不久前，計(jì)算機(jī)病毒還只是一種令人不快的小問題，很少引起高層管理人員的關(guān)注。但是現(xiàn)在，指數(shù)級增長的安全威脅、協(xié)作式應(yīng)用和互聯(lián)環(huán)境讓網(wǎng)絡(luò)安全問題成為了報(bào)紙的頭條新聞。這里只舉一個(gè)例子:在2003年1月，SQL Slammer蠕蟲導(dǎo)致全球各地的大量網(wǎng)絡(luò)陷于癱瘓，甚至讓韓國電信的Freetel網(wǎng)絡(luò)幾乎完全中斷。

在80年代，黑客們的攻擊對象是單個(gè)計(jì)算機(jī)，在90年代則是單個(gè)網(wǎng)絡(luò)，而今天，他們的攻擊目標(biāo)是全球的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。因此，安全已經(jīng)從一種可以避免的煩惱變成了一個(gè)關(guān)鍵任務(wù)型問題。高級IT經(jīng)理們一致認(rèn)為，他們需要不同的方法和架構(gòu)來抵御新的威脅。事實(shí)上，根據(jù)Infonetics Research的預(yù)測，終端用戶在安全產(chǎn)品和服務(wù)上的開支將從2003年的45億美元增長到2007年的80億美元——增長78%。

評估風(fēng)險(xiǎn)

CERT協(xié)調(diào)中心是一個(gè)由美國政府資助，并由卡內(nèi)基梅隆大學(xué)管理的研究和開發(fā)中心。它所接到的安全事件報(bào)告的數(shù)量從1999年的9859份迅速增長到了2003年前三個(gè)季度的114855份，網(wǎng)絡(luò)環(huán)境的安全性已經(jīng)遠(yuǎn)不如前。

不僅威脅的數(shù)量正在迅速增長，它們所具有的破壞力也在大幅加強(qiáng)。今天，大部分攻擊都與拒絕服務(wù)(DoS)有關(guān)。如果特洛伊木馬或者蠕蟲開始利用分布式計(jì)算能力，或者建立點(diǎn)對點(diǎn)的文件共享，風(fēng)險(xiǎn)將會迅速增加。目前的蠕蟲類似于有人發(fā)射了一百萬枚沒有安裝高精度彈頭的導(dǎo)彈那么危險(xiǎn)，而且如果黑客在蠕蟲中加入了先進(jìn)的、惡意的代碼，以利用分布式計(jì)算能力或者點(diǎn)對點(diǎn)磁盤存儲。通過發(fā)揮網(wǎng)絡(luò)的真正威力，黑客可以控制成千上萬臺受到威脅的主機(jī)。他們所造成的破壞將會遠(yuǎn)遠(yuǎn)超過目前我們所看到的、蠕蟲所產(chǎn)生的影響。

為了保護(hù)自己的網(wǎng)絡(luò)，IT人士需要了解新的安全特性的特征。其中包括:

1、從內(nèi)部攻擊轉(zhuǎn)向外部攻擊

在1999年之前，關(guān)鍵的應(yīng)用都運(yùn)行在迷你計(jì)算機(jī)或者大型機(jī)上。威脅通常由擁有權(quán)限的內(nèi)部用戶引入。在1999年到2002年之間，CERT接到的外部安全事件的報(bào)告增加了250%。

2、反應(yīng)時(shí)間縮短

當(dāng)攻擊以單個(gè)計(jì)算機(jī)或者網(wǎng)絡(luò)為目標(biāo)時(shí)，企業(yè)擁有足夠的時(shí)間來分析威脅。然而現(xiàn)在，病毒可以在10分鐘之內(nèi)傳遍全球，這種“充裕的時(shí)間”已經(jīng)不復(fù)存在。防病毒軟件仍然非常重要，但更多是亡羊補(bǔ)牢的作用，往往在病毒特征被識別出來之前，損失已經(jīng)造成。

