài)。這個過程被一些安全專家稱為“部署和衰減”。

什么是部署和衰減？

例如，假設(shè)你的工作是在應(yīng)用程序或操作系統(tǒng)上部署和維護安全設(shè)置。你或你的團隊花費大量時間來決定這些安全設(shè)置應(yīng)該是什么。你們閱讀了每個設(shè)置的負(fù)面和正面信息，考慮了業(yè)務(wù)影響，然后選擇最適合企業(yè)允許風(fēng)險狀況的設(shè)置。

你可以將這些設(shè)置（例如使用Microsoft Windows或Active Directory組策略）部署到每臺可能的托管計算機上。我們知道，由于種種原因，這些設(shè)置沒有完美地應(yīng)用到我們所期望的所有計算機上。這通常是技術(shù)不完善的問題。它可能是一個損壞的本地配置數(shù)據(jù)庫，一個擋道的第三方應(yīng)用程序，或者計算機在數(shù)月內(nèi)沒有連接到域?？赡苡泻芏嗖煌脑?，我們并不總是知道部署的控件有沒有應(yīng)用到所有計算機。

同樣的事情也適用于補丁管理。你推出了補丁，如果你能達到99%的合規(guī)性，就很幸運了。通常，原因無法確定，而且在繁忙的環(huán)境中，也不總是有時間進行故障排除和解決。我們這些計算機安全行業(yè)的人，不得不接受“足夠好”的事實，很難100%地遵守任何安全控制。

因為缺乏對變化的控制，有時還會發(fā)生各種偏差。比如說有些程序在計算機上不能運行，于是就有人關(guān)掉了主機防火墻或防病毒軟件，但事后他們卻忘記了重新打開防火墻。有時候他們將一臺電腦移動到另一個Active Directory上以便排除故障，但事后也忘了將其移回。有時他們會將某個用戶的賬戶權(quán)限提高，以便解決阻塞問題。有時他們還會開放防火墻端口，或者使用令人不安的、無規(guī)則通過的方法，把防火墻完全扔棄在一邊。

在試圖解決關(guān)鍵任務(wù)問題的關(guān)鍵時刻，你很容易忘記寫下你所做的更改，并在故障排除或者結(jié)束后將其更改回來。我不能告訴你我見過多少路由器允許無規(guī)則通過，因為有不少愚笨的人會忘記刪除他們?yōu)榭焖俟收吓懦郎y試所做的更改。安全配置的設(shè)置隨著時間的推移出現(xiàn)偏差是正常的，這就意味著更安全的所在真是鳳毛麟角。我們幾乎總是處在一個不太安全的地方。這就是衰減。

在計算機安全領(lǐng)域，我們每天都面臨著大量的問題和競爭壓力，這意味著有些事情將變得不那么完美或者被忽視。我看過很多企業(yè)購買的完美的計算機安全設(shè)備和日志文件，但如果我在幾個月或幾年后再去看一看，它通常會是無人看守的，缺少監(jiān)控的，有著更多的無用噪音。

更糟的是，每個設(shè)備的衰減都是不同的。一個設(shè)備的問題往往與另一個設(shè)備上的衰減完全不同。假如說所有設(shè)備上的壞的更改都相同，那你就走運了。你更有可能更快地注意到它，并通過適用于整個環(huán)境的一個更改來解決它。我們都面臨的是一個微妙的全球變化和似乎隨時間在我們的環(huán)境中發(fā)生的隨機變化的組合。時間越長，偏差和衰減就越多。

這不僅僅是一個技術(shù)問題，它也發(fā)生在人的層面。社會工程和網(wǎng)絡(luò)釣魚是造成大多數(shù)惡意計算機攻擊的原因。你可以為所有終端用戶提供世界上最好的反社會工程培訓(xùn)，如果你不經(jīng)常加強，人們就會忘記他們學(xué)到的東西。同樣的事情，如果你把你所有的路由器管理員送到路由器學(xué)校，或者把你所有的安全員工送到CISSP學(xué)校，員工來來往往，你花錢讓人接受這種訓(xùn)練，然后為另一個雇主工作以獲得更多的錢。

