帶你走出計(jì)算機(jī)安全防范的六個(gè)誤區(qū)
原創(chuàng)【51CTO.com 獨(dú)家特稿】當(dāng)我在幫朋友處理計(jì)算機(jī)安全問(wèn)題的時(shí)候,總會(huì)遇到他們這樣問(wèn)我:我的系統(tǒng)上已經(jīng)安裝了防火墻和殺毒軟件,而且都是正版的,并且天天升級(jí)病毒庫(kù),為什么還會(huì)感染木馬呢?就目前來(lái)說(shuō),不只是普通網(wǎng)絡(luò)用戶存在這樣的問(wèn)題,甚至一些中小企業(yè)用戶也存在同樣的困惑,明明已經(jīng)按某種方式實(shí)施了安全防范策略,可還是會(huì)不斷出現(xiàn)系統(tǒng)或網(wǎng)絡(luò)被攻擊而引起業(yè)務(wù)中斷,以及企業(yè)內(nèi)部的機(jī)密數(shù)據(jù)由于入侵而引起泄漏等安全事件的發(fā)現(xiàn)。經(jīng)過(guò)對(duì)已發(fā)生的各類安全事件進(jìn)行分析,從中不難發(fā)現(xiàn)之所以會(huì)造成這樣的局面,主要是我們?cè)诎踩婪哆^(guò)程中還存在下列六個(gè)方面的誤區(qū)。
誤區(qū)一:認(rèn)為系統(tǒng)中安裝了殺毒軟件就應(yīng)該很安全了
如果我試著問(wèn)幾個(gè)計(jì)算機(jī)網(wǎng)絡(luò)用戶使用什么方法來(lái)防范木馬病毒,他們肯定會(huì)毫不猶豫地回答就是使用殺毒軟件。我還經(jīng)常聽(tīng)到人們?cè)谒较抡務(wù)撟约菏褂玫氖鞘裁搭愋偷臍⒍拒浖约八鼈儦⒍镜墓πУ龋瑥乃麄冋f(shuō)話的口氣中就可以猜出他們對(duì)殺毒軟件有多么的信任。可是,殺毒軟件就真如人們所期盼的這樣能防范所有的已知和未知木馬病毒嗎?
目前,通過(guò)特征碼查殺木馬仍然是最快和最有效的查殺方式,一直被所有的殺毒軟件所采用。利用木馬的特征碼來(lái)查殺它們,主要是利用木馬程序中的一段或幾段代碼來(lái)作為表明它身份的特征碼,或者通過(guò)將木馬程序執(zhí)行后,駐留在系統(tǒng)內(nèi)存中的某些特征來(lái)作為表明它身份的特征碼。從特征碼的提取方式我們就可以知道要想查殺木馬,就必先獲得它們的相關(guān)特征碼,而這必需在木馬暴發(fā)后才能得到。因此,利用特征碼查殺木馬,只能對(duì)一些已經(jīng)出現(xiàn)了的木馬有效。
可是,現(xiàn)在大部分的木馬,通過(guò)修改其編碼和執(zhí)行方式,對(duì)其進(jìn)行加密和加殼,以便能躲過(guò)殺毒軟件通過(guò)特征碼方式的查殺,由此,殺毒軟件開始使用一種叫作啟發(fā)式殺毒的技術(shù)來(lái)應(yīng)對(duì)不斷出現(xiàn)的新木馬。啟發(fā)式殺毒分為靜態(tài)和動(dòng)態(tài)兩種方式,其中動(dòng)態(tài)方式能預(yù)先構(gòu)造一個(gè)虛擬環(huán)境讓可疑的程序運(yùn)行,通過(guò)分析其行為特征,一旦發(fā)現(xiàn)可疑行為就被禁止。這種方式不依賴木馬的特征碼,對(duì)未知的木馬有一定的防范效果,但是,它仍然存在許多問(wèn)題,例如漏報(bào)和誤報(bào),以及會(huì)犧牲一部分系統(tǒng)性能作為代價(jià),也就說(shuō)啟發(fā)式殺毒也不可能完全防范未知的木馬病毒。
