安全專家暢談實錄:知己知彼,固網(wǎng)御安
網(wǎng)絡(luò)對于我們越來越重要,從而網(wǎng)絡(luò)安全更是網(wǎng)絡(luò)的保障。網(wǎng)絡(luò)給我們帶來的不僅是大量的信息和便利的生活,也帶來了諸多的網(wǎng)絡(luò)安全問題。以前的網(wǎng)絡(luò)入侵的個人或組織目的性不甚明確,且大多出于好奇、出風頭的目的。而現(xiàn)在更多的則是有組織、有預謀、有利益驅(qū)使的犯罪。
另外,用戶一般都會認為只要單純安裝一些網(wǎng)絡(luò)防御產(chǎn)品就可以將網(wǎng)絡(luò)入侵拒之門外。殊不知,這些還不足以搭建起一個完整的網(wǎng)絡(luò)整體防御體系,還需要通過網(wǎng)絡(luò)安全管理整體解決方案,并結(jié)合不同的網(wǎng)絡(luò)防御技術(shù)和產(chǎn)品,才能達到在整體上維護網(wǎng)絡(luò)和信息系統(tǒng)安全的目的。
一、利益性攻擊及特定目標攻擊的流派與防范策略
通常所說的網(wǎng)絡(luò)蠕蟲、網(wǎng)絡(luò)釣魚、僵尸網(wǎng)絡(luò)等等入侵的表現(xiàn)形式以及被人們所熟知的攻擊手段我們在這里避開不談,因為大部分的攻擊方式已經(jīng)可以使用現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備很好的進行防范。我們以下所要分析的攻擊手段只針對于利益攻擊,并且這些攻擊方式在現(xiàn)階段的網(wǎng)絡(luò)安全中很難發(fā)現(xiàn)與防范。
0day與注入流派:0day的攻擊者代表了網(wǎng)絡(luò)技術(shù)性攻擊的最高水平,因為他們使用的是未知漏洞攻擊信息系統(tǒng)或網(wǎng)絡(luò)設(shè)備,所以攻擊的成功率最高,被安全設(shè)備檢測到的可能性最低(因為沒有這種攻擊手段的特征)。而注入則是因為web服務(wù)被廣泛應(yīng)用以及防火墻針對其他端口的過濾而誕生的比較畸形的攻擊手段,利用服務(wù)器web腳本編碼的不規(guī)范導致可以完全控制網(wǎng)絡(luò)服務(wù)器。這兩種攻擊方式因為都是利用未知的漏洞,所以我們通常把他們合并在一起。
例1:某組織研究出windows遠程漏洞,該組織利用此漏洞攻擊網(wǎng)絡(luò)系統(tǒng)并成功獲取資料。
例2:Microsoft在每周二公布安全補丁(patch),但是由于時差的關(guān)系國內(nèi)更新補丁的時間要遲8個小時左右,很多的攻擊團隊會在微軟公布補丁的同時研究補丁,獲得相應(yīng)的漏洞并編寫利用程序(expolit),利用時差對沒有打補丁的特定服務(wù)器進行攻擊,并獲取資料。
解決方案:針對于這種攻擊我們能給出的最佳防范手段是防火墻嚴格限制無用端口屏蔽,并對開放的端口所應(yīng)用服務(wù)權(quán)限進行最小化限制。對于補丁分發(fā)依靠安全公司的即時通告,在測試后立即加固系統(tǒng)。對于注入攻擊,對web腳本編碼進行嚴格的規(guī)范,如有條件則進行代碼審核。在web服務(wù)運行時讓此服務(wù)包括數(shù)據(jù)庫用戶的權(quán)限最小化。
社會工程學流派:此流派的創(chuàng)始人是凱文米特尼克,他是美國20世紀最著名的cracker之一,《戰(zhàn)爭游戲》這部電影是以他為原型,演繹了一個少年攻破了北美空防指揮部,幾乎引發(fā)了第三次世界大戰(zhàn)。這種攻擊方式是專門針對物理隔離的網(wǎng)絡(luò)及重要信息系統(tǒng)。
例1:某企業(yè)網(wǎng)絡(luò)是物理隔離,某攻擊者為了能進入該網(wǎng)絡(luò)內(nèi)部,以求職的或買通網(wǎng)絡(luò)管理人員等方式混入企業(yè)內(nèi)部,通過終端上接如wifi、撥號、vpn等手段,讓物理隔離的網(wǎng)絡(luò)與互聯(lián)網(wǎng)進行聯(lián)系,從而讓攻擊團隊的其他人通過遠程攻擊獲取相應(yīng)資料。
例2:搭線與翻垃圾箱,前邊的一種社工技術(shù)是確定物理隔離的企業(yè)網(wǎng)線或光纖埋放地點,通過搭線的方式遠程入侵信息系統(tǒng),后邊則是通過翻找公司垃圾的方式查找紙質(zhì)文件,為了獲得一個登陸密碼或者vpn帳號。
