ISO標準認證助力網絡安全

編者按

本文原載于《質量世界》（Quality World）2018年第10期。作者尼科爾?科比（Nicole Kobie）是一名長期關注技術、運輸和科學領域的自由撰稿人。計算機和網絡是現在所有組織須臾不可或缺的基本工具，如果遭到大規模惡意軟件攻擊，有可能對組織造成嚴重破壞。本文以2017年WannaCry勒索軟件造成的巨大破壞為例，介紹了面對脆弱網絡系統帶來的嚴重威脅，如何通過ISO 27001等標準的認證筑造安全網絡，以及質量專業人士在其中的作用。

2017年5月一個星期五的下午，英國的媒體滾動出現新聞報道：英國各地的醫院和醫生辦公室都開始停工，因為他們所依賴的計算機和網絡遭到大規模惡意軟件攻擊。醫生們不知道發生了什么，不斷給同事發短信和打電話。這次攻擊帶來的混亂和相互矛盾的報道在推特（Twitter）上迅速傳播。

許多醫生辦公室的網絡出現斷線，在很多情況下甚至沒有任何警告，這使得醫生無法查看他們的文檔、預約日記和記錄。當天下午，數十家英國國家醫療服務體系（NHS）的醫院網絡陸續關閉，導致手術推遲、預約取消和患者轉院。

下午4點，NHS宣布了這一重大事件，啟動了持續整整一星期的官方三階段響應計劃。英國首相特蕾莎·梅首次召開應對網絡攻擊的內閣辦公室簡報A室（COBRA）會議。COBRA會議的參會人員包括高層政府官員和公共機構領導人，目的是解決諸如恐怖襲擊等嚴重性、突發性問題。

但人們很快發現，導致NHS關閉的惡意軟件并非針對衛生服務領域和英國。從中國到法國，很多全球公司都受到了影響。西班牙電信業巨頭西班牙電話公司遭遇重創，歐洲所有的雷諾工廠關閉。聯邦快遞后來透露，WannaCry勒索軟件攻擊使其歐洲業務損失超過3億英鎊。根據歐洲刑警組織的報告，總共150個國家的20萬臺計算機受到感染。畢馬威網絡安全專家尼爾·克拉克說：“NHS并不是唯一受影響的大型組織，他們并沒有被針對，只是他們的網絡很脆弱罷了。”

醫療服務體系的網絡之所以被攻陷，是因為WannaCry利用了一種名為“永恒之藍（Eternal Blue）”的漏洞利用工具。該工具由美國國家安全局開發，隨后遭到竊取，利用Windows操作系統中的已知漏洞感染設備。雖然微軟發布了一個緊急補丁來阻止其代碼中的漏洞被黑客利用，但并非所有的NHS醫院都安裝了該補丁。一份報告顯示，236家醫院中有三分之一受到了WannaCry的牽連。這些受影響的醫院都沒有安裝過補丁，盡管他們自己的數字安全部門建議他們采取預防措施。

因為沒有聽取微軟和NHS 數字安全部門的建議，英國的醫療服務受到WannaCry的重創。除了受影響的醫院外，8%的醫生辦公室也被迫離線。WannaCry通過內部網絡傳播，將加密文件作為勒索軟件攻擊的對象，黑客會鎖定文件，聲稱將在收到費用后解鎖。在這次事件中，他們開出的價碼是等值300美元的比特幣。英國電信的網絡和物理安全總經理史蒂夫·本頓解釋說：“病毒暴發后基本上只能通過關閉基于Windows的計算機來應對——實際上就是拔掉電源插頭。”這意味著數十家醫院和數百家醫生辦公室在未來幾天內無法照護患者。

在一名英國安全研究人員發現所謂的“死亡開關”后，當天晚上WannaCry的傳播停止了，但病毒的影響在周末持續發酵。安全人員向受病毒攻擊的人發送信件，通知他們立即安裝補丁，并對所有受感染機構的計算機系統進行更新。一些設備需要安全人員進行現場處理，其他的則需要更換硬件或重新組裝。對于本就繁忙的醫療服務系統來說，這是一個忙碌的一周。