3、威脅檢測更加困難

攻擊者變得越來越聰明，他們過去通常攻擊網(wǎng)絡(luò)，而現(xiàn)在攻擊應(yīng)用，或者將攻擊內(nèi)嵌到數(shù)據(jù)之中，這使得檢測變得更加困難。例如，在網(wǎng)絡(luò)層發(fā)送的攻擊可以通過查看報(bào)頭信息發(fā)現(xiàn)。但是內(nèi)嵌于一個(gè)文本文件或者附件中的攻擊可能通過查看分組的實(shí)際內(nèi)容發(fā)現(xiàn)——而普通的防火墻通常不會這樣做。威脅檢測的責(zé)任從防火墻轉(zhuǎn)移到了訪問控制服務(wù)器和入侵檢測系統(tǒng)，因此企業(yè)現(xiàn)在需要全面的解決方案，而不是獨(dú)立的解決方案。

4、成為黑客的門檻降低

大量便于使用的黑客工具和腳本使得技術(shù)水平不高的人也能發(fā)動網(wǎng)絡(luò)攻擊。“‘鼠標(biāo)點(diǎn)擊式’黑客工具的出現(xiàn)意味著攻擊者不需要知道攻擊的具體過程，就可以造成破壞。”

轉(zhuǎn)向自防御網(wǎng)絡(luò)

隨著安全威脅的對象從單個(gè)網(wǎng)絡(luò)轉(zhuǎn)向基礎(chǔ)設(shè)施，思科的安全方法也已經(jīng)從提供獨(dú)立的安全解決方案轉(zhuǎn)向提供集成化的系統(tǒng)，以保障連接的安全。這些集成化的系統(tǒng)可以從多個(gè)位置保護(hù)網(wǎng)絡(luò)。例如，思科為網(wǎng)絡(luò)提供了三個(gè)防御系統(tǒng):防火墻、入侵檢測系統(tǒng)(IDS)和行為異常檢測軟件。行為異常檢測軟件可以采用先進(jìn)的數(shù)學(xué)算法判斷哪些是“正常的”網(wǎng)絡(luò)活動，哪些是異常的——并且可能構(gòu)成威脅的——網(wǎng)絡(luò)活動。我們可以把這種三重防護(hù)的方法比作一個(gè)銀行采用的物理安全措施。防火墻就像是站在銀行外的警衛(wèi)。IDS就相當(dāng)于一個(gè)24×7的視頻監(jiān)控系統(tǒng)。行為異常檢測軟件就相當(dāng)于一個(gè)站在保險(xiǎn)庫外，警惕可疑行為并準(zhǔn)備立即采取措施的保衛(wèi)人員。身份管理類似于在客戶獲得銀行服務(wù)之前要求客戶提供一個(gè)照片ID或者輸入個(gè)人身份號碼(PIN)。通過多種檢測和防范攻擊的方法，機(jī)構(gòu)可以加強(qiáng)它的防御系統(tǒng)。

然而，盡管現(xiàn)在已經(jīng)有多種有效的安全技術(shù)，但由于安全措施非常復(fù)雜和投入也相對高昂，以致于很多公司不愿意采購IDS或者采用漏洞評估和網(wǎng)絡(luò)監(jiān)控等安全措施。如今，高效能的自防御網(wǎng)絡(luò)的出現(xiàn)將極大地改變目前地局面。

為了幫助企業(yè)和政府機(jī)構(gòu)發(fā)現(xiàn)、防范和克服新的IT基礎(chǔ)設(shè)施威脅，思科創(chuàng)建了自防御網(wǎng)絡(luò)計(jì)劃并推出首個(gè)名為網(wǎng)絡(luò)準(zhǔn)入控制(NAC)的解決方案。該解決方案處理的是信任關(guān)系和身份管理。在對用戶進(jìn)行身份驗(yàn)證的同時(shí)，它可以忽略計(jì)算機(jī)的安全證明。為了幫助建立這種重要的信任關(guān)系，思科與防病毒軟件開發(fā)商N(yùn)etwork Associates, Symantec和TrendMicro建立了機(jī)密合作關(guān)系，一同打造完善的解決方案。

