企業(yè)網(wǎng)絡(luò)在急速發(fā)展!其中一些開始清理手機(jī)和平板電腦,拒絕來自咖啡店和火車站的互聯(lián)網(wǎng)連接(作為WAN鏈路)。
擴(kuò)展型企業(yè)的概念給IT安全組合帶來越來越嚴(yán)峻的問題,因?yàn)樗鼈兊拿舾袛?shù)據(jù)和有價(jià)值的數(shù)據(jù)經(jīng)常會(huì)流出傳統(tǒng)網(wǎng)絡(luò)邊界。為了保護(hù)企業(yè)不受多元化和低端低速可適應(yīng)性的持久威脅,IT企業(yè)正在部署各種各樣的新型網(wǎng)絡(luò)安全設(shè)備:下一代防火墻、IDS與IPS設(shè)備、安全信息事件管理(SIEM)系統(tǒng)和高級威脅檢測系統(tǒng)。理想情況下,這些系統(tǒng)將集中管理,遵循一個(gè)集中安全策略,隸屬于一個(gè)普遍保護(hù)戰(zhàn)略。
然而,在部署這些設(shè)備時(shí),一些企業(yè)的常見錯(cuò)誤會(huì)嚴(yán)重影響他們實(shí)現(xiàn)普遍保護(hù)的能力。本文將介紹在規(guī)劃與部署新型網(wǎng)絡(luò)安全設(shè)備時(shí)需要注意的問題,以及如何避免可能導(dǎo)致深度防御失敗的相關(guān)問題。
不要迷信安全設(shè)備
一個(gè)最大的錯(cuò)誤是假定安全設(shè)備本身是安全的。表面上這似乎很容易理解,但是一定要堅(jiān)持這個(gè)立足點(diǎn)。所謂的“增強(qiáng)”操作系統(tǒng)到底有多安全?它的最新狀態(tài)是怎樣的?它運(yùn)行的“超穩(wěn)定”Web服務(wù)器又有多安全?
在開始任何工作之前,一定要?jiǎng)?chuàng)建一個(gè)測試計(jì)劃,驗(yàn)證所有網(wǎng)絡(luò)安全設(shè)備都是真正安全的。首先是從一些基礎(chǔ)測試開始:您是否有在各個(gè)設(shè)備及其支持的網(wǎng)絡(luò)、服務(wù)器和存儲(chǔ)基礎(chǔ)架構(gòu)上按時(shí)升級、安裝補(bǔ)丁和修復(fù)Bug?在根據(jù)一些記錄當(dāng)前已知漏洞信息的資料交換中心(如全國漏洞數(shù)據(jù)庫)的數(shù)據(jù)進(jìn)行檢查,一定要定期升級和安裝設(shè)備補(bǔ)丁。
然后,再轉(zhuǎn)到一些更難處理的方面:定期評估多個(gè)設(shè)備配置的潛在弱點(diǎn)。加密系統(tǒng)和應(yīng)用交付優(yōu)化(ADO)設(shè)備的部署順序不當(dāng)也會(huì)造成數(shù)據(jù)泄露,即使各個(gè)設(shè)備本身能夠正常工作。這個(gè)過程可以與定期執(zhí)行的滲透測試一起進(jìn)行。
評估網(wǎng)絡(luò)安全設(shè)備的使用方式
對于任意安全設(shè)備而言,管理/控制通道最容易出現(xiàn)漏洞。所以,一定要注意您將要如何配置和修改安全設(shè)備——以及允許誰執(zhí)行這些配置。如果您準(zhǔn)備通過Web瀏覽器訪問一個(gè)安全系統(tǒng),那么安全設(shè)備將運(yùn)行一個(gè)Web服務(wù)器,并且允許Web流量進(jìn)出。這些流量是否有加密?它是否使用一個(gè)標(biāo)準(zhǔn)端口?所有設(shè)備是否都使用同一個(gè)端口(因此入侵者可以輕松猜測到)?它是通過一個(gè)普通網(wǎng)絡(luò)連接(編內(nèi))還是獨(dú)立管理網(wǎng)絡(luò)連接(編外)進(jìn)行訪問?如果屬于編內(nèi)連接,那么任何通過這個(gè)接口發(fā)送流量的主機(jī)都可能攻擊這個(gè)設(shè)備。如果它在一個(gè)管理網(wǎng)絡(luò)上,那么至少您只需要擔(dān)心網(wǎng)絡(luò)上的其他設(shè)備。(如果它配置為使用串口連接和KVM,則更加好。)
