安全專家暢談實錄:知己知彼,固網御安
網絡對于我們越來越重要,從而網絡安全更是網絡的保障。網絡給我們帶來的不僅是大量的信息和便利的生活,也帶來了諸多的網絡安全問題。以前的網絡入侵的個人或組織目的性不甚明確,且大多出于好奇、出風頭的目的。而現在更多的則是有組織、有預謀、有利益驅使的犯罪。
另外,用戶一般都會認為只要單純安裝一些網絡防御產品就可以將網絡入侵拒之門外。殊不知,這些還不足以搭建起一個完整的網絡整體防御體系,還需要通過網絡安全管理整體解決方案,并結合不同的網絡防御技術和產品,才能達到在整體上維護網絡和信息系統(tǒng)安全的目的。
一、利益性攻擊及特定目標攻擊的流派與防范策略
通常所說的網絡蠕蟲、網絡釣魚、僵尸網絡等等入侵的表現形式以及被人們所熟知的攻擊手段我們在這里避開不談,因為大部分的攻擊方式已經可以使用現有的網絡安全設備很好的進行防范。我們以下所要分析的攻擊手段只針對于利益攻擊,并且這些攻擊方式在現階段的網絡安全中很難發(fā)現與防范。
0day與注入流派:0day的攻擊者代表了網絡技術性攻擊的最高水平,因為他們使用的是未知漏洞攻擊信息系統(tǒng)或網絡設備,所以攻擊的成功率最高,被安全設備檢測到的可能性最低(因為沒有這種攻擊手段的特征)。而注入則是因為web服務被廣泛應用以及防火墻針對其他端口的過濾而誕生的比較畸形的攻擊手段,利用服務器web腳本編碼的不規(guī)范導致可以完全控制網絡服務器。這兩種攻擊方式因為都是利用未知的漏洞,所以我們通常把他們合并在一起。
例1:某組織研究出windows遠程漏洞,該組織利用此漏洞攻擊網絡系統(tǒng)并成功獲取資料。
例2:Microsoft在每周二公布安全補丁(patch),但是由于時差的關系國內更新補丁的時間要遲8個小時左右,很多的攻擊團隊會在微軟公布補丁的同時研究補丁,獲得相應的漏洞并編寫利用程序(expolit),利用時差對沒有打補丁的特定服務器進行攻擊,并獲取資料。
解決方案:針對于這種攻擊我們能給出的最佳防范手段是防火墻嚴格限制無用端口屏蔽,并對開放的端口所應用服務權限進行最小化限制。對于補丁分發(fā)依靠安全公司的即時通告,在測試后立即加固系統(tǒng)。對于注入攻擊,對web腳本編碼進行嚴格的規(guī)范,如有條件則進行代碼審核。在web服務運行時讓此服務包括數據庫用戶的權限最小化。
社會工程學流派:此流派的創(chuàng)始人是凱文米特尼克,他是美國20世紀最著名的cracker之一,《戰(zhàn)爭游戲》這部電影是以他為原型,演繹了一個少年攻破了北美空防指揮部,幾乎引發(fā)了第三次世界大戰(zhàn)。這種攻擊方式是專門針對物理隔離的網絡及重要信息系統(tǒng)。
例1:某企業(yè)網絡是物理隔離,某攻擊者為了能進入該網絡內部,以求職的或買通網絡管理人員等方式混入企業(yè)內部,通過終端上接如wifi、撥號、vpn等手段,讓物理隔離的網絡與互聯(lián)網進行聯(lián)系,從而讓攻擊團隊的其他人通過遠程攻擊獲取相應資料。
例2:搭線與翻垃圾箱,前邊的一種社工技術是確定物理隔離的企業(yè)網線或光纖埋放地點,通過搭線的方式遠程入侵信息系統(tǒng),后邊則是通過翻找公司垃圾的方式查找紙質文件,為了獲得一個登陸密碼或者vpn帳號。
例3:通過電話等手段獲取公司員工郵件列表,給所有的員工群發(fā)包含跨站的木馬的郵件,竊取登陸帳號。