現(xiàn)在,一些主流的殺毒軟件廠商提出了“云安全”的查殺技術(shù),通過(guò)了解其原理,主要是通過(guò)一個(gè)客戶端在用戶系統(tǒng)中運(yùn)行,監(jiān)控用戶系統(tǒng)是否感染了木馬,如果檢測(cè)到不正常活動(dòng),就會(huì)將這些內(nèi)容提交給殺毒軟件的服務(wù)器端,然后殺毒軟件服務(wù)器端就會(huì)迅速對(duì)這些內(nèi)容進(jìn)行分析,提取木馬的特征碼,幾分鐘后就可以將特征碼返回客戶端進(jìn)行查殺。云安全雖然解決了用戶手工更新病毒庫(kù)的方式,并減輕了客戶端的計(jì)算量,但是,這種方式需要用戶已經(jīng)連接到了因特網(wǎng),另外,它的殺毒處理仍然會(huì)有一段時(shí)間的延遲,而且讓人懷疑云安全是否會(huì)泄漏用戶的隱私,這樣就有可能造成用戶的主機(jī)只是變成了殺毒軟件提供商的病毒庫(kù)來(lái)源,而真正起到的防病毒作用卻收效甚微。
從這里我們可以看出,殺毒軟件到目前為止是不可能防范所有的未知木馬的。而且,一些利用木馬進(jìn)行攻擊的攻擊者還會(huì)利用殺毒軟件來(lái)麻痹用戶,例如當(dāng)木馬在目標(biāo)系統(tǒng)中運(yùn)行后,只破壞殺毒軟件的查殺功能,而不停止它們的運(yùn)行,讓用戶認(rèn)為殺毒軟件仍在保護(hù)系統(tǒng),這樣,當(dāng)用戶發(fā)現(xiàn)時(shí),一切都已經(jīng)晚了。
因此,我們不能將保護(hù)系統(tǒng)安全的任務(wù)全部交給殺毒軟件,還要對(duì)系統(tǒng)進(jìn)行其它方面的加固,例如停止不需要的服務(wù),提高用戶權(quán)限管理,以及加強(qiáng)對(duì)自己網(wǎng)絡(luò)操作行為的管理,不去不安全的網(wǎng)站瀏覽,不打開垃圾郵件,不打開QQ等即時(shí)聊天軟件發(fā)過(guò)來(lái)的文件或圖片,使用安全的軟件等。
誤導(dǎo)之二:過(guò)分強(qiáng)調(diào)技術(shù)
現(xiàn)在,我們?cè)谟懻撚?jì)算機(jī)網(wǎng)絡(luò)安全時(shí),總是提出使用什么樣的安全技術(shù)和安全設(shè)備來(lái)應(yīng)對(duì),對(duì)人的管理和安全管理總是不太重視。這種只強(qiáng)調(diào)安全防范技術(shù)的安全防范理論,在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)安全防范過(guò)程中是不可取的。
