Cloud & Telecom Security

Entering Internet age, new software vulnerabilities are found every day and the corresponding patches and temporary workarounds are coming with them. The software vulnerabilities may cause system breakdowns or are being exploited at any time. As the mass of installations of the patches costs lots of system resourse or may cause the restarting of the system, and performance decreases. On the other hand, rushing on patch might not be secure or might bring potential dangers to the stability and functionality of a system. How can these problems be solved? The patch and vulnerability management is not only the business of the security administrators but also the focus of the entire IT operation sector. We would like to share our knowledge and best practices on managing patches and vulnerabilities with the industry.

Figures and problems

Lets read some figures first. As reported by Meta Group, a total of 4192 vulnerabilities were found in 2002 and at the same time, as per the real statistic, system administrators cost a total of 1920 work hours to make up all 4 patching to 120 servers. This means that it will take about 4 hours to patch a server – including backup, installation and debugging. Suppose the system administrators are skilled and they can completely learn vulnerability and patch solution within 20 minutes. This needs 172 persons to cost an entire working day for making up the 4192 vulnerabilities. In case of only10% – 413 vulnerabilities – of them are adapted to our own network environment and each correspondent patch is on 10 servers, it needs 2065 persons/day (there are about 10 servers with the same configurations. From these figures we have learnt that by adding up the days of the two persons, there needs to be almost 10 full time administrators, while that doesn’t include the processes of testing and validating the issued patching and the secondary resource consuming resulted from the failure of patching making up. Thus we can see that the patching and vulnerability management has been a huge resource funnel and wastes a lot of system management resources. Read more…

什么是“审计”？

我们知道，审计（Audit）是指检查、验证目标的准确性和完整性，用以检查和防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原 则。各国各级政府、组织一般都设有专门独立的审计部、审计委员会、审计署等机构。审计早年用于财务系统，到现在词典、字典中的“审计”（也包括 Audit）的定义都是针对财务系统。在当今的世界里，几乎所有企业、机构和组织的财务系统都运行在信息系统上面，所以信息手段成为财务审计的一种技术的 同时，财务审计也间接带动了通用信息系统的审计。在美国安然公司（Enron）和世通（WorldCom）财务欺诈案爆发后，在2002年美国紧急出台了 萨班斯法案（SOX, or SOA），赋予了“审计”新的意义，这里也包括了信息系统的审计。“审计”成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。

另据新闻报 导，在最近结束的IATA年会上达成一个重要共识：所有成员航空公司都要进行运行安全审计（IOSA），申请加入IATA的成员在正式加入前必须通过 IOSA审计。目前所有的成员公司要在2007年之前完成审计，否则不予保留会员资格。审计已经逐渐成为越来越多的政府部门、行业分支、大企业等加强治理 的重要手段。

美国信息系统审计的权威专家Ron Weber将它定义为“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源”。

审计系统主要包括两种形态

• 基于主机的审计（主机、网络等各种日志）
• 基于网络的审计（网络会话和行为）

它们分别依赖不同的手段来收集审计信息，面向不同的风险和威胁：

1 前者收集并分析各种日志。这是较早的、较为传统的审计方式，登入、登出、添加、删除、修改、更新等活动，应用日志、操作系统日志、数据库日志、网络设备的 日志等。按照IDC的新定义，SIEM（安全信息和事件管理）类安全产品负责收集安全设备和其它信息系统的日志和事件告警，进行过滤、相关、分析等处理。 一般说来，前两年如火如荼采购中的SOC产品（如果喜欢叫平台也可以）基本上都属于IDC的SIEM类。

2 后者直接查看数据本身。由于各种先进的攻击方法的出现、由于IDS的漏报、由于当前对于内部滥用和误用（这些都很难从安全设备的日志中发现）的担心，对于 网络和应用数据本身的记录、回放、分析等形成了另外一个审计分支。这类产品最早的出处应该是雷神（Raytheon ）公司的SilentRunner（如果大家还记得的话，后来被CA公司收购，现在产品的名字叫Network Forensics），专门用于分析网络流量和海量日志，从中发现IDS等安全设备不能发现的潜在威胁和事件，违反安全策略和规则的行为。另外NAI公司 的Sniffer，或者后来的开源软件TCPDUMP虽然缺少上层的分析层和展现层，也有一部分这方面的功能。NAI公司分家后，Sniffer公司继承 了网络取证分析产品InfiniStream Security Forensics。Niksun公司的NetDetector, NetVCR, NetX等系列产品可以“连续的流量记录和存储”、帮助分析网络中的流量、监控网络行为“网络异常及入侵检测”、以及帮助进行符合性分析和事件取证“网络 审计分析”等。

