在何以以及何时部署安全措施这件事上,不同的公司的方案各式各样,形形色色。有的未雨绸缪提早准备,而有的会等到其成为首要需求的时候才会开始。
诚然,尽早开始部署安全保障的公司有很多优势,但这会是一项艰巨的任务,对于没有专业安全人员存在的组织尤其如此。
在当今世界,无论何时何地,都有很多提高安全性的方法。然而,与其在复杂的分析策略中“灭亡”,白白损耗力量,倒不如量力而行,在你所熟悉的领域中寻求“爆发”。那么,我们该从何开始呢?
就现实而言,组织的普遍安全应当是终极目标,而非起点。
你不需要在短时间内完成这个宏大的目标,而是从确立一些细微而重要的小目标开始,比如密码安全和加密算法。这些目标可以逐步地提高公司的安全性,越早实施就越容易在之后添加更多的安全性措施(并且有关于事件响应形式的麻烦会更少)。
接下来是一个由两部分组成的系列文章的第一部分。以下是从头开始进行安全性实施的分步指南。
考虑一下您和您的员工每天登录的云服务数量。云证书窃取的威胁是真实存在的,特别是现在越来越多的关键数据被存储在云服务中。如果没有额外的保护措施来阻止,攻击者可以用低于想象的努力获得电子邮件和生产级密码,并进入关键系统。这层保护便是双因素认证。
双因素认证需要两种渠道或因素在登录到云服务之前验证身份。这意味着,即使证书泄露,在没有额外的验证层(通常是通过移动设备或一次性验证码)的情况下,坏人依旧无法完成任务。具有Yubico密钥的DuoSecurity,以及免费的谷歌身份验证器是两个非常简单而有效的2FA解决方案。(有关使用Duo实现2FA的更多信息,请参阅由Threat Stack的Tom McLaughlin撰写的由三部分组成的系列文章。)
SSL(Secure Sockets Layer,安全套接字层)支持Web服务器和浏览器之间的通信加密。这是防止敏感信息(例如信用卡号码、用户名、密码、电子邮件等)被盗或被篡改的标准安全措施。如果您拥有网站或网络应用,则需要SSL。
SSL证书最重要的它的来源。SSL证书是由证书颁发机构(CA,Certificate Authority)颁发的。证书颁发机构(CA)是可信的组织,用于验证请求证书的实体的身份和合法性。请注意,务必从CA获取证书,而不是选择自签名证书。因为大多数浏览器都会保存一个可信CA的缓存列表,如此一来如果证书是由可信CA以外的其他人签名,浏览器会警告用户该网站不可信,从而完全隔绝潜在的网络安全威胁。免费易用的Let's Encrypt证书的兴起(最近还直接接入了亚马逊的网络服务),意味着成本不再是你网站安全的不利因素了。
经过前两个步骤,您的登录和服务器到浏览器的通信已经是安全的了。现在我们要做的是加密您的电子邮件和即时通讯信息。为了对安全工作进行最好的实践,无论你的服务供应商如何吹嘘他们为用户采取的安全措施,都当这些不存在。听说过 “信任它,但也要验证它”(Trust, but Verify)吗?这篇文章给了很好的例子和说明。
PGP(Pretty Good Privacy) 能够通过互联网对通信进行加密和解密,并使用数字签名和加密的存储文件对消息进行身份验证。在使用PGP的过程中,每个用户都会有公钥和私钥:使用公钥对发送给他人的消息进行加密;而当收到消息时,使用私钥对其进行解密。
虽然不是很容易,但您只需使用GPG工具或GPG4Win等PGP工具进行设置。PGP对于拥有生产访问权的用户来说尤其重要,但作为一种最佳实践,我们还是建议将其推广到整个公司。您不仅可以使用PGP保护您公司的内部电子邮件通信,还可以通过它对文件进行加密,使其专供特定的人员访问。
文件完整性监视(File Integrity Monitoring,FIM)确保了在攻击者突破了以上所有防护措施时会为您所知。随机数量的用户会在不同时间、不同地点、从不同的设备登录到云服务,在这个过程中存在着许多可以追踪的信息。FIM可自动监控这些活动,并报告可疑情况,以确保您不会有任何遗漏。
在云中,文件完整性监控可以报告三种事件:
以上这些事件的触发往往意味着潜在威胁的存在。
在第二部分中,我们将深入地进行一些过程安全实践。这些实践应尽早被集成在您的组织当中,以确保安全措施的无缝植入。敬请期待。