針對WannaCry的響應

作為一家主要的國際電信和安全公司，如果英國電信也進入WannaCry受害者名單，那將是一件令人尷尬的事情，但該公司通過對其計算機進行系統最新和安裝補丁的方式避免了此次攻擊。本頓解釋道：“我們已經完成了互聯網相關設備的工作，因此WannaCry無法進入我們的設備。在我們的全球運營體系中，英國電信的任何分支機構都沒有暴發WannaCry。”

盡管英國電信的網絡是安全的，但為了做好準備以防止惡意軟件侵入自己的客戶，該公司仍然做出了完整的意外事件管理響應，這是在面臨安全危機時實施的一整套流程，包括監控自己的系統、修補所有軟件漏洞以及組織對其他人的援助等。本頓說：“事實上，我們也在幫助NHS應對。”因為NHS之前與英國電信簽訂了IT和數字服務合同。在英國電信內部，安全團隊對正在發生的事情進行了評估，確定了哪些威脅和弱點需要最高的關注，以便考慮其響應的優先順序。本頓解釋道：“這次我們將面向互聯網的設備（服務器和終端）作為關鍵優先事項，因為它們被攻擊的風險最大。”

這些措施包括制定一個被英國電信稱之為“劇本”協議，概述了如何運行緊急補丁，以確保在所有系統中都安裝了關鍵的Windows補丁。其次，該公司禁用了一個名為“服務器信息區塊”的Windows系統，該系統允許惡意軟件的傳播。然后，該公司增加了對網絡釣魚行為的防護，該行為通過電子郵件發送惡意鏈接或附件以感染計算機，這被視為WannaCry傳播的另一條可能路徑。

對于任何安全部門來說，這都意味著大量的工作，而且還是一個沒有被WannaCry感染的公司。本頓說，受Wannacry攻擊的人不得不迅速安裝他們漏裝的補丁，然后識別、隔離和清理受感染的機器。他說：“實際上，這是通過網絡完成的網絡工作，因此具有病毒進一步暴發的高風險。對于被勒索軟件加密的文件，可選擇方案是支付贖金，希望文件能夠解密，或者從備份中恢復文件和系統，并回滾丟失的進程。”

WannaCry事件的經驗教訓

所有組織都可以從這次WannaCry事件中學到大量的經驗教訓，無論它們是否受到了病毒感染。首先是最重要的：要始終為計算機安裝最新的系統補丁。WannaCry正是利用微軟在兩個月前修補過的軟件漏洞進行了傳播。很多公司經常推遲安裝補丁，因為軟件的任何變化都可能導致工作中斷。但這個補丁比其他補丁更重要，因為這次微軟還發布了一個針對過時的Windows XP系統的補丁版本，盡管微軟已不再更新Windows XP。網絡安全技術提供商比特梵德的全球網絡安全分析師伯格丹·博泰扎圖說：“當微軟針對不再受支持的Windows XP發布補丁時，這是一個警告信號，表明這件事情很嚴重，需要及時解決。”

除了補丁管理之外，本頓認為受害者這次以很大的代價知道了備份系統和準備恢復數據流程的重要性，因為一些組織的文件因勒索軟件而丟失。定期備份和數據恢復準備不再被視為一件麻煩的工作。“這也凸顯了了解自己與誰連接的重要性。”本頓補充道，“WannaCry事件揭示出，可能的感染渠道來自我們自己的網絡，而不僅僅是公共互聯網。”