網(wǎng)絡(luò)準(zhǔn)入控制(NAC)的解決方案的工作方式是:思科安全代理(CSA)中集成的思科信任代理可以從PC和主機(jī)中搜集各種安全狀態(tài)信息，例如防病毒軟件和操作系統(tǒng)補(bǔ)丁的版本。當(dāng)該節(jié)點(diǎn)試圖連接到VPN時(shí)，思科信任代理會將安全狀態(tài)信息發(fā)送到負(fù)責(zé)執(zhí)行準(zhǔn)入控制的思科網(wǎng)絡(luò)接入設(shè)備，例如路由器、交換機(jī)、無線接入點(diǎn)和安全裝置。這些設(shè)備將會把安全證明發(fā)送到思科安全訪問控制服務(wù)器(ACS)，由它根據(jù)客戶事先定義的策略決定制定允許、拒絕、隔離或者限制決策。NAC甚至可以為具有或者沒有思科信任代理的主機(jī)執(zhí)行不同的訪問策略。不僅在思科設(shè)備中可以應(yīng)用思科信任代理，通過與領(lǐng)先的防病毒軟件開發(fā)商進(jìn)行合作，在接近95%的計(jì)算機(jī)上都能夠確保思科信任代理將安裝，幾乎無所不在的客戶端代理讓NAC可以在很大范圍內(nèi)保持高效，從而能共同解決整個(gè)行業(yè)目前面臨的嚴(yán)重安全問題，借助網(wǎng)絡(luò)的威力防止IT基礎(chǔ)設(shè)施遭受攻擊。

IDS和行為異常檢測軟件進(jìn)一步增強(qiáng)了思科NAC的功能。例如，當(dāng)內(nèi)嵌于思科路由器中的IDS檢測到DoS攻擊的特征時(shí)，思科ACS將會在幾秒鐘之內(nèi)命令網(wǎng)絡(luò)中的所有路由器拒絕該流量。如果流量模式以一種可疑的方式發(fā)生變化，但是并不具備已知特征，行為異常檢測軟件將可以根據(jù)企業(yè)自己的業(yè)務(wù)規(guī)則，中斷可疑的流量。NAC可以補(bǔ)充而不是取代已經(jīng)被廣泛使用的傳統(tǒng)安全技術(shù)，包括網(wǎng)關(guān)防火墻、入侵保護(hù)系統(tǒng)、用戶身份驗(yàn)證和通信安全等。

安全措施部署準(zhǔn)備

企業(yè)怎樣部署有效的安全措施?首先，思科高級服務(wù)團(tuán)隊(duì)將會為機(jī)構(gòu)提供一個(gè)針對他們的網(wǎng)絡(luò)安全狀況的、名為安全狀況評估(SPA)的全面評估服務(wù)。SPA由擁有專業(yè)背景的思科ASNS專家進(jìn)行。他們曾經(jīng)幫助全球的很多“財(cái)富500強(qiáng)”企業(yè)和政府機(jī)構(gòu)規(guī)劃、設(shè)計(jì)、部署和優(yōu)化安全業(yè)務(wù)。很多專家都擁有CCIE和認(rèn)證信息系統(tǒng)安全專家(CISSP)證書。

SPA的主要目標(biāo)包括評估網(wǎng)絡(luò)系統(tǒng)的安全狀況，最大限度地消除嚴(yán)重的或者長期的威脅，判斷現(xiàn)有工作人員在檢測和響應(yīng)安全事件方面的能力，以及提供建議，幫助系統(tǒng)和網(wǎng)絡(luò)管理人員加強(qiáng)他們的安全性。ASNS團(tuán)隊(duì)使用先進(jìn)的工具和方法來進(jìn)行廣泛的、非破壞性的網(wǎng)絡(luò)漏洞檢測和測試，并模擬攻擊者在試圖獲得未經(jīng)授權(quán)的訪問權(quán)限時(shí)可能采取的措施。他們將評估各種網(wǎng)絡(luò)組件，包括網(wǎng)絡(luò)周邊防火墻、路由器、內(nèi)部防火墻、交換機(jī)和虛擬LAN。SPA還會檢查主機(jī)、防火墻、用戶工作站，并測試安全策略的執(zhí)行效率。

