CIO頻道每周熱"點(diǎn)"文章

　　CIO如何化解IT團(tuán)隊(duì)人際沖突？抱守與放棄：CIO該如何抉擇

　　如何重塑政府CIO職能？2009年CIO面臨的挑戰(zhàn)以及應(yīng)對(duì)策略

　　三個(gè)教訓(xùn) 我親歷的戰(zhàn)略轉(zhuǎn)型故事遠(yuǎn)離CEO“直覺決策” CIO如何把握時(shí)機(jī)？

　　最近人們陷入了關(guān)于滲透檢測(cè)功能的激烈討論，由Fortify共同創(chuàng)始人和首席科學(xué)家BrianChess的預(yù)言引發(fā)，他表示，滲透檢測(cè)這種做法將會(huì)在2009年滅亡。而Orbitz公司CISOEdBellis表示，滲透檢測(cè)在其數(shù)據(jù)丟失防護(hù)“兵工廠”中是個(gè)很有價(jià)值的工具。但是它不能幫助他找到每一樣?xùn)|西。

　　許多IT安全從業(yè)人員開始使用檢測(cè)來(lái)進(jìn)行防御，稱這是發(fā)現(xiàn)企業(yè)內(nèi)外部人員數(shù)據(jù)違規(guī)企圖的不可缺少的工具。

　　拋開許多安全廠商的觀點(diǎn)，有的人幾乎總是看到中間地方的事實(shí)。這也是Orbitz首席信息安全官EdBellis的經(jīng)歷。在上周討論數(shù)據(jù)丟失防護(hù)的CSO執(zhí)行研討會(huì)上，Bellis將滲透測(cè)試描述為他在Orbitz的網(wǎng)絡(luò)管線中保護(hù)敏感客戶數(shù)據(jù)的重要工具之一。

　　“很多東西都是有利也有弊的，滲透測(cè)試也不例外。”Bellis表示，這表明Fortify等廠商在研發(fā)自己的產(chǎn)品的同時(shí)也將全面思考技術(shù)的未來(lái)。

　　滲透測(cè)試確實(shí)幫助了Orbitz的龐大網(wǎng)絡(luò)檢測(cè)弱點(diǎn)，其中就包括數(shù)以千計(jì)的主機(jī)和大量的內(nèi)部應(yīng)用設(shè)備(例如代理臺(tái)式機(jī)，處理交易的本土軟件和后端安全控制)的全球數(shù)據(jù)中心。他說：“我們面對(duì)的應(yīng)用程序隊(duì)伍變得越來(lái)越無(wú)限龐大，因此，你需要各種各樣的安全工具來(lái)對(duì)它們進(jìn)行保護(hù)。”

　　Bellis概述了滲透測(cè)試中三個(gè)具有價(jià)值的特定領(lǐng)域和兩個(gè)不擅長(zhǎng)的領(lǐng)域：

　　職能：社會(huì)工程探測(cè)器

　　社會(huì)工程始終是通往公司敏感數(shù)據(jù)的要道，Bellis發(fā)現(xiàn)，薄弱環(huán)節(jié)往往是那些看起來(lái)沒有危險(xiǎn)的內(nèi)部人員。

　　“滲透測(cè)試將幫助你抓住那些想通過使用社交網(wǎng)絡(luò)聯(lián)絡(luò)呼叫中心的人?！彼f。“當(dāng)嘗試著幫助客戶的時(shí)候，在呼叫中心工作的人們出于職業(yè)規(guī)定會(huì)過多地進(jìn)行幫助，在這一過程中，他們也會(huì)引火燒身。”

　　在這種情況下，滲透測(cè)試工具可以“捕獲”這樣的情況：呼叫中心員工把門開得太大了。Bellis表示，隨后，這些薄弱環(huán)節(jié)就可以得到解決。

　　職能：遺留應(yīng)用探測(cè)器

　　就像Bellis前面提到的，Orbitz內(nèi)部使用的應(yīng)用的數(shù)量日趨增多。被埋沒的將是那些一直存在但卻不再得到使用的應(yīng)用程序。但是，它們依然保留在網(wǎng)絡(luò)中，布滿漏洞，等待著被數(shù)據(jù)竊賊利用。

　　在這種情況下，滲透測(cè)試就將起到幫助作用。

　　“如果要需要找到那些存在潛在麻煩的遺留應(yīng)用(那些很多年前你建立的但是不會(huì)再在任何地方有用武之地的應(yīng)用)，滲透測(cè)試是個(gè)很棒的方法?！盉ellis說，“通過滲透測(cè)試，你會(huì)發(fā)現(xiàn)很多你根本不知道一直存在在你系統(tǒng)里的應(yīng)用?！?/P>