作為一個公共組織，NHS對事件的響應將面臨內部和外部審查。該機構幾個月后在報告中詳細說明了它正在實施的變革，以避免再次成為受害者，以及在再次發生時能有效應對。WannaCry襲擊事件發生后還有一些其他變化，如NHS向其員工發布了一份網絡手冊，說明了未來受到網絡攻擊時應該做些什么，確定了負責人、要遵循的協議以及從哪里更新信息等。該組織的數據安全幫助熱線現在每天24小時開放，而不是在下午5點關閉。它對數百家醫院的安全設置進行了評估和審核，指出了哪些地方需要更多投資，以升級防火墻、提高網絡彈性和進行自動化補丁管理等。展望未來，NHS正在研究如何更好地利用其IT投資，改善未來的安全性。

但并非所有公司都吸取了教訓。在WannaCry事件一年后，供應蘋果iPhone組件的臺灣芯片制造商臺積電的工廠停運，因為其未修補的Windows系統被惡意軟件感染。雖然該公司的生產機器具有“氣隙系統”，當計算機沒有直接連接到互聯網時，惡意軟件對其難以感染，但插入該系統的新工具在安裝之前未進行病毒檢查，導致了病毒侵入。

ISO標準如何提供幫助

對于網絡安全，沒有萬無一失的方法，但一些標準和框架對其有所幫助。

一個是ISO 27001，該認證標準考察你如何管理你的安全風險或者信息安全管理系統（ISMS）。該標準并不會告訴公司應該使用哪種特定技術，盡管它確實包括了需要考慮的100多種安全控制。“它提升了組織內信息安全的重要性，并確保其對業務戰略和目標的支持。”英國標準協會（BSI）信息安全全球產品負責人約翰·迪馬利亞說，“它事實上是一種業務管理工具，可以幫助企業了解自己擁有哪些信息和信息放在哪里。最重要的是，如何在整個從創建到銷毀的生命周期內對信息進行保護。”

因為ISO 27001是全球認證，所以它必然有一定的模糊性。咨詢公司IT Governance的執行董事史蒂夫·沃特金斯解釋說：“它必須具有足夠的靈活性，能夠適應并適用于每個組織，無論它們對安全問題關注是很高或者略低。”

如果你的組織已經擁有了完善的安全策略，ISO 27001可能不需要你進行任何技術更改。除了提升保護之外，它還有其它好處。首先，它向客戶和用戶表明你正在認真對待安全問題。畢馬威的克拉克說：“在某些行業，認證可以讓你擁有討論商機的資格。這是對該組織正在考慮并采取基于風險的方法的事實的良好認可。”IT Governance對其客戶進行的一項民意調查顯示，80%的客戶表示認證激發了對其業務的信任，75%的客戶認為可以降低業務風險。

認證還可以幫助組織證明自己會在攻擊后試圖保護數據。迪馬利亞說：“它包括了‘盡職調查’和‘防護標準’的內容。在法律爭端中，它們是組織為保護信息所采取的防護水平受到質疑時所涉及的議題。”

此外，沃特金斯指出，公司設立的符合ISO 27001標準的管理系統可用于滿足其他法規，如歐盟的《通用數據保護條例》（GDPR）。事實上，IT Governance對其客戶的調查顯示，68%的人計劃使用符合ISO 27001標準的信息安全管理體系來保證對GDPR的合規性，GDPR是2018年5月在歐盟生效的一整套數據保護規則。

在沒有外界幫助的情況下，組織也可以滿足ISO 27001標準，并且有大量的書籍和課程可以幫助組織完成整個過程。沃特金斯表示，對于那些來咨詢公司尋求幫助的組織來說，達到這個標準需要花費2～18個月的時間。IT Governance的研究顯示，約60%的組織需要6個月左右。ISO 27001通常適用于大型組織，但沃特金斯表示它對小型企業也很有用，他曾經幫助一個“單人公司”獲得認證，因此不存在業務規模太小的問題。