解決方案:社會工程學的入侵變化多樣,難以防范。只有在安全運維、安全管理制度上多下功夫才可能避免。比如對服務器的所有操作實行雙人制,一人操作一人負責記錄。對于報廢資料進行粉碎銷毀處理等。
這些以技術為核心,以贏利為目的針對特定目標發(fā)起的社會工程攻擊讓我們心驚膽戰(zhàn)。
二、網絡安全技術發(fā)展趨勢
1.防火墻技術發(fā)展趨勢
防火墻作為簡單的第二到第四層的防護,主要針對像IP、端口等靜態(tài)的信息進行防護和控制,但是真正的安全不能只停留在底層,我們需要構建一個更高、更強、更可靠的墻,除了傳統(tǒng)的訪問控制之外,還需要對垃圾郵件、拒絕服務、黑客攻擊等外部威脅起到綜合檢測和治理的作用,實現七層協(xié)議的保護,而不僅限于第二到第四層。
通過分類檢測技術降低誤報率。串聯(lián)接入的網關設備一旦誤報過高,將會對用戶帶來災難性的后果。IPS理念在20世紀90年代就已經被提出,但是目前全世界對IPS的部署非常有限,影響其部署的一個重要問題就是誤報率。分類檢測技術可以大幅度降低誤報率,針對不同的攻擊,采取不同的檢測技術,比如防拒絕服務攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規(guī)短信攻擊等,從而顯著降低誤報率。
一體化統(tǒng)一管理,使用戶能夠有效地對信息產品進行管控。這樣,設備平臺可以實現標準化并具有可擴展性,用戶可在統(tǒng)一的平臺上進行組件管理,同時,一體化管理也能消除信息產品之間由于無法溝通而帶來的信息孤島,從而在應對各種各樣攻擊威脅的時候,能夠更好地保障用戶的網絡安全。
2.入侵檢測技術發(fā)展趨勢
入侵檢測技術將從簡單的事件報警逐步向趨勢預測和深入的行為分析方向過渡。IMS(Intrusion Management System,入侵管理系統(tǒng))具有大規(guī)模部署、入侵預警、精確定位以及監(jiān)管結合四大典型特征,將逐步成為安全檢測技術的發(fā)展方向。
IMS體系的一個核心技術就是對漏洞生命周期和機理的研究,這將是決定IMS能否實現大規(guī)模應用的一個前提條件。從理論上說,在配合安全域良好劃分和規(guī)模化部署的條件下,IMS將可以實現快速的入侵檢測和預警,進行精確定位和快速響應,從而建立起完整的安全監(jiān)管體系,實現更快、更準、更全面的安全檢測和事件預防。
3.防病毒技術發(fā)展趨勢
防病毒技術從特征比對,虛擬機技術向靜態(tài)反匯編級的關鍵鉤子特征比對技術發(fā)展。這種技術目前來說只存在于實驗室當中,因為硬件條件的限制,kvp等廠商應用的虛擬機技術由于使系統(tǒng)運行速度變慢遭到很多國內外用戶的排斥,而反匯編級的特征對比技術需要大量的系統(tǒng)運算作為基礎,所以未來的硬件發(fā)展是防病毒技術發(fā)展的關鍵。
安全技術和安全管理不可分割,它們必須同步推進。因為即便有了好的安全設備和系統(tǒng),如果沒有好的安全管理方法并貫徹實施,那么安全也是空談。安全管理的目的在于兩點:一是最大程度地保護網絡,使其安全地運行;二是一旦發(fā)生攻擊時可以準確的分析定位。
結論
網絡安全攻擊與防范的研究,是目前國際上十分活躍的一個研究領域。通過國內國際安全研究機構及安全廠商的不懈努力來提高國家、大型企業(yè)對網絡安全危機事件的應對能力。國內網絡安全的研究,是在長期借鑒國外已有先進經驗和自我實踐的過程中逐漸形成的,依靠大家的共同努力進一步的完善過程中。
【編輯推薦】
