Verizon的2015 PCI合規(guī)報(bào)告(The Verizon 2015 PCI Compliance Report)指出了缺乏防火墻維護(hù)和安全性測(cè)試是未能滿足PCI合規(guī)的主要原因。專(zhuān)家Kevin Beaver提供了一些成功管理這些任務(wù)的小技巧。

關(guān)于防火墻和PCI合規(guī)之間的關(guān)系，Verizon的2015 PCI合規(guī)報(bào)告很能說(shuō)明問(wèn)題。這篇報(bào)告揭示了缺乏防火墻維護(hù)和安全性測(cè)試不僅僅是導(dǎo)致企業(yè)未能達(dá)到PCI DSS合規(guī)的兩個(gè)主要原因，也是導(dǎo)致數(shù)據(jù)泄露的主要原因。

根據(jù)這份報(bào)告可知，2014年遭受數(shù)據(jù)泄露的組織只有27%滿足PCI DSS的防火墻維護(hù)要求。

雖然我不同意報(bào)告中所說(shuō)的防火墻是組織的第一道防線，因?yàn)榉阑饓赡懿](méi)有辦法管理到企業(yè)的移動(dòng)辦公員工，但是防火墻無(wú)疑是安全性和合規(guī)性的一個(gè)重要組成部分，尤其是在網(wǎng)絡(luò)分段和PCI范圍縮小的情況下。不管“老派”網(wǎng)絡(luò)邊界安全控制是如何實(shí)現(xiàn)的，他們對(duì)于企業(yè)控制來(lái)說(shuō)很重要。

眾所周知，企業(yè)進(jìn)行防火墻維護(hù)的方式各有不同。但是，在這篇文章中，我將討論這些差距以及如何解決這些問(wèn)題。

防火墻的管理問(wèn)題

無(wú)論您是負(fù)責(zé)小型或中型企業(yè)整體的信息安全，還是在一家大企業(yè)專(zhuān)門(mén)的防火墻團(tuán)隊(duì)工作，防火墻管理、維護(hù)和測(cè)試有關(guān)的潛在挑戰(zhàn)都非常相似。

一個(gè)主要的問(wèn)題是時(shí)間，或者是缺乏時(shí)間管理。還有一部分問(wèn)題和預(yù)算有關(guān)。再就是“影子IT”的問(wèn)題了，也就是員工發(fā)號(hào)施令使其發(fā)生變化的部分。

還有就是閑置不用，采購(gòu)了好的工具，但是尚未部署和實(shí)施不當(dāng)。就像Verizon的報(bào)告中所說(shuō)的：“我們看到了很多這樣的例子。一些組織已經(jīng)配備了下一代防火墻，但是并沒(méi)有使用它的程序感知功能，從而讓他們的網(wǎng)絡(luò)暴露給利用社交媒體應(yīng)用程序的威脅和端口跳轉(zhuǎn)攻擊”。我在工作中也相當(dāng)頻繁地看到這個(gè)現(xiàn)象。

解決方案

鑒于上述的挑戰(zhàn)和復(fù)雜性，IT團(tuán)隊(duì)要如何武裝他們企業(yè)的防火墻，有效地管理其規(guī)則庫(kù)，然后不斷地檢測(cè)出弊端?

首先，我不建議手動(dòng)來(lái)管理防火墻，除非你的組織只有一個(gè)或兩個(gè)防火墻，而且每個(gè)防火墻只有少量規(guī)則。

改善防火墻管理，處理變化和減少風(fēng)險(xiǎn)的其它幾個(gè)必備措施：

• 管理必須要有安全性意識(shí)，對(duì)于網(wǎng)絡(luò)現(xiàn)狀和組織正面臨的挑戰(zhàn)要有清晰的概念，沒(méi)有買(mǎi)入，就沒(méi)有支持，就是這么簡(jiǎn)單。

• 所有關(guān)鍵部門(mén)之間的溝通都需要得到改善，包括防火墻團(tuán)隊(duì)、安全團(tuán)隊(duì)、IT運(yùn)營(yíng)和服務(wù)支持團(tuán)隊(duì)。我已經(jīng)見(jiàn)過(guò)無(wú)數(shù)企業(yè)內(nèi)部的IT部門(mén)之間幾乎沒(méi)有溝通，和外部的業(yè)務(wù)團(tuán)隊(duì)也沒(méi)有溝通。當(dāng)溝通癱瘓時(shí)，一切也就完了。

• 在系統(tǒng)運(yùn)行中斷或泄露事件中，真正的業(yè)務(wù)連續(xù)性和應(yīng)急響應(yīng)程序必須到位。否則，公司就會(huì)在最不合時(shí)宜的時(shí)候當(dāng)機(jī)。