同時，還有許多其他認證或計劃需要考慮。如果你的公司在英國運營，則需要考慮英國政府的網絡要件（Cyber Essentials）計劃，或美國商務部的國家標準與技術研究院（NIST）網絡安全框架。后者為如何避免攻擊和進行響應提供指導，特別是那些運行關鍵基礎設施的組織。歐洲大陸正計劃為產品、服務和流程建立歐盟通用的網絡安全認證框架。澳大利亞政府有一個信息安全管理框架，日本有一個信息安全管理體系合格評定計劃。其他的信息安全管理體系包括來自信息系統審計和控制協會（ISACA）的信息技術基礎設施庫（ITIL），以及信息和相關技術的控制目標（COBIT）。特定行業也有自己的標準。金融公司可能需要滿足支付卡行業數據安全標準，而電信公司需要考慮電信商品保證服務（CAST），該標準對安全控制有詳細的說明。

如果你已經滿足了ISO 27001的要求，還有其他ISO標準需要考慮。“如果數據的機密性、完整性或可獲得性受到威脅，可以考慮業務連續性標準ISO 22301，以建立‘信息連續性’。”迪馬利亞解釋道，“可以添加特定行業標準，作為云服務提供商的范圍擴展，例如ISO/IEC 27018（隱私）、ISO/IEC 27017（云的附加控制），以及CSA STAR （云安全聯盟的安全、信任和保證登記）。”

但是，如果你正在考慮任何類型的信息安全管理體系認證，特別是ISO 27001，沃特金斯警告說，不要認為這足以保護你的公司免受安全事故的影響——這些標準是關于人員和流程的，而不是關于IT的。他說：“很多人認為信息安全管理是關于IT的，但它不是。它不僅僅是對信息的保密或鎖定，更是在認識到可獲得性的重要性的同時取得平衡……ISO 27001重點關注機密性、完整性和可獲得性，并保護這些事情。”

貼心提示

即使通過了ISO 27001認證，公司仍需要考慮技術防御問題。首先要認識到，完美的安全是不可能的，因為攻擊總是在變化，因此公司的防御也應當相應變化。“安全對任何組織都至關重要——股東、官方機構、媒體和客戶都希望有適當的安全措施。”本頓說，“有些攻擊可能會成功，沒有百分之百的安全。ISO 27001讓你了解威脅和風險，以及根據你公司的風險偏好進行相應的響應。”

也就是說，要保證一些關鍵基礎工作的正確性：及時進行系統修補并注意漏洞；確保員工接受過良好的培訓，以避免人為的安全失誤，例如因網絡釣魚攻擊而中招；如果不幸被攻擊，需要具有經過測試的業務連續性計劃。畢馬威的克拉克說：“數據證明，80%是正確做好基礎工作；20%是你與誰一起工作，以及你的哪些工作可能對他人有價值，并適當地調整安全措施。”

黑客們一直將公司當作攻擊目標，對艾可飛（Equifax）、滔客（TalkTalk）和雅虎等公司的重大攻擊已經影響了數百萬人。然而，英國數據監管機構信息專員辦公室的數據顯示，80%的數據泄露并不是黑客造成的，而是人為錯誤或流程錯誤造成的。

為了保障數據安全，需要在公司的各個層面考慮安全性和數據管理——尤其是在高級管理層。“這在很大程度上關乎領導力和決策、人員和流程，而不是技術。”克拉克說，“如果你沒有考慮組織內最高級別的安全性，你就不會正確地做到這一點。”

本頓說，這就是高質量專業人士的用武之地。他說：“質量專業人士可以在以下領域發揮作用：確保并支持在流程、系統、應用程序中設計和構建安全性，這提供了力量和可預測性的基礎，以建立和維護安全狀態，并利用標準、措施和審計等確認實際操作中控制的有效性。”

換句話說，維持公司安全需要打好基礎，以避免遭受像Wannacry那樣、其實很容易預防的病毒攻擊，同時也要做好培訓、計劃和協議，以應對無法避免的安全事件。

克拉克說：“安全問題的一個關鍵組成部分，是當它出錯時該怎么做。如果我們用噩夢般的場景來鍛煉自己，那么無論發生什么事情，應對起來都可能會比較簡單一些。”