本文來自微信公眾號“安全牛”。
防火墻是現(xiàn)代網(wǎng)絡安全架構(gòu)體系的關鍵性組成部分,為入站、出站的網(wǎng)絡流量充當把關員,已經(jīng)在企業(yè)網(wǎng)絡中大量應用。然而,很多組織卻忽視了非常重要的一點:防火墻系統(tǒng)只有在正確的策略配置并不斷運營優(yōu)化的前提下,才能有效應對不斷變化發(fā)展的新威脅。否則就會形同虛設,為攻擊者非法訪問網(wǎng)絡創(chuàng)造了可乘之機。但事實上,在很多大型企業(yè)組織中,由于防火墻設備的類型和數(shù)量眾多,想要準確了解所有防火墻的工作狀態(tài)并保持監(jiān)控并不容易,這時候防火墻運營審計就有了用武之處。
對防火墻進行運營審計會涉及多個方面和步驟,可以幫助組織更深入了解所有防火墻設備的運行狀態(tài)和實際工作效率。同時,開展防火墻運營審計還可以確保企業(yè)遵守網(wǎng)絡安全相關的法律要求,幫助安全團隊從容應對監(jiān)管部門的各種檢查。
本文梳理總結(jié)了開展防火墻運營審計的六個重要步驟,企業(yè)可以在此基礎上,結(jié)合實際防護需求增加額外的檢測項,從而制定完善的防火墻運營審計計劃。
01
充分收集網(wǎng)絡系統(tǒng)的運行信息
建立“單一真相來源”對順利開展防火墻運營審計非常重要。因此,企業(yè)在啟動防火墻審計工作之前,需要盡可能詳細了解企業(yè)網(wǎng)絡的整體運行情況,包括網(wǎng)絡設備、軟件應用、運營策略、主要風險以及用戶交互規(guī)則等信息:
前期審計報告的信息,特別是涉及防火墻對象、策略修訂的文檔和報告;
●要列出組織使用的所有互聯(lián)網(wǎng)服務提供商(ISP)和虛擬專用網(wǎng)(VPN)列表清單;
●收集正在運行的安全策略文檔,包括已傳達但尚未添加到正式文檔中的更新;
●整理防火墻日志報告,審計師要能夠快速訪問各種可能需要的詳細信息;
●防火墻廠商信息,比如操作系統(tǒng)版本、默認配置以及遠程補丁修補信息等。
在這個階段,企業(yè)應該確保將以上信息集中到每個審計人員都可以訪問的地方。這將可以保證審計團隊高效協(xié)同,并避免不必要的時間浪費。
02
評估組織的運營管理方法
防火墻運營審計也是評估現(xiàn)有的防火墻系統(tǒng)管理措施有效性的大好機會。在更新防火墻運行策略之前,最好確保新的管控流程記錄完備、目標統(tǒng)一。對防火墻的運營管理應該始終擁有一個穩(wěn)定、可靠的管理流程。如果隨意進行配置更改,就會出現(xiàn)無數(shù)問題。
企業(yè)在評估管理流程的變更優(yōu)化時,應重點考慮以下問題:
●由誰來負責實施變更?他是否可以對防火墻運行的每個變更后果負責?
●防火墻審計期間,是否可以查看有關配置升級效果評估的說明文檔?
●誰來批準所有的變更請求?當企業(yè)對網(wǎng)絡系統(tǒng)中的任何防火墻進行重大策略變更時,應該有一條可靠的“命令鏈”。同時,任何對防火墻的變更都應該受制于一個正式的、有文檔記錄的流程,才可以確保防護效果的完整性。
03
要對硬件平臺和操作系統(tǒng)進行審計
消除網(wǎng)絡威脅需要快速的威脅響應速度,而能否在攻擊蔓延到更廣泛的網(wǎng)絡之前快速隔離并阻止攻擊,是評價防火墻有效性的重要參考指標。審計師應該從物理設備和軟件應用內(nèi)安全視角,仔細檢查并評估每個防火墻的威脅響應狀況。以下是執(zhí)行這類評估的幾種常見方法:
●實施受控制的訪問,為防火墻及其他相關服務器設備提供安全保障;
●確定操作系統(tǒng)是否符合標準的安全加固檢查列表;
●檢查設備管理程序,以確保它們足夠穩(wěn)健;
●驗證廠商的安全補丁和版本更新是否得到充分和及時的實施;
●查看可以物理訪問防火墻服務器機房的授權(quán)用戶。
04
仔細審查防火墻的防護規(guī)則
執(zhí)行防火墻運營審計的一個重要目標就是清理現(xiàn)有的設備運行環(huán)境,優(yōu)化防火墻高效運行的規(guī)則庫。審計師在檢查防火墻運行規(guī)則時,需要考慮以下幾個問題:
●現(xiàn)有的規(guī)則庫中有沒有已過時的規(guī)則策略?
●如何禁用那些長期未使用或已過時的規(guī)則和對象?
●與運行性能和效果有關的防火墻規(guī)則應該優(yōu)先得到重視;
●是否按照標準化的命名方法對規(guī)則進行標記?
●規(guī)則參數(shù)表中是否有已過時或未綁定的用戶或用戶組?
●是否可以通過防火墻日志來總結(jié)分析已有的規(guī)則被充分運用?
●是否存在可以合并為單個規(guī)則的類似規(guī)則?
05
執(zhí)行風險評估發(fā)現(xiàn)潛在的問題
風險評估是開展防火墻運營審計工作中不可缺少的關鍵性要求。因為審計的主要目標就是確定組織的網(wǎng)絡系統(tǒng)是否會因為防火墻的可用性不足而面臨風險。審計團隊要花時間來確定防火墻規(guī)則是否真正符合不斷發(fā)展的行業(yè)法規(guī)和標準要求。企業(yè)組織一定要通過適用于貴組織的行業(yè)標準和最佳實踐,對防火墻的運營風險進行評估,并根據(jù)評估結(jié)果來決定最終可接受的風險程度。
評估規(guī)則列表時,應考慮以下情況:
●目前的防火墻運行規(guī)則是否可以阻斷高風險服務從互聯(lián)網(wǎng)進入或流出;
●目前的防火墻運行規(guī)則是否在任何用戶字段中都被準確標注;
●目前的防火墻運行規(guī)則是否和企業(yè)的整體安全策略保持一致;
●目前的防火墻運行規(guī)則是否未符合企業(yè)網(wǎng)絡安全策略的長期發(fā)展要求;
●審計師根據(jù)可能適用的行業(yè)監(jiān)管標準來檢查防火墻配置和規(guī)則是一個很好的方法,具體的標準包括J-SOX、FISMA、Basel-II、ISO 27001以及PCI-DSS等。
06
制定可持續(xù)的審計計劃
當企業(yè)組織成功地開展了第一次防火墻運營審計時,就應該因此為基礎制定可持續(xù)遵守的審計計劃和目標,主要包括以下步驟:
●創(chuàng)建一個可以快速復制的審計流程,確保該流程記錄完備,以便不同的審計師都可以根據(jù)這些材料進行運營態(tài)勢審計;
●在審計流程中充分考慮智能自動化工具的應用,旨在消除容易出錯的手動任務;
●安全運營團隊和審計人員之間應該保持密切的聯(lián)系和信息同步,以便在下一次審計時,審計師可以優(yōu)先考慮對變動的規(guī)則進行審計。