| |
保护公司的数据中心是一项庞大的工程,即便一点疏忽,也可以带来巨大的威胁。作为安全工具的主力军,包括防火墙、防病毒软件、垃圾邮件过滤器和间谍软件过滤器等,共同组成的安全套件可以允许进行各种复杂的管理,并且还有一些新兴的安全工具以及其他安全工具值得我们重新考虑。
不要互吹互擂
首席安全官们面临的最大的问题之一就是要搞清楚究竟是什么在威胁他们的数据中心。防病毒软件、防火墙和入侵检测系统可以日志形式记录大量的数据,这些数据中包括各种试图对数据中心做出更改的人的行为记录。通过在不同的软件程序和跨部门系统中搜索这些记录都将是个恼人的挑战,JamesQuin表示,他是位于加拿大安大略省伦敦信息技术研究中心的高级研究分析师。
“对于那些希望剖析所有那些数据,然后将找出相互关联的数据并且对全部数据进行参照对比的组织,就会发现这是一项非常巨大的工程,而且十分耗费劳动力,”Quin说。他建议使用登陆分析器,也被称为安全信息管理器(SIM)以及安全信息和事件管理器(SIEM),因为这些分析器可以从各种不同的系统中汇总数据。这种管理器工具可以迅速找出数据相关性并且能够几种管理日志,而且通常会伴有报告工具和分析工具。
ArcSight就是一个这样的工具,它可以为那些有需要对大规模日志数据进行跟踪或者想要具备许多功能的工具的企业提供最佳解决方案。
旧金山富国银行的高级信息安全工程师DennisHein表示,ArcSight就像日志数据记录工具中的“瑞士军刀”,Hein利用这个产品来将银行的所有日志数据汇总到一个地方,这样做能够为他节省很多时间来对异常数据进行追踪。Hein表示“那些需要花费几天来完成的调查工作,我们只需要几分钟到几个小时内就能完成,因为这个工具可以设置为制造出格式规范的报告。”
而对于较小的公司或者那些不太需要定制化服务的公司,我们推荐使用TriGeo网络安全公司的TriGeo以及赛门铁克公司的安全信息管理器,虽然它们不像ArcSight一样强大,但是这两种工具使用简单,特别是对于那些没有特别的安全专业知识的公司。
使用日志汇总工具的另一个实际原因就是:他们可以阻止智能化攻击。“如果你的员工中有人熟悉汇总工具的运作机理,那么攻击可能会让安全系统挂起黄色警告旗帜,但不会是红色旗帜,”MikeHalperin表示,他是位于马赛诸塞州Westborough市的Akibia的技术副总裁,这是一家专注于数据中心的顾问公司。
暴露你的缺点
首席安全官通常会做的反省工作会涉及到在数据中心内搜索薄弱环节,对于这个过程而言,可以考虑使用漏洞评估工具和管理工具,例如eEyeDigitalSecurity公司的Retina漏洞扫描器,GFILANguard公司的漏洞扫描器,其扫描器还具有补丁管理和安全审计功能,或者还可以选择Qualys,这是一款相对简单的使用网络的工具,使用于那些可能没有具备相关技能的安全工作人员的小型公司。
位于美国加州默塞德市的拥有40个分行的County银行,运行的是一个AS/400,并且大约拥有40台电脑服务器,他们使用Qualys来定期对所有服务器上的日志记录进行扫描。
County银行的信息安全人员CharlieMcClain表示说,“拥有Qualys这样的工具是极为重要的,因为windows环境中的漏洞每天都在不断更新。”他喜欢Qualys的原因在于,这个工具可以即使更新漏洞,这意味着他不必自己去修复漏洞。
银行除了每天例行扫描Windows服务器外,每个月还会扫描一次他们的AS/400。
另外市面上还有的漏洞扫描器包括Nessus,该开源漏洞扫描器工具因为内核兼容性问题不再被包容在BackTrackCD中。
经常进行漏洞扫描是十分重要的,KRvWAssociates公司的创始人和首席顾问KenvanWyk表示,“每隔一天扫描一次,能够避免因为人类自身原因造成的愚蠢错误。”Ken认为应用软件、配置、服务器或者网络中的任何更改都可能带来漏洞问题,并且需要及早发现及早修复。
CSI数据中心
漏洞扫描器也许算是最知名的计算机取证工具了,我们所谓的取证工具,包括最基本的日志扫描器以及那些可以从较深层次检查系统内部情况的应用程序等,运行这些功能各异的工具所需要具备的技能和技术知识要求大不相同。严肃的取证分析是属于专家级的工作,但是对于其他比较简单的分析工具,则是任何人都可以使用的,虽然解译可能需要专门的知识。首席安全官们至少应该在数据中心内配置一些基本的取证工具来检查系统。 |
|
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