近两年来，随着对操作行为本身进行审计的需求的提升，于是产生了一种使用应用代理进而建立堡垒主机的方式来控制网络访问活动、并获得操作数据进行记 录并分析的审计系统。这类系统的代表包括Symark公司的PowerBroker，以及Bluecoat公司的ProxySG等。这类审计系统需要客户 端显式地配置代理指向的地址，并可能需要进行二次验证以符合代理的安全策略。

国内已经开始有越来越多的公司开始涉足并推出自己的安全审计产品，除去上述第一种的日志收集产品之外，还出现了相当多的网络镜像方式获得数据，进行 会话重组和协议分析，可以根据安全策略发送Reset包主动中断网络连接（有些还可以进行身份认证和授权验证），这类产品的代表包括清华紫光的ACA、以 及复旦光华的S_Audit等。前者与认证、授权等结合，面向运行维护需求，而后者则加入了很多HTTP、IM等应用的分析展现功能，面向企业内部安全使 用控制。

[待续]

richardong 2006-09-15 评论

zhaol 2006-12-26 评论

在上文“安全管理过程中的执行力”后，应同事要求改编了一份媒体版如下文，大家看看媒体版和Blog版的区别：

在安全建设过程中，很多企业都乐于购买安全咨询服务来帮助建立基本的、或者相对全面的安全策略体系，通常会覆盖反病毒管理、安全事件紧急响应、安全风险管理、第三方安全、终端用户管理、口令管理、数据安全、应用安全、邮件安全等等。这些都对企业安全管理水平的提升起到了积极的作用。但是我们也注意到很多企业购买服务后制定的这些策略都千篇一律，企业管理者抱怨落地性不好。这种现象背后的原因可能是两种：其一是安全服务商自身能力不够或者资源投入不够，导致对企业安全管理的环境不够了解，无法开发出更有针对性、更有效力的策略制度体系；另外一种原因就是企业自身的管理成熟度不够高，或者执行力不够，导致双方的项目目标与实施效果有相当差距。 Read more…

安全管理很多依赖于企业自身的企业管理水平，如果剥去安全策略、管理制度和流程的完备性、前瞻性等技术因素的包装，其实，企业治理过程中最为重要的要素之 一 － 执行力，对安全管理同样非常关键，它决定了那些（可能漂亮或者不怎么漂亮、完备或者不怎么完备的）安全策略、制度流程等是否能够得到落实。实际上是安全效 率（efficiency） 和 安全有效性或效力（effectiveness）的问题。开发几尺厚的安全策略制度流程手册文档，购买千兆防火墙、IDS，上安全管理中心（SOC）等等 这些措施大多都是面向的安全效率，而如何能够保证所有的或关键的安全措施都能够坚守岗位（Stick）、按照策略运转是效力问题。

在2002年准备SOC项目时，考虑推出了“可视化”、“可量化”、“可管理”、“可运营”等几个概念，强调了企业信息系统中安全风险的可视化和可量化， 能够实用技术手段揭示“冰山水面下的部分”。“可管理”、“可运营”强调了安全管理与企业管理的融合，安全管理要走出去，加强沟通宣传，避免“曲高和寡” 的技术主导倾向，时刻要考虑组织职位流程方面的落地能力、可操作性。

这一切做法的出发点从本质上说与IT治理、企业治理的思路是一致的，安全管理不需要“重新发明轮子”，我们只需要多借鉴，多思考，很多安全问题其实可以寻求安全之外的经验知识来帮助解决。安全管理活动中需要注意提高“执行力”。

Read more…

This post was published at cww.com.cn , 2004, where I summarized the 9 common mistakes at a Security Operations Center(SOC) project, which was becoming hotter and hotter at China. In brief, they are:

1. unbalanced resource investment on security elements and management
2. unmatched organization structure
3. misunderstanding of SOC as a pure product. It’s a project on management
4. without consideration of IT infrastructure accordingly
5. wrong project goal
6. not enough support from the software vendors and/or system integrators
7. without thorough understanding of the SOC products under implementation
8. withoug corresponding management processes, such as monitoring and incidents management
9. regarding the finish of the product implemantation as the end of the SOC construction.

Read more…

There are many of projects targeted at building a Security Operations Center (SOC). A SOC helps centrally monitor and control all your security elements and policy. It consists of a technical platform and an organizational team with security focus. The following diagram depicts the processes and activities inside and outside a SOC.