可以說，部署和衰減是我們在計算機安全中面臨的最重要的問題之一。黑客們似乎很欣賞它。

部署和衰減解決方案

這并不是說你不能與之抗?fàn)?。有很多方法可以最小化部署和衰減的影響，包括以下六種：

1. 改變企業(yè)文化，意識到衰減存在

第一步是認(rèn)識到部署和衰減是任何計算機安全控制環(huán)境的正常組成部分。認(rèn)清它，接受它。如果想讓企業(yè)環(huán)境意識到它的存在，并創(chuàng)造一種與之抗?fàn)幍奈幕憔鸵獎?chuàng)造一種重視衰減所帶來的風(fēng)險的文化，作為一個整體，你要下定決心盡你所能去對抗它。

2. 防止衰減的預(yù)算

大多數(shù)IT企業(yè)在有預(yù)算足夠的資金和其他資源時，在部署新的控制或設(shè)備方面都會做得很好。然而，大多數(shù)企業(yè)卻沒有為該項目的持續(xù)維護提供足夠的預(yù)算和足夠的資源。大多數(shù)人將幾乎100%的資源用于初始部署，一旦部署完成（從一開始就不完美），就會想當(dāng)然地認(rèn)為項目已經(jīng)成功，然后轉(zhuǎn)到下一個不完美的項目。

在許多情況下，已部署的控件一般就不會再有時間和持續(xù)專用資源用于維護。它應(yīng)成為每個人添加到他們的日常任務(wù)列表中的無數(shù)事物的一部分，這是確保衰減不會發(fā)生的秘訣。智能管理器意識到每個已部署的控件和設(shè)備都需要持續(xù)的維護，并在項目開始時將未來的資源投入到該控件/設(shè)備的持續(xù)維護中。如果你不這樣做，就會發(fā)生衰減的情形。要認(rèn)識到，如果你不為某件事情的持續(xù)維護規(guī)劃資源，那么你就是在選擇一個未來肯定會發(fā)生的衰減狀態(tài)。

3. 負(fù)責(zé)改變管理政策和程序的衰減

使用策略和過程在企業(yè)文化中實施變更管理。未經(jīng)事先批準(zhǔn)，不得更改任何重要內(nèi)容。包括緊急變更管理流程和程序，以滿足特殊的緊急需求。良好的變革管理是值得的。

4. 使故障診斷程序恢復(fù)其原始狀態(tài)

確保所有故障診斷人員都必須記錄他們所做的所有更改，并且作為解決過程和關(guān)閉記錄單的一部分，將所有不需要的更改恢復(fù)到其原始狀態(tài)。任何永久性更改都需要在配置設(shè)置文檔和更改控制日志中更新。

5. 自動監(jiān)測和偏差分辨率

自動監(jiān)控和解決未批準(zhǔn)的更改。如果不定期自動檢查控件的有效性，它將更快地出現(xiàn)偏差。你多久檢查一次取決于它的重要性。如果可能，自動將任何未批準(zhǔn)的設(shè)置更改回其批準(zhǔn)狀態(tài)。如果修復(fù)程序出現(xiàn)故障，請更新配置設(shè)置要求并遵循正常的更改管理過程。

6. 重新加強安全意識培訓(xùn)

記住，偏差和衰減也發(fā)生在人類身上。你需要定期加強安全意識培訓(xùn)。把你的新的路由器管理員送到路由器學(xué)校，替換之前接受過培訓(xùn)的那些留下來做其他工作的管理員。在內(nèi)部wiki中記錄知識并不能代替真正的動手培訓(xùn)。為每個新員工提供基本和理想的培訓(xùn)，并定期更新每個人得到的信息。

即使你盡最大努力去對抗偏差和衰減，它也會發(fā)生，但你可以減慢它發(fā)生的速度。你甚至可以領(lǐng)先。不管怎樣，這都會降低你的整體網(wǎng)絡(luò)安全風(fēng)險，使黑客的工作更加困難。

Roger Grimes自2005年開始成為一名安全專欄作家，他擁有40多個計算機證書，并撰寫了10本有關(guān)計算機安全的書籍。

原文網(wǎng)址

https：//www.csoonline.com/article/3387638/6-ways-to-fight-deploy-and-decay.html