• 企業(yè)的防火墻環(huán)境中應(yīng)該有合理的標(biāo)準(zhǔn)。我看到很多公司的網(wǎng)絡(luò)環(huán)境中有各個(gè)供應(yīng)商的防火墻。雖然對(duì)于某一特定功能，一些供應(yīng)商的產(chǎn)品會(huì)比其它廠商的好，或者為了網(wǎng)絡(luò)某一區(qū)域，企業(yè)需要部署一個(gè)下一代防火墻，但是如果一個(gè)企業(yè)在環(huán)境內(nèi)運(yùn)行相同或相似系統(tǒng)可以簡(jiǎn)化很多事情。

• 安全測(cè)試技術(shù)必須超越防火墻規(guī)則庫(kù)分析或單純的審核。測(cè)試技術(shù)應(yīng)包括運(yùn)行漏洞掃描器(網(wǎng)絡(luò)和Web)，以及任意其他工具，如Metasploit，甚至需要一個(gè)知己知彼的網(wǎng)絡(luò)分析者來(lái)破解防火墻的漏洞。如果企業(yè)看得夠深，他們會(huì)發(fā)現(xiàn)諸如弱口令，過(guò)時(shí)的協(xié)議(SSL和SSH版本1)這些問(wèn)題。

• 諸如安全性檢測(cè)、漏洞檢測(cè)、風(fēng)險(xiǎn)防火墻規(guī)則，清除過(guò)時(shí)的規(guī)則這些行為都需要執(zhí)行。這些測(cè)試應(yīng)定期并持續(xù)執(zhí)行，即每季度或每半年，或之后任意重大系統(tǒng)更改。一些企業(yè)使用諸如AlgoSec防火墻分析儀這樣的工具幾乎實(shí)時(shí)來(lái)做到這些測(cè)試。一旦組織建立了它的測(cè)試流程，有些事情就可以在短短幾分鐘內(nèi)完成。當(dāng)一個(gè)組織在其它領(lǐng)域也這樣采取措施，它就會(huì)以更高的標(biāo)準(zhǔn)要求自己，并成功讓自己保持在防火墻監(jiān)督之上。

如果有必要，企業(yè)可以繼續(xù)實(shí)施信息技術(shù)基礎(chǔ)構(gòu)架庫(kù)(ITIL)或其它正式的變更管理流程。然而，值得注意的是，如果人們不按程序辦事，那么這些流程也僅僅只起到了展示的作用。舉個(gè)例子：我曾經(jīng)為一個(gè)大型電子商務(wù)公司的業(yè)務(wù)做一個(gè)項(xiàng)目。有一天，防火墻的團(tuán)隊(duì)成員沒(méi)有遵循既定的變更管理流程，對(duì)核心防火墻進(jìn)行了一些帶外(未經(jīng)測(cè)試)變更。不幸的是，在變更過(guò)程中，防火墻規(guī)則庫(kù)被損壞，電子商務(wù)應(yīng)用和互聯(lián)網(wǎng)之間的所有通信被中斷。核心應(yīng)用中斷，最終后果是幾個(gè)小時(shí)內(nèi)對(duì)該企業(yè)造成了六位數(shù)美元損失。

作為負(fù)責(zé)防火墻的工作人員，安全人員必須在安全和現(xiàn)實(shí)之間做好平衡。永遠(yuǎn)不要讓審計(jì)或合規(guī)引起的繁文縟節(jié)妨礙到工作。如果一個(gè)企業(yè)認(rèn)真地思考一下，在其網(wǎng)絡(luò)環(huán)境中基于需求使用正確的工具，制定合適的工作流程，那么防火墻維護(hù)和管理都可以做得很好。

最后，有一個(gè)很重要的問(wèn)題：當(dāng)涉及到防火墻管理和合規(guī)疏忽，企業(yè)是存在技術(shù)問(wèn)題還是人員問(wèn)題?再多的政府和行業(yè)法規(guī)，或是新的方法好像都無(wú)法解決這個(gè)問(wèn)題，但是紀(jì)律可以。紀(jì)律可以讓你了解風(fēng)險(xiǎn)在哪里，紀(jì)律可以更好地配合安全措施來(lái)管理網(wǎng)絡(luò)，紀(jì)律可以讓你做到需要做的事情，然后反復(fù)一遍又一遍地盡我們的能力做到很好的管理。

Jim Rohn曾經(jīng)說(shuō)過(guò)：“成功是容易的，但疏忽同樣容易”。防火墻維護(hù)和管理上的問(wèn)題不是突然一下子就出現(xiàn)的，是在長(zhǎng)時(shí)間內(nèi)做了一系列糟糕的決定，或者不做任何決定而產(chǎn)生的，例如管理者拒絕投資必要的工具和培訓(xùn)，或IT專(zhuān)業(yè)人士不做出任何努力和管理者進(jìn)行更好的溝通。當(dāng)關(guān)鍵系統(tǒng)，如防火墻和他們?nèi)找鎻?fù)雜的規(guī)則庫(kù)被忽視，那就是不好的事情發(fā)生的時(shí)候，組織對(duì)于安全的真實(shí)態(tài)度也會(huì)自然而然地曝光。