用網(wǎng)絡(luò)分段和訪問(wèn)控制隔離攻擊
根據(jù)美國(guó)特工處的最新數(shù)據(jù),內(nèi)部人員攻擊在過(guò)去的一年可能已經(jīng)增加了一倍。但是外部的攻擊仍是主要的威脅,并且還占據(jù)著大部分的盜竊記錄,這表明公司并沒(méi)有正確地保障其網(wǎng)絡(luò)和數(shù)據(jù)的安全。
主動(dòng)性的安全控制和安全網(wǎng)絡(luò)設(shè)計(jì)可以在預(yù)防內(nèi)部和外部攻擊方面扮演著重要角色。不幸的是,如果沒(méi)有正確的網(wǎng)絡(luò)分段和訪問(wèn)控制,一旦攻擊者獲得了對(duì)受害者內(nèi)部網(wǎng)絡(luò)的訪問(wèn)權(quán),一切都晚了:敏感的服務(wù)器已然成為任人宰割的羔羊!
然而,安全損害未必如此悲慘。正如北卡羅來(lái)納州“高級(jí)數(shù)字”公司的首席信息安全官詹妮弗所說(shuō),NAC是一種哲學(xué)而非技術(shù)。依靠網(wǎng)絡(luò)分段和訪問(wèn)控制的深度防御方法可以延緩惡意軟件的傳播,并可以防止敏感系統(tǒng)的暴露。
幾個(gè)星期之前,在VxWorks和QNX等嵌入式操作系統(tǒng)中暴露出來(lái)的漏洞,凸顯了保障這些設(shè)備的安全并且在不影響生產(chǎn)效率的情況下盡可能地隔離它們的必要性。但是,如果濫用多功能設(shè)備及類似的系統(tǒng),將表明對(duì)于這些系統(tǒng)的安全影響理解得不夠充分。
例如,開發(fā)者為Metasploit Framework發(fā)布了新的模塊,它準(zhǔn)許從有漏洞的VxWorks設(shè)備中進(jìn)行內(nèi)存轉(zhuǎn)儲(chǔ)。在內(nèi)存轉(zhuǎn)儲(chǔ)時(shí),就可以找到口令和內(nèi)部的IP地址,從而準(zhǔn)許攻擊者登錄進(jìn)入一臺(tái)交換機(jī),并且改變某臺(tái)設(shè)備的VLAN,或者是通過(guò)一個(gè)暴露的賬戶登錄進(jìn)入一臺(tái)服務(wù)器。
由于打印機(jī)和流媒體設(shè)備不僅僅只是啞設(shè)備而是完整的客戶端和服務(wù)器,所以,很重要的一點(diǎn)是,構(gòu)建網(wǎng)絡(luò)分段來(lái)隔離設(shè)備,并僅提供足夠業(yè)務(wù)需要的訪問(wèn)。
例如,用于將掃描的文檔以電子郵件發(fā)送的多功能復(fù)印機(jī),應(yīng)當(dāng)僅準(zhǔn)許它與郵件服務(wù)器上tcp的25號(hào)端口通信,而不能遠(yuǎn)程登錄(telnet)到一臺(tái)交換機(jī)或文件服務(wù)器上的Windows服務(wù)器端口。同樣道理,不應(yīng)當(dāng)準(zhǔn)許嵌入式系統(tǒng)訪問(wèn)互聯(lián)網(wǎng),也不準(zhǔn)許從互聯(lián)網(wǎng)訪問(wèn)它,除非這是Vbrick等媒體流設(shè)備的目的。
嵌入式設(shè)備只是雇員們將其放到網(wǎng)絡(luò)上而不考慮它如何影響安全性的一個(gè)方面。在對(duì)其客戶的漏洞評(píng)估中,AirTight Network公司發(fā)現(xiàn),四分之一的網(wǎng)絡(luò)中存在著雇員們所安裝的非授權(quán)的無(wú)線網(wǎng)絡(luò)。
無(wú)論是為了工作還是為了易于使用,或者是因?yàn)橛脩羰菒阂獾模溆绊懚际且粯拥模涸跓o(wú)線接入點(diǎn)的范圍內(nèi),將內(nèi)部的公司網(wǎng)絡(luò)暴露給任何人。公司策略文檔要求對(duì)網(wǎng)絡(luò)的任何變更(如增加一個(gè)無(wú)線接入點(diǎn))都要嚴(yán)格禁止,這固然很好,但是需要部署技術(shù)控制來(lái)強(qiáng)化策略,并檢測(cè)任何違反策略的情況。
基本的技術(shù)控制,如每個(gè)網(wǎng)絡(luò)交換機(jī)端口都要限制一個(gè)MAC地址,這僅僅是一個(gè)開始,但很容易被精通技術(shù)的雇員攻克。更高級(jí)的控制包括NAC等解決方案,應(yīng)當(dāng)能夠確認(rèn)一個(gè)無(wú)線設(shè)備,并通過(guò)關(guān)閉它所連接的網(wǎng)絡(luò)端口來(lái)阻止它對(duì)于內(nèi)部網(wǎng)絡(luò)的訪問(wèn),或者將它移到一個(gè)隔離的VLAN中。
與深度防御并駕齊驅(qū)的無(wú)線入侵檢測(cè)系統(tǒng)(WIDS)也可以加入到網(wǎng)絡(luò)中,用以提供針對(duì)欺詐性無(wú)線設(shè)備的另外一層保護(hù)。WIDS可以在新的無(wú)線網(wǎng)絡(luò)出現(xiàn)時(shí)對(duì)其進(jìn)行檢測(cè),并向安全人員發(fā)出警告。
PCI安全理事會(huì)很早就認(rèn)識(shí)到欺詐性的無(wú)線網(wǎng)絡(luò)的影響,并在PCI DSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))中要求一年進(jìn)行四次的無(wú)線掃描。但一年掃描四次可能并不夠,因?yàn)樵趦纱螔呙柚g,一個(gè)欺詐性的無(wú)線設(shè)備可以有大約三個(gè)月時(shí)間不會(huì)受到檢測(cè)。
無(wú)線設(shè)備制造商們正在將WIDS功能包括到其企業(yè)級(jí)管理系統(tǒng)系統(tǒng)中,用以解決這些問(wèn)題。其中的一個(gè)例子是思科,它提供的思科無(wú)線服務(wù)模塊(WiSM)可以在檢測(cè)到企業(yè)網(wǎng)絡(luò)中的欺詐性無(wú)線設(shè)備時(shí),立即對(duì)其確認(rèn)、定位并實(shí)施遏制。
任何網(wǎng)絡(luò)安全項(xiàng)目的最終目標(biāo)是防止暴露敏感數(shù)據(jù)所造成的安全損害,同時(shí)又滿足企業(yè)的需要。通過(guò)網(wǎng)絡(luò)分段、策略和技術(shù)控制,是完全有可能滿足這個(gè)目標(biāo)的。
【編輯推薦】