最佳場景是這樣:如果不能直接訪問設(shè)備,則保證所有配置變化都必須使用加密和多因子身份驗(yàn)證。而且,要緊密跟蹤和控制設(shè)備管理的身份信息,保證只有授權(quán)用戶才能獲得管理權(quán)限。
應(yīng)用標(biāo)準(zhǔn)滲透測試工具
如果您采用了前兩個(gè)步驟,那么現(xiàn)在就有了很好的開始——但是工作還沒做完。黑客、攻擊和威脅載體仍然在不斷地增長和發(fā)展,而且您必須定期測試系統(tǒng),除了修復(fù)漏洞,還要保證它們能夠抵擋已發(fā)現(xiàn)的攻擊。
那么,攻擊與漏洞有什么不同呢?攻擊是一種專門攻破漏洞的有意行為。系統(tǒng)漏洞造成了攻擊可能性,但是攻擊的存在則增加了它的危害性——漏洞暴露從理論變?yōu)楝F(xiàn)實(shí)。
滲透測試工具和服務(wù)可以檢查出網(wǎng)絡(luò)安全設(shè)備是否容易受到攻擊的破壞。一些開源工具和框架已經(jīng)出現(xiàn)了很長時(shí)間,其中包括Network Mapper(Nmap)、Nikto、開放漏洞評估系統(tǒng)(Open Vulnerability Assessment System, OpenVAS)和Metasploit。當(dāng)然 ,也有很多的商業(yè)工具,如McAfee(可以掃描軟件組件)和Qualys的產(chǎn)品。
這些工具廣泛用于標(biāo)識網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量的端口;記錄它對于標(biāo)準(zhǔn)測試數(shù)據(jù)包的響應(yīng);以及通過使用OpenVAS和Metasploit測試它面對一些常見攻擊的漏洞情況(更多出現(xiàn)在商業(yè)版本上)。
其他滲透測試工具則主要關(guān)注于Web服務(wù)器和應(yīng)用,如OWASP Zed Attack Proxy(ZAP)和Arachni。通過使用標(biāo)準(zhǔn)工具和技術(shù),確定安全設(shè)備的漏洞——例如,通過一個(gè)Web管理接口發(fā)起SQL注入攻擊,您就可以更清晰地了解如何保護(hù)網(wǎng)絡(luò)安全設(shè)備本身。
在部署網(wǎng)絡(luò)安全設(shè)備時(shí)降低風(fēng)險(xiǎn)
沒有任何東西是完美的,因此沒有任何一個(gè)系統(tǒng)是毫無漏洞的。在部署和配置新網(wǎng)絡(luò)安全設(shè)備時(shí),如果沒有應(yīng)用恰當(dāng)?shù)念A(yù)防措施,就可能給環(huán)境帶來風(fēng)險(xiǎn)。采取正確的措施保護(hù)設(shè)備,將保護(hù)基礎(chǔ)架構(gòu)的其他部分,其中包括下面這些經(jīng)常被忽視的常見防范措施:
修改默認(rèn)密碼和帳號名。
禁用不必要的服務(wù)和帳號。
保證按照制造商的要求更新底層操作系統(tǒng)和系統(tǒng)軟件。
限制管理網(wǎng)絡(luò)的管理接口訪問;如果無法做到這一點(diǎn),則要在上游設(shè)備(交換機(jī)和路由器)使用ACL,限制發(fā)起管理會(huì)話的來源。
由于攻擊也在進(jìn)化,所以要定期檢查滲透測試。要保持OpenVAS和Metasploit等工具的更新,而且它們可以使用的攻擊庫也在穩(wěn)步增長。
基線是什么呢?制定一個(gè)普遍保護(hù)策略只是開始。要保護(hù)現(xiàn)在漫無邊際增長的設(shè)備和數(shù)據(jù),您需要三樣?xùn)|西:一個(gè)普適保護(hù)策略、實(shí)現(xiàn)策略的工具與技術(shù)及保證這些工具與技術(shù)能夠?qū)崿F(xiàn)最大保護(hù)效果的政策與流程。所有政策與流程既要考慮網(wǎng)絡(luò)安全設(shè)備本身(個(gè)體與整體)的漏洞,也要考慮專門針對這些漏洞且不斷發(fā)展變化的攻擊與威脅載體。