從內(nèi)部評估安全的目的是尋找可能讓敏感信息被未經(jīng)授權(quán)的或者意外的行動破壞的安全漏洞。從外部評估安全的目的是發(fā)現(xiàn)可能讓內(nèi)部數(shù)據(jù)受到威脅或者資源被拒絕的缺陷。SPA將使用一套由思科工程師開發(fā)的軟件和一些可以從互聯(lián)網(wǎng)上獲得的工具，其中包括完全開放源碼工具，經(jīng)過修改的免費(fèi)工具，以及專門定制的專用工具等。

在進(jìn)行內(nèi)部SPA時(shí)，思科工程師會以一種受控的、安全的方式模擬一個(gè)入侵者的攻擊，從而人工查找缺陷，包括主機(jī)間信任關(guān)系中可能被利用的漏洞，密碼缺陷，或者系統(tǒng)的管理員訪問權(quán)限。這些顧問將模擬一個(gè)心懷不滿的員工、耍賴的承包商或者其他擁有信任關(guān)系的內(nèi)部用戶對網(wǎng)絡(luò)進(jìn)行的攻擊。在外部SPA期間，思科工程師將會模擬試圖攻擊周邊設(shè)備和互聯(lián)網(wǎng)安全控制的惡意攻擊者的典型攻擊活動。這可能包括對一個(gè)機(jī)構(gòu)的電話號碼的“War-dialing”分析。這往往會提供通過未知的或者不安全的遠(yuǎn)程接入服務(wù)器輕松進(jìn)入網(wǎng)絡(luò)的后門。高級服務(wù)團(tuán)隊(duì)也會為無線網(wǎng)絡(luò)提供類似的服務(wù)。

在評估完成之后，思科ASNS團(tuán)隊(duì)將編寫一份報(bào)告。除了一些技術(shù)細(xì)節(jié)以外，該報(bào)告將按照重要性說明安全漏洞，并就如何提高網(wǎng)絡(luò)的安全性提出一些建議。在大多數(shù)情況下，這些建議集中于技術(shù)和策略，有時(shí)甚至涉及到新的網(wǎng)絡(luò)設(shè)計(jì)方案。在任何情況下，思科高級服務(wù)部門都可以在整個(gè)企業(yè)中設(shè)計(jì)和部署深度防御安全。

IT管理和交流

安全保護(hù)還需要IT管理。企業(yè)發(fā)現(xiàn)，他們不僅要從水平方向上考慮安全——從桌面到網(wǎng)絡(luò)核心，還要從垂直方向上考慮——從首席技術(shù)官或者董事會到防火墻的策略部署,技術(shù)戰(zhàn)略和公司業(yè)務(wù)已經(jīng)互為影響，包括需要采用的流程。

來自Infonetics的Wilson也贊同這種觀點(diǎn):“當(dāng)企業(yè)希望變得更加安全時(shí)，他們必須評估安全策略對業(yè)務(wù)運(yùn)營的影響。一個(gè)限制連接能力——例如要求使用太過冗長和復(fù)雜，以至于人們無法記住的密碼——的安全策略將會限制生產(chǎn)率，因而無法持久。企業(yè)對于安全的需求絕不會超過他們對于提高生產(chǎn)率和連接能力的需求。連接能力總是比安全性更加重要。”

事實(shí)證明，防御攻擊的最有效手段之一就是在企業(yè)和政府之間進(jìn)行開放的交流和合作。作為一種防御網(wǎng)絡(luò)攻擊的武器，交流具有非常重要的意義。2003年12月，美國國土安全部部長Tom Ridge敦促技術(shù)公司共享信息，以防止網(wǎng)絡(luò)受到恐怖分子的襲擊。

