ISO標準認證助力網(wǎng)絡(luò)安全

編者按

本文原載于《質(zhì)量世界》（Quality World）2018年第10期。作者尼科爾?科比（Nicole Kobie）是一名長期關(guān)注技術(shù)、運輸和科學(xué)領(lǐng)域的自由撰稿人。計算機和網(wǎng)絡(luò)是現(xiàn)在所有組織須臾不可或缺的基本工具，如果遭到大規(guī)模惡意軟件攻擊，有可能對組織造成嚴重破壞。本文以2017年WannaCry勒索軟件造成的巨大破壞為例，介紹了面對脆弱網(wǎng)絡(luò)系統(tǒng)帶來的嚴重威脅，如何通過ISO 27001等標準的認證筑造安全網(wǎng)絡(luò)，以及質(zhì)量專業(yè)人士在其中的作用。

2017年5月一個星期五的下午，英國的媒體滾動出現(xiàn)新聞報道：英國各地的醫(yī)院和醫(yī)生辦公室都開始停工，因為他們所依賴的計算機和網(wǎng)絡(luò)遭到大規(guī)模惡意軟件攻擊。醫(yī)生們不知道發(fā)生了什么，不斷給同事發(fā)短信和打電話。這次攻擊帶來的混亂和相互矛盾的報道在推特（Twitter）上迅速傳播。

許多醫(yī)生辦公室的網(wǎng)絡(luò)出現(xiàn)斷線，在很多情況下甚至沒有任何警告，這使得醫(yī)生無法查看他們的文檔、預(yù)約日記和記錄。當天下午，數(shù)十家英國國家醫(yī)療服務(wù)體系（NHS）的醫(yī)院網(wǎng)絡(luò)陸續(xù)關(guān)閉，導(dǎo)致手術(shù)推遲、預(yù)約取消和患者轉(zhuǎn)院。

下午4點，NHS宣布了這一重大事件，啟動了持續(xù)整整一星期的官方三階段響應(yīng)計劃。英國首相特蕾莎·梅首次召開應(yīng)對網(wǎng)絡(luò)攻擊的內(nèi)閣辦公室簡報A室（COBRA）會議。COBRA會議的參會人員包括高層政府官員和公共機構(gòu)領(lǐng)導(dǎo)人，目的是解決諸如恐怖襲擊等嚴重性、突發(fā)性問題。

但人們很快發(fā)現(xiàn)，導(dǎo)致NHS關(guān)閉的惡意軟件并非針對衛(wèi)生服務(wù)領(lǐng)域和英國。從中國到法國，很多全球公司都受到了影響。西班牙電信業(yè)巨頭西班牙電話公司遭遇重創(chuàng)，歐洲所有的雷諾工廠關(guān)閉。聯(lián)邦快遞后來透露，WannaCry勒索軟件攻擊使其歐洲業(yè)務(wù)損失超過3億英鎊。根據(jù)歐洲刑警組織的報告，總共150個國家的20萬臺計算機受到感染。畢馬威網(wǎng)絡(luò)安全專家尼爾·克拉克說：“NHS并不是唯一受影響的大型組織，他們并沒有被針對，只是他們的網(wǎng)絡(luò)很脆弱罷了。”

醫(yī)療服務(wù)體系的網(wǎng)絡(luò)之所以被攻陷，是因為WannaCry利用了一種名為“永恒之藍（Eternal Blue）”的漏洞利用工具。該工具由美國國家安全局開發(fā)，隨后遭到竊取，利用Windows操作系統(tǒng)中的已知漏洞感染設(shè)備。雖然微軟發(fā)布了一個緊急補丁來阻止其代碼中的漏洞被黑客利用，但并非所有的NHS醫(yī)院都安裝了該補丁。一份報告顯示，236家醫(yī)院中有三分之一受到了WannaCry的牽連。這些受影響的醫(yī)院都沒有安裝過補丁，盡管他們自己的數(shù)字安全部門建議他們采取預(yù)防措施。