例3:通過電話等手段獲取公司員工郵件列表,給所有的員工群發(fā)包含跨站的木馬的郵件,竊取登陸帳號。
解決方案:社會工程學的入侵變化多樣,難以防范。只有在安全運維、安全管理制度上多下功夫才可能避免。比如對服務(wù)器的所有操作實行雙人制,一人操作一人負責記錄。對于報廢資料進行粉碎銷毀處理等。
這些以技術(shù)為核心,以贏利為目的針對特定目標發(fā)起的社會工程攻擊讓我們心驚膽戰(zhàn)。
二、網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢
1.防火墻技術(shù)發(fā)展趨勢
防火墻作為簡單的第二到第四層的防護,主要針對像IP、端口等靜態(tài)的信息進行防護和控制,但是真正的安全不能只停留在底層,我們需要構(gòu)建一個更高、更強、更可靠的墻,除了傳統(tǒng)的訪問控制之外,還需要對垃圾郵件、拒絕服務(wù)、黑客攻擊等外部威脅起到綜合檢測和治理的作用,實現(xiàn)七層協(xié)議的保護,而不僅限于第二到第四層。
通過分類檢測技術(shù)降低誤報率。串聯(lián)接入的網(wǎng)關(guān)設(shè)備一旦誤報過高,將會對用戶帶來災(zāi)難性的后果。IPS理念在20世紀90年代就已經(jīng)被提出,但是目前全世界對IPS的部署非常有限,影響其部署的一個重要問題就是誤報率。分類檢測技術(shù)可以大幅度降低誤報率,針對不同的攻擊,采取不同的檢測技術(shù),比如防拒絕服務(wù)攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規(guī)短信攻擊等,從而顯著降低誤報率。
一體化統(tǒng)一管理,使用戶能夠有效地對信息產(chǎn)品進行管控。這樣,設(shè)備平臺可以實現(xiàn)標準化并具有可擴展性,用戶可在統(tǒng)一的平臺上進行組件管理,同時,一體化管理也能消除信息產(chǎn)品之間由于無法溝通而帶來的信息孤島,從而在應(yīng)對各種各樣攻擊威脅的時候,能夠更好地保障用戶的網(wǎng)絡(luò)安全。
2.入侵檢測技術(shù)發(fā)展趨勢
入侵檢測技術(shù)將從簡單的事件報警逐步向趨勢預測和深入的行為分析方向過渡。IMS(Intrusion Management System,入侵管理系統(tǒng))具有大規(guī)模部署、入侵預警、精確定位以及監(jiān)管結(jié)合四大典型特征,將逐步成為安全檢測技術(shù)的發(fā)展方向。
IMS體系的一個核心技術(shù)就是對漏洞生命周期和機理的研究,這將是決定IMS能否實現(xiàn)大規(guī)模應(yīng)用的一個前提條件。從理論上說,在配合安全域良好劃分和規(guī)模化部署的條件下,IMS將可以實現(xiàn)快速的入侵檢測和預警,進行精確定位和快速響應(yīng),從而建立起完整的安全監(jiān)管體系,實現(xiàn)更快、更準、更全面的安全檢測和事件預防。
3.防病毒技術(shù)發(fā)展趨勢
防病毒技術(shù)從特征比對,虛擬機技術(shù)向靜態(tài)反匯編級的關(guān)鍵鉤子特征比對技術(shù)發(fā)展。這種技術(shù)目前來說只存在于實驗室當中,因為硬件條件的限制,kvp等廠商應(yīng)用的虛擬機技術(shù)由于使系統(tǒng)運行速度變慢遭到很多國內(nèi)外用戶的排斥,而反匯編級的特征對比技術(shù)需要大量的系統(tǒng)運算作為基礎(chǔ),所以未來的硬件發(fā)展是防病毒技術(shù)發(fā)展的關(guān)鍵。
安全技術(shù)和安全管理不可分割,它們必須同步推進。因為即便有了好的安全設(shè)備和系統(tǒng),如果沒有好的安全管理方法并貫徹實施,那么安全也是空談。安全管理的目的在于兩點:一是最大程度地保護網(wǎng)絡(luò),使其安全地運行;二是一旦發(fā)生攻擊時可以準確的分析定位。
結(jié)論
網(wǎng)絡(luò)安全攻擊與防范的研究,是目前國際上十分活躍的一個研究領(lǐng)域。通過國內(nèi)國際安全研究機構(gòu)及安全廠商的不懈努力來提高國家、大型企業(yè)對網(wǎng)絡(luò)安全危機事件的應(yīng)對能力。國內(nèi)網(wǎng)絡(luò)安全的研究,是在長期借鑒國外已有先進經(jīng)驗和自我實踐的過程中逐漸形成的,依靠大家的共同努力進一步的完善過程中。
【編輯推薦】