這是由于計(jì)算機(jī)網(wǎng)絡(luò)安全防范不是某種技術(shù)和某個(gè)產(chǎn)品就能解決問(wèn)題的,它是人、技術(shù)和管理三者相互結(jié)合的一個(gè)持續(xù)不斷的系統(tǒng)過(guò)程,它存在于整個(gè)系統(tǒng)的生命周期當(dāng)中。如果只強(qiáng)調(diào)安全防范技術(shù)的使用,而忽略對(duì)人的控制和對(duì)安全的管理,那么,就算你使用的是最新安全技術(shù),或者使用的安全設(shè)備的功能多么強(qiáng)大,攻擊者仍然可以通過(guò)其它的方式,例如通過(guò)社會(huì)工程攻擊,來(lái)進(jìn)入我們的網(wǎng)絡(luò)和系統(tǒng)。因此,只強(qiáng)調(diào)安全防范技術(shù)是不可取的安全防范理念。
我們應(yīng)當(dāng)在計(jì)算機(jī)網(wǎng)絡(luò)安全防范過(guò)程中,使用安全技術(shù)來(lái)防范來(lái)自網(wǎng)絡(luò)的各種安全威脅,通過(guò)加強(qiáng)對(duì)人的管理和培訓(xùn)來(lái)減少來(lái)由人帶來(lái)的安全風(fēng)險(xiǎn),以及通過(guò)制定各種管理措施來(lái)規(guī)范安全防范處理過(guò)程和明確各種責(zé)任。
誤導(dǎo)三:安全威脅主要來(lái)自網(wǎng)絡(luò),以及安全事件是由系統(tǒng)或軟件的漏洞引起的
系統(tǒng)和軟件存在漏洞能引起攻擊事件不假,但是,如果認(rèn)為安全威脅只來(lái)自互聯(lián)網(wǎng),以及認(rèn)為安全風(fēng)險(xiǎn)都是由系統(tǒng)或軟件存在漏洞引起的,那就會(huì)讓整個(gè)安全防范工作偏離真正能解決安全問(wèn)題的方向。
試想一下,現(xiàn)在在大部分的計(jì)算機(jī)系統(tǒng)都進(jìn)行了相應(yīng)的安全防范工作,例如安裝了防火墻或IDS/IPS。如果一個(gè)來(lái)自網(wǎng)絡(luò)的攻擊者,要想從網(wǎng)絡(luò)的另一端攻擊這些系統(tǒng),就必需完成一連串的收集信息、偵察目標(biāo),以及實(shí)施攻擊等工作,這樣得花費(fèi)多少的時(shí)間才有可能達(dá)到攻擊的目的,有時(shí)甚至花了九牛二虎之力,仍然是竹籃打水一場(chǎng)空。這就是說(shuō),要想從網(wǎng)絡(luò)的另一端攻擊一臺(tái)實(shí)施了安全措施的系統(tǒng)并不是一件容易的事情。那些在網(wǎng)上大吹幾十秒能攻破系統(tǒng)的說(shuō)法是不可信的,除非,你將每次撥號(hào)得到的IP地址直接公布出去,將操作系統(tǒng)按默認(rèn)方式安裝后直接連接到網(wǎng)絡(luò)中,且不做任何安全措施,這樣才有可能輕易運(yùn)行進(jìn)入這樣的系統(tǒng),但關(guān)鍵是現(xiàn)在還有多少這樣的系統(tǒng)存在。因此,如果攻擊者能夠通過(guò)其它更加容易的方式來(lái)達(dá)到與網(wǎng)絡(luò)攻擊相同的目的,例如社會(huì)工程攻擊,網(wǎng)絡(luò)釣魚,那又何必每次都利用系統(tǒng)或應(yīng)用程序漏洞來(lái)進(jìn)行呢?