因為沒有聽取微軟和NHS 數(shù)字安全部門的建議，英國的醫(yī)療服務(wù)受到WannaCry的重創(chuàng)。除了受影響的醫(yī)院外，8%的醫(yī)生辦公室也被迫離線。WannaCry通過內(nèi)部網(wǎng)絡(luò)傳播，將加密文件作為勒索軟件攻擊的對象，黑客會鎖定文件，聲稱將在收到費用后解鎖。在這次事件中，他們開出的價碼是等值300美元的比特幣。英國電信的網(wǎng)絡(luò)和物理安全總經(jīng)理史蒂夫·本頓解釋說：“病毒暴發(fā)后基本上只能通過關(guān)閉基于Windows的計算機來應(yīng)對——實際上就是拔掉電源插頭。”這意味著數(shù)十家醫(yī)院和數(shù)百家醫(yī)生辦公室在未來幾天內(nèi)無法照護患者。

在一名英國安全研究人員發(fā)現(xiàn)所謂的“死亡開關(guān)”后，當天晚上WannaCry的傳播停止了，但病毒的影響在周末持續(xù)發(fā)酵。安全人員向受病毒攻擊的人發(fā)送信件，通知他們立即安裝補丁，并對所有受感染機構(gòu)的計算機系統(tǒng)進行更新。一些設(shè)備需要安全人員進行現(xiàn)場處理，其他的則需要更換硬件或重新組裝。對于本就繁忙的醫(yī)療服務(wù)系統(tǒng)來說，這是一個忙碌的一周。

針對WannaCry的響應(yīng)

作為一家主要的國際電信和安全公司，如果英國電信也進入WannaCry受害者名單，那將是一件令人尷尬的事情，但該公司通過對其計算機進行系統(tǒng)最新和安裝補丁的方式避免了此次攻擊。本頓解釋道：“我們已經(jīng)完成了互聯(lián)網(wǎng)相關(guān)設(shè)備的工作，因此WannaCry無法進入我們的設(shè)備。在我們的全球運營體系中，英國電信的任何分支機構(gòu)都沒有暴發(fā)WannaCry。”

盡管英國電信的網(wǎng)絡(luò)是安全的，但為了做好準備以防止惡意軟件侵入自己的客戶，該公司仍然做出了完整的意外事件管理響應(yīng)，這是在面臨安全危機時實施的一整套流程，包括監(jiān)控自己的系統(tǒng)、修補所有軟件漏洞以及組織對其他人的援助等。本頓說：“事實上，我們也在幫助NHS應(yīng)對。”因為NHS之前與英國電信簽訂了IT和數(shù)字服務(wù)合同。在英國電信內(nèi)部，安全團隊對正在發(fā)生的事情進行了評估，確定了哪些威脅和弱點需要最高的關(guān)注，以便考慮其響應(yīng)的優(yōu)先順序。本頓解釋道：“這次我們將面向互聯(lián)網(wǎng)的設(shè)備（服務(wù)器和終端）作為關(guān)鍵優(yōu)先事項，因為它們被攻擊的風(fēng)險最大。”

這些措施包括制定一個被英國電信稱之為“劇本”協(xié)議，概述了如何運行緊急補丁，以確保在所有系統(tǒng)中都安裝了關(guān)鍵的Windows補丁。其次，該公司禁用了一個名為“服務(wù)器信息區(qū)塊”的Windows系統(tǒng)，該系統(tǒng)允許惡意軟件的傳播。然后，該公司增加了對網(wǎng)絡(luò)釣魚行為的防護，該行為通過電子郵件發(fā)送惡意鏈接或附件以感染計算機，這被視為WannaCry傳播的另一條可能路徑。

對于任何安全部門來說，這都意味著大量的工作，而且還是一個沒有被WannaCry感染的公司。本頓說，受Wannacry攻擊的人不得不迅速安裝他們漏裝的補丁，然后識別、隔離和清理受感染的機器。他說：“實際上，這是通過網(wǎng)絡(luò)完成的網(wǎng)絡(luò)工作，因此具有病毒進一步暴發(fā)的高風(fēng)險。對于被勒索軟件加密的文件，可選擇方案是支付贖金，希望文件能夠解密，或者從備份中恢復(fù)文件和系統(tǒng)，并回滾丟失的進程。”