　　那些應(yīng)用中的一些很容易被有惡意企圖的公司內(nèi)部人員利用，例如那些剛剛被解雇的員工。在一次專門演講中，賽門鐵克公司數(shù)據(jù)丟失防護(hù)高級(jí)經(jīng)理JennyYang提到了該公司最近與PonemonInstitute共同發(fā)起的一項(xiàng)研究，在研究中我們發(fā)現(xiàn)，59%的被調(diào)查人員對(duì)曾經(jīng)通過外部渠道盜取公司敏感信息供認(rèn)不諱。

　　Yang指出，在這種情況下，最常見的數(shù)據(jù)遷移做法是將數(shù)據(jù)存放于CD或移動(dòng)存儲(chǔ)棒中。然而，這樣做往往涉及到訪問一些遺留的應(yīng)用，這些應(yīng)用是通往更加敏感數(shù)據(jù)存儲(chǔ)地方的一個(gè)門口?！盀榱私鉀Q這一問題，你需要找到敏感數(shù)據(jù)被儲(chǔ)存在什么地方，知道這些數(shù)據(jù)怎樣被使用，從而避免被下載?！彼f。

　　Bellis表示，在完成這一任務(wù)方面，滲透測(cè)試是個(gè)有用的工具。

　　職能：邏輯漏洞探測(cè)器

　　網(wǎng)絡(luò)中的又一個(gè)薄弱環(huán)節(jié)是邏輯漏洞(該漏洞可讓某人訪問數(shù)據(jù)并表面看起來(lái)并無(wú)危險(xiǎn))。Bellis表示，這是滲透測(cè)試有用武之地的另一個(gè)領(lǐng)域。“尋找一個(gè)邏輯漏洞往往需要一個(gè)人(而不是自動(dòng)化的安全工具)才能完成。你常常會(huì)發(fā)現(xiàn)，你完全沒必要讓自己變成一個(gè)黑客，通過多種并非蓄意的方式利用應(yīng)用程序?！?/P>

　　例如：許多如BusinessWire等的網(wǎng)上公共關(guān)系服務(wù)把禁運(yùn)令新聞(直到特定日期到來(lái)才允許公布的新聞)放在網(wǎng)站上一個(gè)認(rèn)為不對(duì)公眾開放的地方。Bellis指出，有一個(gè)案例，一個(gè)愛沙尼亞金融公司利用網(wǎng)站登錄找到一個(gè)競(jìng)爭(zhēng)對(duì)手的禁運(yùn)令新聞。該公司利用這一弱點(diǎn)在內(nèi)幕交易中最終獲得了800萬(wàn)美元，Bellis說。

　　切記：你看不到任何東西

　　Bellis說，在那些滲透測(cè)試不能發(fā)揮長(zhǎng)處的領(lǐng)域中，該工藝不能被用來(lái)全景地、360度地探測(cè)組織的整個(gè)安全狀態(tài)。

　　“在所有弱點(diǎn)中，能被你找到的不會(huì)超過2%?！盉ellis說，“你必須優(yōu)先考慮你想要這2%包括什么，也就是說，你要根據(jù)問題的重要程度來(lái)做出決定。這是很困難的。”

　　Orbitz優(yōu)先保護(hù)客戶免受那些利用公司網(wǎng)站的人感染客戶。Bellis表示，這本身就是一個(gè)艱巨的任務(wù)。

　　切記：它并不總是在運(yùn)作

　　Bellis還指出，像許多安全工具一樣，通常滲透測(cè)試也不會(huì)總是在工作。他說，有時(shí)候，一項(xiàng)測(cè)試可能不能找到嚴(yán)重的弱點(diǎn)。但是這就是為什么在更大的安全“兵工廠”中它僅能被看做是一個(gè)工具的原因。

　　“關(guān)鍵是要知道，你希望利用滲透測(cè)試找到什么東西，并在此基礎(chǔ)上對(duì)它做出期望?！彼f，“最后，盡管如此，沒有什么安全工具本身是百分百有效的?！?/P>

　　回到Chess關(guān)于滲透測(cè)試將會(huì)走向滅亡的預(yù)言，Bellis指出，某些安全技術(shù)總是要被打上死亡的記號(hào)。例如，就像Gartner2003年的預(yù)測(cè)，IDS已經(jīng)死亡(但是入侵檢測(cè)和防護(hù)系統(tǒng)今天仍在生存)。

　　“沒有誰(shuí)會(huì)完全有用，但也沒有誰(shuí)是完全沒有價(jià)值的?！彼f。