其實(shí),現(xiàn)在企業(yè)最大的安全威脅是來(lái)自企業(yè)內(nèi)部,例如沒(méi)有實(shí)施嚴(yán)格的員工離職管理;在企業(yè)內(nèi)部允許濫用可移動(dòng)存儲(chǔ)設(shè)備;對(duì)企業(yè)內(nèi)部服務(wù)器的訪問(wèn)不進(jìn)行嚴(yán)格的訪問(wèn)控制;對(duì)無(wú)線接入設(shè)備不加控制和管理;以及不限制員工的不正當(dāng)網(wǎng)絡(luò)操作行為,例如上網(wǎng)看色情視頻和圖片,下載盜版軟件、MP3和MP4等,都有可能企業(yè)正常業(yè)務(wù)的中斷和機(jī)密數(shù)據(jù)的泄漏。
從上述這此方面就可以得出,要想保護(hù)企業(yè)網(wǎng)絡(luò)資產(chǎn)的安全,僅僅防范來(lái)自網(wǎng)絡(luò)的安全威脅是不夠的,還必需同時(shí)加強(qiáng)對(duì)企業(yè)內(nèi)部的安全防范和管理。
誤導(dǎo)四:加密的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)不會(huì)被截取和破譯
相信絕大多數(shù)用戶對(duì)此是深信不疑的,可是,現(xiàn)在的事實(shí)恰恰與此相反的,加密后的數(shù)據(jù),一樣可以被截取和破譯。
攻擊者是否能得到在網(wǎng)絡(luò)中傳輸?shù)慕?jīng)過(guò)加密了的機(jī)密數(shù)據(jù),關(guān)鍵只是在于它使用的是什么類型的網(wǎng)絡(luò)嗅探技術(shù)。如果攻擊者使用的是像Ettcap之類的網(wǎng)絡(luò)嗅探軟件,那么,只要攻擊者能夠在某個(gè)局域網(wǎng)環(huán)境中安裝了這類軟件,那么,一些通過(guò)SSL加密了的數(shù)據(jù)仍然可以被他截獲和解碼。
當(dāng)然,嗅探軟件解密的好與壞主要與數(shù)據(jù)在加密時(shí)所使用的加密算法的加密強(qiáng)度也有很大的關(guān)系,使用的加密算法越強(qiáng),解碼就越難,數(shù)據(jù)也就越安全。我在這里說(shuō)加密的數(shù)據(jù)也不安全,并不是說(shuō)我們不能應(yīng)用加密來(lái)保護(hù)數(shù)據(jù)的安全,應(yīng)用加密仍然是保護(hù)數(shù)據(jù)安全的主要方法之一。這樣說(shuō)的原因只是在提醒大家,在應(yīng)用數(shù)據(jù)加密的同時(shí),還應(yīng)當(dāng)使用其它的一些安全防范手段,來(lái)確保網(wǎng)絡(luò)中不會(huì)出現(xiàn)在上述所示的網(wǎng)絡(luò)嗅探器,尤其是無(wú)線網(wǎng)絡(luò),如果我們沒(méi)有將它們的安全防范工作做得足夠好,哪些通過(guò)有線或無(wú)線網(wǎng)絡(luò)傳輸?shù)募用芰说臄?shù)據(jù)仍然會(huì)被攻擊者獲取和解密。
誤導(dǎo)五:虛擬機(jī)很安全
虛擬機(jī)在某種意義上為我們的系統(tǒng)安全提供了一種新的選擇,我們可以使用它來(lái)打造冗余的系統(tǒng),提高企業(yè)的業(yè)務(wù)連續(xù)性水平,同時(shí),又能降低企業(yè)的IT總體擁有成本。但是,虛擬機(jī)本身并不如我們想像的那樣安全,它仍然會(huì)給我們帶來(lái)新的安全風(fēng)險(xiǎn),這些安全風(fēng)險(xiǎn)包括:
1.虛擬機(jī)軟件本身存在安全風(fēng)險(xiǎn)
