我們離“泄密門”有多遠?
近日,安全圈內(nèi)發(fā)生一件讓大家關(guān)注的大事,眾多網(wǎng)站的用戶數(shù)據(jù)"泄密門"令"信息安全"這個話題在一夜之間便成為了大家關(guān)注的焦點和熱議的話題,隨著事態(tài)的發(fā)展,讓我們深刻感受到,"泄密門"與我們近在咫尺。
早在2006年,Gartner公司的一份調(diào)查顯示,當(dāng)時成功的攻擊案例中有75%發(fā)生在應(yīng)用層。到2009年,80%的企業(yè)成為了應(yīng)用層攻擊的受害者。眾所周知,如今的IT系統(tǒng)日益復(fù)雜,IT業(yè)務(wù)面臨的威脅及風(fēng)險也越來越大,如Web下載、IM病毒、網(wǎng)絡(luò)攻擊、網(wǎng)站掛馬等,"泄密門"也只是眾多安全問題中的其中一個。而這些安全事件的核心更多集中在應(yīng)用層面,如何保證應(yīng)用的安全,將是用戶對安全需求的重點。
針對本次的"泄漏門"事件,輿論焦點基本集中在"客戶賬號口令信息是明文保存"這個話題上,但就今天的硬件計算能力和密碼破解技術(shù)來說,加密的用戶密碼只是增加了"信息被泄漏"后的破解成本,達到了"即使被偷了也很難解密"的效果,更積極的應(yīng)對方式是"盡量不被偷走"、"即使被偷走了也很難解密"兩手同時抓。最大程度地減少信息泄漏的可能性,降低信息泄漏帶來的風(fēng)險。
應(yīng)用安全解決方案是核心
目前,我們所熟知的安全防范大致可分為幾種:傳統(tǒng)的防火墻、IPS/IDS/DLP,應(yīng)用安全解決方案。
傳統(tǒng)的防火墻采用的是被動的安全原則,使用白名單的機制,只允許符合安全原則的訪問通過。從技術(shù)上來看,防火墻工作在七層網(wǎng)絡(luò)協(xié)議的第三層,采用狀態(tài)檢測技術(shù)檢查和轉(zhuǎn)發(fā)TCP/IP包,從而實現(xiàn)安全區(qū)域的隔離和訪問控制。這就決定了防火墻只能判斷TCP層面的網(wǎng)絡(luò)攻擊,而不能防Web應(yīng)用攻擊,因為它識別不了數(shù)據(jù)包的內(nèi)容。黑客利用系統(tǒng)本身漏洞、程序漏洞,通過正常的連接完全可以取得Web權(quán)限,進而篡改網(wǎng)頁,如常見的SQL注入攻擊,其表現(xiàn)層面完全是正常的數(shù)據(jù)交互查詢。對于防火墻而言,這是正常的訪問連接,沒有任何特征能夠說明此種訪問連接存在攻擊,但其實系統(tǒng)已經(jīng)受到攻擊。
IPS/IDS可以識別網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容,進而判斷是否安全,但IPS/IDS采用的是負向安全原則,是一種黑名單的機制,這就導(dǎo)致兩個問題:一是難以跟上新的攻擊手段;二是要判斷的攻擊行為太多,必然影響性能。
DLP產(chǎn)品和技術(shù)是最近幾年興起的一個新的安全分支,但若想DLP系統(tǒng)能夠達到預(yù)期效果,需要企業(yè)事前對對敏感數(shù)據(jù)的數(shù)據(jù)模式特點,存放格式,存放位置,泄漏場景有全面和清晰的定義,比較適用于對于例如信用卡,身份證信息,電話號碼等有明確數(shù)據(jù)格式的信息實施防泄漏防護,而對于用戶賬號/口令這類無法提取數(shù)據(jù)格式特性的數(shù)據(jù)泄漏,做起來就會比較吃力。
而應(yīng)用安全解決方案可準確采用全代理的方式解析應(yīng)用層數(shù)據(jù)包,,實現(xiàn)對應(yīng)用層攻擊的實時檢測與防范。擴展了防火墻與IPS的優(yōu)勢,將其防護層面從經(jīng)典的3-4層擴展到了全七層,填補了經(jīng)典安全產(chǎn)品的防護空白。
保護敏感數(shù)據(jù),遠離"泄密門"
隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展,方便快捷的互連網(wǎng)使人們漸漸習(xí)慣了從Web頁上收發(fā)E-mail、購物和交易,這時Web頁面上需要傳輸重要或敏感的數(shù)據(jù),例如用戶的銀行帳戶、密碼等。現(xiàn)行網(wǎng)上銀行和電子商務(wù)等大型的網(wǎng)上交易系統(tǒng)普遍采用HTTP和SSL相結(jié)合的方式。服務(wù)器端采用支持SSL的Web服務(wù)器,用戶端采用支持SSL的瀏覽器實現(xiàn)安全通信,泄密從某種意義上解決了客戶信息在互聯(lián)網(wǎng)上明文傳輸易于被竊聽和截取的問題。
F5應(yīng)用安全解決方案
F5作為應(yīng)用交付網(wǎng)絡(luò)領(lǐng)域的領(lǐng)先廠商,為用戶提供了全面且系統(tǒng)的應(yīng)用安全解決方案。F5BIG-IP應(yīng)用安全管理器(ASM)出色地抵御第七層拒絕服務(wù)(DoS)攻擊、跨站腳本攻擊、暴力攻擊(BruteForce)和SQL注入攻擊等,通過在一個靈活的、可擴展的平臺上提供增強的集成安全特性。ASM作為一款出色的Web應(yīng)用安全防火墻,通過一體化應(yīng)用交付網(wǎng)絡(luò)平臺,提供應(yīng)用和網(wǎng)站防護、完整的攻擊專家系統(tǒng),并且可以滿足關(guān)鍵的法規(guī)要求。其卓越的性能顯著減少和控制數(shù)據(jù)、知識產(chǎn)權(quán)和Web應(yīng)用丟失或損壞的風(fēng)險。
ASM除了加強企業(yè)對互聯(lián)網(wǎng)場景的"對抗性應(yīng)用防御"能力外,也可以實現(xiàn)應(yīng)用層操作的全面審計,記錄應(yīng)用層操作日志,以便實現(xiàn)事后的取證或企業(yè)內(nèi)網(wǎng)的安全控制管理。
F5的ASM產(chǎn)品作為唯一oracle官方選擇的waf產(chǎn)品,可以與oracle最新推出的DBFW(數(shù)據(jù)庫防火墻)產(chǎn)品緊密集成,構(gòu)建業(yè)界最先進企業(yè)數(shù)據(jù)庫系統(tǒng)安全防護方案。
為了應(yīng)對更高的Web應(yīng)用安全需求,F(xiàn)5還在去年推出了F5BIG-IPEdgeGateway。作為一款高性能的下一代遠程訪問解決方案,首先是解決的是企業(yè)安全,其次保證企業(yè)用戶鏈路速度,和沒有在加密情況下甚至超越?jīng)]有做安全的時候。借助這款BIG-IPEdgeGateway,F(xiàn)5提供了市場上首款能夠在單一、可擴展的平臺之上,統(tǒng)一為遠程用戶提供安全SSLVPN訪問、動態(tài)訪問與優(yōu)化控制,以及應(yīng)用加速功能的應(yīng)用交付控制器(ADC),同時不會受到用戶所使用設(shè)備或接入網(wǎng)絡(luò)的影響。
F5的另一款Web應(yīng)用安全解決方案,F(xiàn)5BIG-IP接入策略管理器(APM),重點解決企業(yè)it用戶集中認證和授權(quán)的問題,使IT部門可以制定出更明智的安全接入決策。同時,借助集成到TMOS中的IP地理定位服務(wù)功能創(chuàng)建基于用戶位置的策略,為企業(yè)員工(本地和遠程)、移動員工、業(yè)務(wù)合作伙伴和用戶提供基于策略的、可定制的web應(yīng)用訪問和身份驗證功能,改善了最終用戶體驗并提高安全性。此外,APM模塊還極大地降低了與變更控制和法規(guī)遵從報告相關(guān)的成本。
總而言之,安全是個全方位全層面的系統(tǒng)工程,除了做好應(yīng)用安全防護外,用戶還要做好其他層面的安全管理和防護,在各個層面,各個角度的安全控制點(SCP)上做好安全防護工作,把企業(yè)的信息安全風(fēng)險降到最低,這樣才能真正遠離"泄密門",遠離各種安全威脅。同時,我們也建議廣大的個人客戶,盡量避免在多個網(wǎng)站使用相同的賬號的密碼,加強密碼強度,定期修改密碼,保存好自己的密碼,避免在個人電腦中明文記錄自己的賬號密碼,在個人電腦上安裝防毒軟件,及時更新操作系統(tǒng)補丁和防毒軟件,養(yǎng)成良好的個人信息安全保密習(xí)慣。
【編輯推薦】