At China, it’s an honour to me to lead the team to design and build up the first SOC for a province mobile company at 2002. Thereafter, more and more SOC projects, especially at province companies of China Mobile, emerged. Security Command Center (CA), eSecurity, Arcsight, netForensics, Intellitactics, and other products from Micromuse, NetIQ, and even IBM and Symantec, began to fight against to each other.

Most of local security vendors choose the way to introduce those foreign SIM products into their own SOC solutions, as the bottom layer to collect and correlate security events/incidents, e.g. Lenovo and Topsec from ArcSight, iS-One from eSecurity, BOCO from netForensics, and so on. while Venustech is re-evaluating among those products after a period of time touching with Arcsight. For more information about those local security companies in China, please refer to my previous post.

这篇文章写于2003/03/03，文章中提出风险管理的三个层次，将安全管理中心定位最高的实时风险管理，提出安全管理中心可以帮助固化一些安全服务带来安全风险管理成效。

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
发作
SQL Slammer蠕虫在10分钟内席卷全球，各大相关媒体纷纷惊呼，称其为继CodeRed和Nimda之后，破坏力最强的蠕虫。传播速度令人瞠目结舌，每8.5秒感染计算机数目翻一番（而CodeRed感染的计算机数目每37分钟翻一番）

SQL Slammer蠕虫病毒只有376字节，比红色代码4KB（4096字节）和尼姆达60KB（61440字节）小的多。它利用一个微软半年多前就已经宣布并且可以打补丁的漏洞，通过自我繁殖使得计算机间无法通讯。它体积小到仅需使用一个数据包就可以发送自身所有代码，数据包中Slammer载入内存后计算机就受到了病毒感染。

在SQL Slammer发作高峰的那段时间里，“人们无法拨号上网，飞机无法起飞，ATM取款机无法取款。”，影响的不再仅仅是原来人们想象的网站和聊天室，而是深入破坏到了世界的各个角落。

教训
事件发生后，人们可以庆幸Slammer没有携带额外的破坏代码，只是依靠网络流量来摧毁服务。但是，据不完全统计这种蠕虫病毒依然造成了大概10亿美金的损失。同时，从信息安全技术的角度来讲，我们得到的更大的教训是：必须把更新软件补丁和升级其他防护措施来保持自己网络安全水平当作一件具有关键影响和社会责任的事情来做。另外，这样的攻击也验证了笔者两年前曾经提到的整体安全和不存在安全孤岛的判断。正确地评估自己的信息资产所面临的安全风险，按照科学的风险管理模型，来进行处置，以确保合理的投入得到合理的保护效果。对网络安全的事情视而不见和追求牢不可破的防护体系都是不正确的。

本文通过下面的篇幅来讨论一下安全技术的特点和笔者推荐的风险管理模型。

安全的时效性和对抗性
网络安全是一项综合性技术，包含的面很广，粗线条来看，可以分为组织策略类和产品技术类。前面的一类包含安全策略、组织机构、管理流程等；后面的一类包含各种各样的安全产品、网络攻防技术等。它们有不同的特点，前者与其他业务管理的共同性较多，较为容易借鉴其它业务管理的经验、模式，贯彻实施上有挑战性；后者具有很强的时效性和实战性，通常一个新的安全漏洞的发表、到公开的利用手段传播只有几个小时，换句话说，留给防守者的时间窗口就是几个小时的样子。

另外，根据一个国际调查显示，通常一个安全管理员或者专家需要每天花费2-3个小时寻找整理各种各样的新漏洞和技术。不及时的安全响应和更新可能会使整个安全体系原来的投资形同虚设。这与传统的电信业务或者TCP/IP技术有很大的不同。另外，安全技术人员的信息获取和互相沟通往往是其成长的一个非常重要环境条件。

总结上面的分析，网络安全技术具有对抗性、时效性的特点，网络安全技术队伍具有高度专业化和规模化的要求。

对于一个大型企业来说，在网络安全体系的建设上面可以有三种选择：其一是建设自己的专业队伍，并完全依靠它实现自己的网络安全体系；其二是寻找可信任的专业伙伴，将自己的安全建设完全外包给它；其三是建设自己一定规模的专业队伍，同时寻找可信任的专家队伍，外包一部分安全建设、维护的任务给它，自己的专业队伍做好建设规划、验收、核心业务保护等。

