前言:
Forefront Security是Microsoft最新推出的功能完善的安全解決方案,它針對企業IT架構的安全防護需求,涵蓋了邊界安全、應用服務器安全和內部網絡惡意軟件防護三個方面。在Forefront Security的組成中,用于邊界安全的ISA從多年前起就是企業應用領域領先的防火墻產品;Forefront Security for Server在Microsoft Antigen產品的基礎上,集成了多個反病毒引擎和更細粒度的內容控制技術;而Microsoft 在2007年11月才推出的Forefront Client Security,則將以其可靠的惡意軟件防御功能和完善的Windows節點覆蓋,成為企業反惡意軟件產品市場強有力的競爭者。
正文:
企業如果選擇了Forefront Security,將獲得前所未有的和現有IT架構完美整合的安全保護方案,而不像以往部署單一保護的安全方案那樣,只保護了企業內部網絡中的某些節點。同時,企業的IT部門還可以以統一中央控制臺的形式,實時方便的掌握整個企業內部網絡的安全防護狀態和所發生的安全事件。
盡管Forefront Security的功能強大,保護覆蓋面廣,但這并不表示Forefront Security是一個無需管理的產品。和企業中部署的其他安全方案一樣,Forefront Security在企業部署成功,并投入運行之后,需要企業的IT部門或安全部門相關人員,持續不斷的進行維護管理和對運行期間所有發生的事件進行處理。Forefront Security的安全事件處理,就是Forefront Security的日常管理中最重要的一環。
 |
圖: Forefront Security 的信息安全事件管理流程
企業只有根據Forefront Security的特點制定相應的安全事件響應流程,并分配相應的資源,才能保證Forefront Security部署完全發揮其保護企業IT架構和信息資產的作用。那么,企業應該怎樣進行Forefront Security 安全事件響應流程的制定?
上圖是筆者根據通用的安全事件響應流程所做的Forefront Security安全事件響應流程圖,根據企業進行Forefront Security部署和管理的情況,劃分為四個階段:計劃(Plan)、保護(Protect)、檢測(Detection)、響應(Respond),我們可以將這個流程簡稱為PPDR流程。
Forefront Security安全事件響應流程的計劃階段(Plan,P):計劃階段是整個Forefront Security安全事件響應的最重要的部分,起總領全局的作用。它主要是企業在部署Forefront Security前,針對企業IT架構中可能發生的安全事件,在管理層面上對Forefront Security部署的安全事件響應進行規劃和資源的調配的階段,它包括兩個最主要的步驟:威脅評估(Threat Assessment)和應急事件響應準備(Preparation for incident response)。
其中,威脅評估是根據企業業務處理和IT架構的具體情況,并結合Forefront Security所提供的保護功能,也即邊界安全、服務器安全和惡意軟件保護這三個方面,進行對應的威脅分類和嚴重程度分析,并形成文檔。下圖是一個實例的威脅評估輸出結果:
 |
因為企業中能夠分配的用于威脅保護和安全事件響應的資源總是有限的,進行威脅評估對提高企業安全投資的費效比非常有好處。比如,通過威脅評估,我們可以了解到,對一個電子商務企業來說,顧客的信息、財務報表等數據和用于處理在線交易的網站是目標企業關鍵的IT架構,因此,對示例的電子商務企業來說,黑客的入侵是對其業務影響最大的威脅;但是,對一個制造業的企業來說,它更關注的是設計和生產能力的可持續性,而企業內部網絡和互聯網是物理隔離的,因此,對它來說,惡意軟件對企業信息處理能力的破壞是排在第一位的威脅。在威脅評估階段結束后,所有排在前列和標記為嚴重等級的威脅都應該列入企業的Forefront Security安全事件響應流程重點考慮的范圍,并優先分配資源。
進行過威脅評估之后,企業除了需要按照威脅程度的高低不同分配資源外,還應該進行以下步驟:
制定Forefront Security安全事件的處理規范和上報制度,管理層的支持是所有安全項目成功的關鍵。
分配Forefront Security安全事件響應流程的負責人員并明確責任,建議最少安排一名專職人員負責。
分配Forefront Security安全事件響應所需的資源支持。
根據人員責任和所需的技術,組織相應的培訓和演練。
Forefront Security安全事件響應流程的保護階段(Protect,P):保護階段是Forefront Security在企業IT架構的基礎上部署并啟用的過程。這個階段企業需要做的是將Forefront Security的具體部署情況按照一定的標準進行登記,以下是一個示例的表格:
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
對Forefront Security的部署情況進行登記,有助于管理人員在企業發生信息安全事件時能夠迅速的定位到事件發生位置,并根據計劃階段里所制定的安全事件的處理規范和上報制度,及時進行處理和上報。
Forefront Security安全事件響應流程的檢測階段(Detect,D),檢測階段是部署在企業IT架構內的Forefront Security檢測到安全事件的階段。這個階段只由Forefront Security自動檢測威脅的出現并自動進行處理,管理人員尚無進入干預。
Forefront Security 安全事件響應流程的響應階段(Respond,R),響應階段是管理人員根據管理層制定的安全事件處理規范和上報制度,處理在檢測階段所發現的安全事件的過程。根據部署Forefront Security的目標企業規模,規模越大的企業安全事件發生的幾率就越高,為了更有效的控制并處理所有發生的安全事件,企業應該根據威脅評估的結果,在安全事件處理規范中規定出各個等級的安全事件的處理時間和流程。
比如,發生在普通用戶的一次惡意軟件被Forefront Client Security模塊查殺的安全事件,Forefront Security的管理人員并不需要立即到現場去查看實際情況,只需要在管理日志上進行登記即可,Forefront Security也會把這個事件寫入自己的日志數據庫中。當然,如果某個部門在特定時間,如一周內,頻繁發生惡意軟件查殺的安全事件,管理員就應該到現場去進行調查,看是否目標部門正在發生惡意軟件爆發的事件。
但發生在電子商務企業的,針對客戶資料數據庫的一次不成功攻擊試探則應該視為最嚴重的安全事件,管理人員應該立即到現場,在安全事件進一步擴大之前及時進行處理和控制。在管理員的處理的過程中,除了要嚴格按照安全事件響應規范來處理外,還應該將具體的情況進行書面記錄、收集數字和實體證據,并上報相應的管理層負責人。如果是安全事件的影響程度比較嚴重,還應該找專業安全人員或司法機構進行進一步的處理。
響應階段中產生的所有資料,對企業改進IT架構安全性有很高的價值,企業應該對這些資料進行妥善保管,進行案例分析,并更新各種相應的管理和技術措施以杜絕類似安全事件的再次發生。
結語:
PPDR流程是經過實踐證明的良好的通用安全事件響應流程,企業可以根據以上所介紹的方法和示例,并結合自己IT架構的實際,制定出更適合的Forefront Security安全事件響應流程,才能保證Forefront Security部署充分、有效、持續的發揮它完善的Windows 節點覆蓋能力和強大的安全功能。