歸根結(jié)底，思科安全方法的目的并不是保護(hù)系統(tǒng)本身，而是保護(hù)用戶的生產(chǎn)率——他們開展工作的能力。在安全領(lǐng)域，沒有萬無一失的方法。新技術(shù)——例如思科NAC和思科信任代理——都非常強(qiáng)大，但是仍然只能作為一個(gè)全面的解決方案的組成部分。一個(gè)有效的安全戰(zhàn)略不僅需要先進(jìn)的技術(shù)，還需要關(guān)注與業(yè)務(wù)流程和步驟有關(guān)的管理問題。

通過思科安全狀況評估發(fā)現(xiàn)的趨勢

企業(yè)在針對它們已經(jīng)遭遇過的威脅采取預(yù)防措施方面行動緩慢，盡管目前已經(jīng)有很多技術(shù)可供采用。例如，在二十年前的電影“War Games”中，一個(gè)十幾歲的黑客就利用一個(gè)未經(jīng)身份認(rèn)證的撥號調(diào)制解調(diào)器發(fā)起了攻擊。然而，思科高級網(wǎng)絡(luò)安全服務(wù)團(tuán)隊(duì)現(xiàn)在仍然經(jīng)常會在很多大型企業(yè)網(wǎng)絡(luò)中看到同樣未受保護(hù)的調(diào)制解調(diào)器。下面列出了思科團(tuán)隊(duì)在過去幾個(gè)月中發(fā)現(xiàn)的其他一些關(guān)鍵趨勢。

1、面臨安全威脅的主機(jī)不斷增多

蠕蟲活動的日益頻繁，下一代蠕蟲的行為將會像是小型的自動黑客。

2、傳播代碼與漏洞關(guān)系密切

目前已經(jīng)出現(xiàn)了兩個(gè)代碼開發(fā)工具。一個(gè)采用的自我傳播代碼的開發(fā)與用作矢量的代碼相獨(dú)立。另一個(gè)工具則將傳播和漏洞被捆綁到了一起。

3、在新的地方尋找漏洞

在20世紀(jì)90年代中后期，黑客主要關(guān)注NetBIOS。在2002年初，他們將目光轉(zhuǎn)向了Microsoft Internet Information Services (IIS)，隨后很快又轉(zhuǎn)向Microsoft SQL Server。最新的關(guān)注焦點(diǎn)是底層通信協(xié)議，例如分布式組件對象模型(DCOM)和遠(yuǎn)程程序調(diào)用(RPC)。黑客正在從在特定應(yīng)用中尋找缺陷發(fā)展到在底層軟件基礎(chǔ)設(shè)施中查找漏洞。

4、不安全的密碼

思科高級服務(wù)團(tuán)隊(duì)通常可以破解大部分機(jī)構(gòu)70%到85%的密碼，這通常是因?yàn)樵诿艽a策略的制定和執(zhí)行上出了問題。

5、UNIX系統(tǒng)中的明碼協(xié)議

很多使用Telnet和遠(yuǎn)程Shell(RSH)的企業(yè)仍然完全用明碼發(fā)送密碼和用戶名。企業(yè)應(yīng)當(dāng)立即采用更加安全的協(xié)議，例如Secure Shell(SSH)和IP安全(IPSec)。思科路由器可以支持這兩種協(xié)議。

6、不安全的無線網(wǎng)絡(luò)

無線安全技術(shù)非常便于使用。企業(yè)應(yīng)當(dāng)利用可擴(kuò)展身份驗(yàn)證協(xié)議-思科無線(思科LEAP)，以及Cisco Aironet產(chǎn)品線中的后臺身份驗(yàn)證服務(wù)器。

7、更多的流量通過80端口傳輸

現(xiàn)在，因?yàn)榇罅康臄?shù)據(jù)通過80端口傳輸，關(guān)閉80端口顯然不可行，現(xiàn)在檢測攻擊信息變得更加困難，因?yàn)樗鼈兺淮虬诔Ｓ玫腤eb協(xié)議中。