充分利用網(wǎng)絡分段和訪問控制來抵御攻擊
根據(jù)美國特勤局在最近公布的Verizon數(shù)據(jù)泄漏調(diào)查報告中提供的數(shù)據(jù)顯示,內(nèi)部人員攻擊事故的數(shù)量在過去一年又翻了一番,但是外部攻擊仍然是主要攻擊來源,這說明企業(yè)仍然沒有保護好網(wǎng)絡和數(shù)據(jù)的安全。
主動安全控制和安全的網(wǎng)絡架構在抵御內(nèi)部和外部攻擊方面發(fā)揮著非常重要的作用,然而,如果沒有適當?shù)木W(wǎng)絡分段和訪問控制,一旦攻擊者獲取對受害者內(nèi)部網(wǎng)絡的訪問權限,一切就完了:敏感服務器就在內(nèi)部網(wǎng)絡中,等著被攻擊者掠奪。
不過,安全泄漏事故的結果并不總是很糟糕的。美國卡羅萊納州Advanced Digital公司首席信息安全官表示:“網(wǎng)絡訪問控制(NAC)屬于哲學范疇,而不是技術范疇。”網(wǎng)絡分段和訪問控制采用縱深防御方法的話,將能夠減緩惡意軟件的傳播速度,并且可以阻止敏感系統(tǒng)的泄漏。
在過去幾個星期發(fā)現(xiàn)的嵌入式操作系統(tǒng)(例如VxWorks和QNX)中存在的漏洞突顯了保護這些設備并盡可能將這些設備隔離而不影響生產(chǎn)力的重要性。然而,從多功能設備和類似系統(tǒng)的一般部署來看,顯示出缺乏對對這些系統(tǒng)濫用所導致安全問題的影響的認識。
舉例來說,為Metasploit Framework發(fā)布的新模塊允許內(nèi)存從有漏洞的VxWorks設備卸載。在內(nèi)存信息轉(zhuǎn)儲中,可以找到允許攻擊者登錄到網(wǎng)絡交換機的密碼和內(nèi)部IP地址并且將VLAN轉(zhuǎn)變成一個設備,或者通過暴露的服務帳戶來登錄到服務器。
由于打印機和流媒體設備不僅僅是啞設備,而完全是客戶端和服務器,所以必須創(chuàng)建一個網(wǎng)絡分段將這些設備隔離并為業(yè)務需求提供足夠的訪問權限。
例如,用來電子郵件發(fā)送掃描文件的多功能復印機應該被允許在郵件服務器的端口25/tcp進行通信,而不是交換機上的遠程登陸或者文件服務器上的windows服務器端口。同樣,嵌入式系統(tǒng)不應該被允許訪問互聯(lián)網(wǎng)或者具有訪問權限,除非是因為像Vbrick媒體流媒體設備的使用。
嵌入式設備是員工放在網(wǎng)路上而完全不會考慮它對安全的影響的設備。在對客戶的漏洞評估中,AirTight Networks公司發(fā)現(xiàn)四分之一的網(wǎng)絡中有員工安裝的惡意無線網(wǎng)絡。
不管是處于生產(chǎn)效率還是易于使用的目的,或者因為用戶存在惡意意圖,結果都是一樣的:將內(nèi)部企業(yè)網(wǎng)絡曝露給無線端口范圍內(nèi)的任何人。政策聲明中表示,對網(wǎng)絡的任何變化,例如添加無線訪問端口,最好應該進行嚴格的禁止,但是需要部署必要的技術控制來執(zhí)行這種禁止,并且檢測任何異常行為。
基本技術控制(例如限制每個網(wǎng)絡交換機端口的一個MAC地址)是一個開始,但是這可以很容易地被技術嫻熟的員工突破。在網(wǎng)絡訪問控制解決方案中應該添加更多高級控制,以幫助鑒定無線設備并通過關閉連接到的網(wǎng)絡端口或者轉(zhuǎn)移端口到隔離的VLAN來防止對內(nèi)部網(wǎng)絡的訪問權限。
從縱深防御的角度來看,可以添加無線入侵檢測系統(tǒng)(WIDS)來提供抵御惡意無線設備的額外保護層,并且因為無線入侵檢測系統(tǒng)位于企業(yè)辦公室范圍內(nèi),還能夠檢測到新的無線網(wǎng)絡,并且向安全人員發(fā)出警報。
PCI安全委員會意識到惡意無限網(wǎng)絡的影響,并規(guī)定對PCI DSS每年進行四次無線掃描。不過一年四次掃描可能并不足夠,惡意無線設備可能在掃描間隔的三個月內(nèi)逃過檢測。
無線供應商正在解決這些問題,包括企業(yè)管理系統(tǒng)內(nèi)的WIDS功能。例如,思科無線服務模塊(WiSM)能夠識別、定位和控制企業(yè)網(wǎng)絡中的惡意無線設備(一旦發(fā)現(xiàn)惡意無線設備)。
任何網(wǎng)絡安全方案的最終目標都是防止泄漏重要數(shù)據(jù)的安全泄漏的發(fā)生,并且允許滿足企業(yè)的需求。通過適當?shù)木W(wǎng)絡分段、政策和技術控制能夠幫助企業(yè)很好地實現(xiàn)這些目標。
【編輯推薦】