WannaCry事件的經(jīng)驗教訓(xùn)

所有組織都可以從這次WannaCry事件中學(xué)到大量的經(jīng)驗教訓(xùn)，無論它們是否受到了病毒感染。首先是最重要的：要始終為計算機安裝最新的系統(tǒng)補丁。WannaCry正是利用微軟在兩個月前修補過的軟件漏洞進行了傳播。很多公司經(jīng)常推遲安裝補丁，因為軟件的任何變化都可能導(dǎo)致工作中斷。但這個補丁比其他補丁更重要，因為這次微軟還發(fā)布了一個針對過時的Windows XP系統(tǒng)的補丁版本，盡管微軟已不再更新Windows XP。網(wǎng)絡(luò)安全技術(shù)提供商比特梵德的全球網(wǎng)絡(luò)安全分析師伯格丹·博泰扎圖說：“當微軟針對不再受支持的Windows XP發(fā)布補丁時，這是一個警告信號，表明這件事情很嚴重，需要及時解決。”

除了補丁管理之外，本頓認為受害者這次以很大的代價知道了備份系統(tǒng)和準備恢復(fù)數(shù)據(jù)流程的重要性，因為一些組織的文件因勒索軟件而丟失。定期備份和數(shù)據(jù)恢復(fù)準備不再被視為一件麻煩的工作。“這也凸顯了了解自己與誰連接的重要性。”本頓補充道，“WannaCry事件揭示出，可能的感染渠道來自我們自己的網(wǎng)絡(luò)，而不僅僅是公共互聯(lián)網(wǎng)。”

作為一個公共組織，NHS對事件的響應(yīng)將面臨內(nèi)部和外部審查。該機構(gòu)幾個月后在報告中詳細說明了它正在實施的變革，以避免再次成為受害者，以及在再次發(fā)生時能有效應(yīng)對。WannaCry襲擊事件發(fā)生后還有一些其他變化，如NHS向其員工發(fā)布了一份網(wǎng)絡(luò)手冊，說明了未來受到網(wǎng)絡(luò)攻擊時應(yīng)該做些什么，確定了負責(zé)人、要遵循的協(xié)議以及從哪里更新信息等。該組織的數(shù)據(jù)安全幫助熱線現(xiàn)在每天24小時開放，而不是在下午5點關(guān)閉。它對數(shù)百家醫(yī)院的安全設(shè)置進行了評估和審核，指出了哪些地方需要更多投資，以升級防火墻、提高網(wǎng)絡(luò)彈性和進行自動化補丁管理等。展望未來，NHS正在研究如何更好地利用其IT投資，改善未來的安全性。

但并非所有公司都吸取了教訓(xùn)。在WannaCry事件一年后，供應(yīng)蘋果iPhone組件的臺灣芯片制造商臺積電的工廠停運，因為其未修補的Windows系統(tǒng)被惡意軟件感染。雖然該公司的生產(chǎn)機器具有“氣隙系統(tǒng)”，當計算機沒有直接連接到互聯(lián)網(wǎng)時，惡意軟件對其難以感染，但插入該系統(tǒng)的新工具在安裝之前未進行病毒檢查，導(dǎo)致了病毒侵入。

ISO標準如何提供幫助

對于網(wǎng)絡(luò)安全，沒有萬無一失的方法，但一些標準和框架對其有所幫助。

一個是ISO 27001，該認證標準考察你如何管理你的安全風(fēng)險或者信息安全管理系統(tǒng)（ISMS）。該標準并不會告訴公司應(yīng)該使用哪種特定技術(shù)，盡管它確實包括了需要考慮的100多種安全控制。“它提升了組織內(nèi)信息安全的重要性，并確保其對業(yè)務(wù)戰(zhàn)略和目標的支持。”英國標準協(xié)會（BSI）信息安全全球產(chǎn)品負責(zé)人約翰·迪馬利亞說，“它事實上是一種業(yè)務(wù)管理工具，可以幫助企業(yè)了解自己擁有哪些信息和信息放在哪里。最重要的是，如何在整個從創(chuàng)建到銷毀的生命周期內(nèi)對信息進行保護。”