这三者的选择实际上并不是技术问题，而是一个业务问题。关系到整个企业的业务定位和策略。三种选择从技术上都可以达到非常高的安全水平。但是成本和效果不同。第一种选择需要维护一个较为庞大的专业队伍（专业化、规模化），成本非常高。第二种选择不容易把握安全建设的方向，可能会导致企业核心机密外泄；第三种选择在成本和效果方面应该是一种更为平衡的选择。对于大多数企业来讲都是适当的。

风险管理的三个层次
网络安全追根到底是一个信息资产的风险管理问题。当前，业界已经有多个非常著名的风险管理模型。但是，不管哪个风险管理模型，都很难做到一步到位。从发展和建设的过程，往往可以分为三个层次。

其一快速、大量部署安全产品，防火墙、入侵监测、反病毒。。。该层次属于急药猛药，可以在短时间内较快的提高网络防护水平，但是，即使我们假设这些产品都得到了有效的利用和配置，这些产品部署后的效果，像是否存在盲点、短路、过时等，还是不能有效控制。例如我们安装了一台网络IDS在某个网段进行监视，策略配置也没有问题。但是它并不知道它所保护的信息资产处于什么样的安全状况，检测到的攻击是成功了，还是失败了。甚至被保护的资产已经宕机了或者转移了，这台IDS无法知道，也无法通报。前面部署的防火墙也是一样。

大多数企业在安全建设伊始会采用这种方式，这种方式也最容易被IT部门或者网络部所接受。当然，就如同前面的分析结果，实际的风险管理效果也停留在这个层次上面。

其二是通过定期、不定期的风险评估和加固，及时发现安全问题，并且尽快弥补。通过上层次的分析，我们再增加安装扫描器定期扫描如何呢？这是很自然的想法，也很正确。扫描器可以帮助经常性、定期地检查自己的信息资产的弱点情况，是不是有新的主机或服务出现，是不是某个主机或服务不见了。但是，仅仅扫描时不够的，更为关键的是对于扫描发现的弱点能够及时地弥补。这就需要“加固”这一当前正在变得越来越普遍的安全专业服务。另外，在通常的情况下，仅仅依靠“扫描”这一手段并不完备，还需要专家“渗透”测试、组织管理审计、甚至包括社会工程、信息泄漏测试等更为复杂的手段来全面地评估风险状况。

在前面介绍的资产鉴别、风险评估等基础上，建立企业相关的资产信息库，对资产、弱点、威胁、风险等保持跟踪和及时更新。出于该层次上的风险管理已经可以周期性地检查风险差距，发现剩余的、漏掉的、新出现的安全风险。

处于该层次风险管理水平通常代表着企业或者机构对网络信息安全、安全风险管理等达到了一个新的境界。在安全上面的投资效益也获得了进一步的提高。

其三是建立集中统一的安全管理平台，对整个企业内的安全策略、信息资产、安全属性、风险、相关的安全事件、安全事件的响应和处理、配置都进行实时的、集中统一的管理。尤其是对于大规模、跨地域的电信级网络，这种集中统一的安全管理平台可以大幅度挖掘体系中的安全产品的效果、提升投资效益。使得管理层、也就是说信息资产的所有者能够实时地了解到威胁和风险状况，在投资和其它处理方式上作出更为准确的判断。

上述三个层次的时效性是逐渐上升的。按照笔者的经验和观点，三个层次不能互相替代，后面越过前面层次的效果也不好，但是不排斥同时建设、并行处理的做法。

当前，国际上先进的运营商或者关键企业网络为了保证网络时刻处于安全状态，正在越来越多的采用上述第三个层次的实时风险管理模型。例如，国际著名企业英国电信BT、Bell South、Sony、杜邦Dupont等都已经建立起覆盖自己整个企业网络的统一风险管理体系。在国内，电信和移动总部等也进行了许多前沿的探索和实践。

应该说，在遭受到Nimda、CodeRed、SQL Slammer攻击后，信息安全业界不断地进行反思。只有保证安全风险能够得到“实时”的控制和管理，才有可能在下一次更为凶猛的攻击到来时，自己的网络可以做到高枕无忧。

综述
网络安全技术的时效性和对抗性要求相应的安全风险管理体系也具有这样的专业性和时效性才有可能起到相当的防护效果。为了达到这样的时效性和专业性，安全外包往往是值得考虑的一种方式，但是外包的内容、方式、对象、管理等需要企业认真的研究考虑。在风险管理的体系上面，从部署安全产品到采用安全服务，最后发展到实时风险管理。三个层次，在实时性方面逐渐上升。采用自己的专家队伍与适当外包相结合的策略，以建设集中统一的实时风险管理体系为目标，可以最为有效地利用投资，保护自己的信息资产。