虛擬機(jī)軟件也是一個(gè)由代碼組成的程序,與所有的程序一樣,其代碼中肯定會(huì)存在某些編碼方面的漏洞,當(dāng)這些漏洞被黑客發(fā)現(xiàn)后,就會(huì)給存在這些漏洞的虛擬機(jī)帶來(lái)被攻擊的安全風(fēng)險(xiǎn)。例如,處于虛擬機(jī)系統(tǒng)與物理主機(jī)硬件驅(qū)動(dòng)程序之間的虛擬機(jī)管理控制層(就是通常所說(shuō)的hypervisor),現(xiàn)在就已經(jīng)有安全專家編寫了與它具有相同功能的rootkit,它能進(jìn)入系統(tǒng)管理層,處于一個(gè)受保護(hù)的內(nèi)存段,讓操作系統(tǒng)不能發(fā)現(xiàn)和訪問(wèn),它們能分析所有虛擬機(jī)的IO行為,并能對(duì)虛擬機(jī)的內(nèi)存段進(jìn)行分析,如果還能跟一些鍵盤擊鍵程序和網(wǎng)絡(luò)工具相配合,就可以成為一個(gè)威力強(qiáng)大的木馬程序,這樣,所有的虛擬機(jī)都可以被黑客控制。
2.物理主機(jī)存在的安全隱患可能會(huì)給其上運(yùn)行的所有虛擬機(jī)帶來(lái)安全風(fēng)險(xiǎn)
物理主機(jī)作為虛擬機(jī)的承載主體,它的安全性尤其重要。現(xiàn)在,隨著計(jì)算機(jī)硬件性能的不斷提高,以及其價(jià)格的不斷跳水,一臺(tái)物理主機(jī)很容易就能滿足在其上運(yùn)行多臺(tái)虛擬機(jī)的要求。但是,這種將所有雞蛋都放到一個(gè)籃子中的做法,很容易就可以造成服務(wù)器單點(diǎn)失敗的嚴(yán)重安全事故。虛擬機(jī)的這個(gè)方面與安全策略中要保證系統(tǒng)的穩(wěn)定性和持續(xù)性是相違背的。
除了這兩個(gè)方面的安全隱患外,虛擬機(jī)與物理主機(jī)之間,虛擬機(jī)與虛擬機(jī)之間的通信同樣也存在不同的安全風(fēng)險(xiǎn)。如果我們?cè)趹?yīng)用虛擬機(jī)的過(guò)程中,不能很好地處理這些安全風(fēng)險(xiǎn),那么,虛擬機(jī)帶給我們的可能是一次嚴(yán)重的計(jì)算機(jī)安全事件。
誤導(dǎo)六:無(wú)線網(wǎng)絡(luò)關(guān)閉了SSID廣播,進(jìn)行MAC地址過(guò)濾后就已經(jīng)很安全
現(xiàn)在,一些有關(guān)無(wú)線網(wǎng)絡(luò)的安全建議,大多都是告訴用戶通過(guò)關(guān)閉無(wú)線網(wǎng)絡(luò)的SSID廣播,以及使用MAC地址過(guò)濾和加密來(lái)保障無(wú)線網(wǎng)絡(luò)的安全。實(shí)際上,就算我們按這種方法做了,無(wú)線網(wǎng)絡(luò)安全仍然是沒(méi)有保障的。
就目前來(lái)說(shuō),攻擊者可以使用NetStumbler和Kismet這樣的軟件來(lái)發(fā)現(xiàn)關(guān)閉了SSID的無(wú)線網(wǎng)絡(luò),并且,可以通過(guò)Aircrack這樣的軟件來(lái)破解無(wú)線網(wǎng)絡(luò)的密碼,這樣,雖然連接要花費(fèi)一定的時(shí)間,但是,連入通過(guò)這些安全手段防范的無(wú)線網(wǎng)絡(luò)還是有可能的。
因此,我們?cè)谑褂眠@些無(wú)線安全防范措施的同時(shí),還應(yīng)對(duì)使用無(wú)線網(wǎng)絡(luò)訪問(wèn)控制,或其它的的安全手段,例如在無(wú)線網(wǎng)絡(luò)中加入VPN技術(shù),來(lái)進(jìn)一步提高無(wú)線網(wǎng)絡(luò)的安全性能。
通過(guò)對(duì)上面所述的這六個(gè)在安全防范方面的認(rèn)識(shí)誤區(qū)的了解,我們應(yīng)當(dāng)明白了保障網(wǎng)絡(luò)和系統(tǒng)的安全,并不是某種技術(shù)和設(shè)備就可以達(dá)到的,也不可能做到絕對(duì)的安全,我們只有結(jié)合多種安全防范方法,來(lái)構(gòu)建一個(gè)立體化深層次的安全防范體系,才有可能將來(lái)自企業(yè)內(nèi)部和外部的安全威脅帶來(lái)的風(fēng)險(xiǎn)降低到最低水平。
【編輯推薦】