因為ISO 27001是全球認證，所以它必然有一定的模糊性。咨詢公司IT Governance的執(zhí)行董事史蒂夫·沃特金斯解釋說：“它必須具有足夠的靈活性，能夠適應(yīng)并適用于每個組織，無論它們對安全問題關(guān)注是很高或者略低。”

如果你的組織已經(jīng)擁有了完善的安全策略，ISO 27001可能不需要你進行任何技術(shù)更改。除了提升保護之外，它還有其它好處。首先，它向客戶和用戶表明你正在認真對待安全問題。畢馬威的克拉克說：“在某些行業(yè)，認證可以讓你擁有討論商機的資格。這是對該組織正在考慮并采取基于風(fēng)險的方法的事實的良好認可。”IT Governance對其客戶進行的一項民意調(diào)查顯示，80%的客戶表示認證激發(fā)了對其業(yè)務(wù)的信任，75%的客戶認為可以降低業(yè)務(wù)風(fēng)險。

認證還可以幫助組織證明自己會在攻擊后試圖保護數(shù)據(jù)。迪馬利亞說：“它包括了‘盡職調(diào)查’和‘防護標準’的內(nèi)容。在法律爭端中，它們是組織為保護信息所采取的防護水平受到質(zhì)疑時所涉及的議題。”

此外，沃特金斯指出，公司設(shè)立的符合ISO 27001標準的管理系統(tǒng)可用于滿足其他法規(guī)，如歐盟的《通用數(shù)據(jù)保護條例》（GDPR）。事實上，IT Governance對其客戶的調(diào)查顯示，68%的人計劃使用符合ISO 27001標準的信息安全管理體系來保證對GDPR的合規(guī)性，GDPR是2018年5月在歐盟生效的一整套數(shù)據(jù)保護規(guī)則。

在沒有外界幫助的情況下，組織也可以滿足ISO 27001標準，并且有大量的書籍和課程可以幫助組織完成整個過程。沃特金斯表示，對于那些來咨詢公司尋求幫助的組織來說，達到這個標準需要花費2～18個月的時間。IT Governance的研究顯示，約60%的組織需要6個月左右。ISO 27001通常適用于大型組織，但沃特金斯表示它對小型企業(yè)也很有用，他曾經(jīng)幫助一個“單人公司”獲得認證，因此不存在業(yè)務(wù)規(guī)模太小的問題。

同時，還有許多其他認證或計劃需要考慮。如果你的公司在英國運營，則需要考慮英國政府的網(wǎng)絡(luò)要件（Cyber Essentials）計劃，或美國商務(wù)部的國家標準與技術(shù)研究院（NIST）網(wǎng)絡(luò)安全框架。后者為如何避免攻擊和進行響應(yīng)提供指導(dǎo)，特別是那些運行關(guān)鍵基礎(chǔ)設(shè)施的組織。歐洲大陸正計劃為產(chǎn)品、服務(wù)和流程建立歐盟通用的網(wǎng)絡(luò)安全認證框架。澳大利亞政府有一個信息安全管理框架，日本有一個信息安全管理體系合格評定計劃。其他的信息安全管理體系包括來自信息系統(tǒng)審計和控制協(xié)會（ISACA）的信息技術(shù)基礎(chǔ)設(shè)施庫（ITIL），以及信息和相關(guān)技術(shù)的控制目標（COBIT）。特定行業(yè)也有自己的標準。金融公司可能需要滿足支付卡行業(yè)數(shù)據(jù)安全標準，而電信公司需要考慮電信商品保證服務(wù)（CAST），該標準對安全控制有詳細的說明。

