本文中提到的主机评估加固服务指:操作系统及运行于操作系统之上的中间件和数据库管理系统。
国内信息安全服务商的工作方式是:
1、根据主机资产类型的不同,分别制定检查列表(如:Windows,Linux,Apache,Oracle,SqlServer等);
2、通过检查目标资产的配置与检查列表的差距,得出安全评估结果;
3、根据安全评估结果,甲乙双方制定加固方案列表;
4、按照加固方案列表,实施安全配置方面的加固工作。
在这种工作方式下,同类资产采取相同的评估指标,和相似的加固方案。为满足同类资产的基线要求是合理的,然而这种做法存在一些问题:
1、按资产数量计算工时收费的合理性。操作系统可能是批量安装的,在尚未有做过安全配置之前,几乎是完全一样的配置,逐台检查并按照台次计算服务费用增加了甲方的成本;
2、不同的主机承载着不同的业务系统,对安全的要求是有区别的,而目前我们的检查列表是通用的;
3、对操作系统、中间件、数据库管理系统和Web应用程序的安全评估是独立进行的,安全配置加固和安全产品部署也是各做各的,缺乏站在整个业务系统的角度整体考虑。
由于缺乏对业务系统的整体考虑,我们的具体加固工作就变成了只解决各自层面发现的问题。例如:发现一个Web应用程序的漏洞,漏洞使攻击者能够获取Webshell,常规的安全加固方案是协调Web应用程序的开发人员修改应用程序来修复这个漏洞本身。
为什么在不能更进一步对操作系统和中间件的进行安全配置,减少将来出现同类漏洞而可能造成的影响。
出现这个问题的原因有:安全服务内容按资产类型及数量计费,不同资产类型由不同服务人员完成,网络安全工程师负责网络、主机安全工程师负责主机、Web应用安全工程师负责应用、移动App应用安全工程师负责App…
服务人员之前缺乏沟通和协作,各做各的事,各收各的钱,钱没少收,服务交付的价值还有提升的空间。
那么,从业务系统整体考虑安全问题,改善这部分的安全服务工作能够提升安全服务商交付的价值。交付更多的价值,服务商才能赚到更多的钱。
郝轶/文 转载请注明E安全
E安全——全球网络安全新传
联系客服