如果你已經(jīng)滿足了ISO 27001的要求，還有其他ISO標準需要考慮。“如果數(shù)據(jù)的機密性、完整性或可獲得性受到威脅，可以考慮業(yè)務(wù)連續(xù)性標準ISO 22301，以建立‘信息連續(xù)性’。”迪馬利亞解釋道，“可以添加特定行業(yè)標準，作為云服務(wù)提供商的范圍擴展，例如ISO/IEC 27018（隱私）、ISO/IEC 27017（云的附加控制），以及CSA STAR （云安全聯(lián)盟的安全、信任和保證登記）。”

但是，如果你正在考慮任何類型的信息安全管理體系認證，特別是ISO 27001，沃特金斯警告說，不要認為這足以保護你的公司免受安全事故的影響——這些標準是關(guān)于人員和流程的，而不是關(guān)于IT的。他說：“很多人認為信息安全管理是關(guān)于IT的，但它不是。它不僅僅是對信息的保密或鎖定，更是在認識到可獲得性的重要性的同時取得平衡……ISO 27001重點關(guān)注機密性、完整性和可獲得性，并保護這些事情。”

貼心提示

即使通過了ISO 27001認證，公司仍需要考慮技術(shù)防御問題。首先要認識到，完美的安全是不可能的，因為攻擊總是在變化，因此公司的防御也應(yīng)當相應(yīng)變化。“安全對任何組織都至關(guān)重要——股東、官方機構(gòu)、媒體和客戶都希望有適當?shù)陌踩胧！北绢D說，“有些攻擊可能會成功，沒有百分之百的安全。ISO 27001讓你了解威脅和風(fēng)險，以及根據(jù)你公司的風(fēng)險偏好進行相應(yīng)的響應(yīng)。”

也就是說，要保證一些關(guān)鍵基礎(chǔ)工作的正確性：及時進行系統(tǒng)修補并注意漏洞；確保員工接受過良好的培訓(xùn)，以避免人為的安全失誤，例如因網(wǎng)絡(luò)釣魚攻擊而中招；如果不幸被攻擊，需要具有經(jīng)過測試的業(yè)務(wù)連續(xù)性計劃。畢馬威的克拉克說：“數(shù)據(jù)證明，80%是正確做好基礎(chǔ)工作；20%是你與誰一起工作，以及你的哪些工作可能對他人有價值，并適當?shù)卣{(diào)整安全措施。”

黑客們一直將公司當作攻擊目標，對艾可飛（Equifax）、滔客（TalkTalk）和雅虎等公司的重大攻擊已經(jīng)影響了數(shù)百萬人。然而，英國數(shù)據(jù)監(jiān)管機構(gòu)信息專員辦公室的數(shù)據(jù)顯示，80%的數(shù)據(jù)泄露并不是黑客造成的，而是人為錯誤或流程錯誤造成的。

為了保障數(shù)據(jù)安全，需要在公司的各個層面考慮安全性和數(shù)據(jù)管理——尤其是在高級管理層。“這在很大程度上關(guān)乎領(lǐng)導(dǎo)力和決策、人員和流程，而不是技術(shù)。”克拉克說，“如果你沒有考慮組織內(nèi)最高級別的安全性，你就不會正確地做到這一點。”

本頓說，這就是高質(zhì)量專業(yè)人士的用武之地。他說：“質(zhì)量專業(yè)人士可以在以下領(lǐng)域發(fā)揮作用：確保并支持在流程、系統(tǒng)、應(yīng)用程序中設(shè)計和構(gòu)建安全性，這提供了力量和可預(yù)測性的基礎(chǔ)，以建立和維護安全狀態(tài)，并利用標準、措施和審計等確認實際操作中控制的有效性。”

換句話說，維持公司安全需要打好基礎(chǔ)，以避免遭受像Wannacry那樣、其實很容易預(yù)防的病毒攻擊，同時也要做好培訓(xùn)、計劃和協(xié)議，以應(yīng)對無法避免的安全事件。

克拉克說：“安全問題的一個關(guān)鍵組成部分，是當它出錯時該怎么做。如果我們用噩夢般的場景來鍛煉自己，那么無論發(fā)生什么事情，應(yīng)對起來都可能會比較簡單一些。”