對(duì)于擁有機(jī)密數(shù)據(jù)或敏感數(shù)據(jù)的組織來(lái)說(shuō),最可怕的現(xiàn)實(shí)是網(wǎng)絡(luò)安全威脅(例如:僵尸網(wǎng)絡(luò),蠕蟲(chóng),和黑客攻擊)是永無(wú)止境的。
其中,僵尸網(wǎng)絡(luò)是最可怕的網(wǎng)絡(luò)安全威脅。這些由網(wǎng)絡(luò)犯罪者制造出來(lái)的,高度成熟的,漏洞探查式的威脅幾乎是無(wú)形的。不像前幾年那些破壞磁盤(pán),讓網(wǎng)絡(luò)罷工的蠕蟲(chóng)和特洛伊木馬,僵尸程序會(huì)讓網(wǎng)絡(luò)和計(jì)算機(jī)持續(xù)地運(yùn)行,然后把數(shù)據(jù)發(fā)送給“僵尸主”,并且,它們很難被探查到。
大多數(shù)國(guó)家和當(dāng)?shù)氐恼畽C(jī)構(gòu)都采取了一些措施,盡量減少網(wǎng)絡(luò)被滲透的幾率,如果一次攻擊發(fā)生了,可以把這個(gè)威脅隔離開(kāi)來(lái),然后再排除它。但是,因?yàn)檎畽C(jī)構(gòu)總是被要求少花錢(qián)多辦事,所以,它們的網(wǎng)絡(luò)安全策略可能并不充分。為了幫助政府機(jī)構(gòu)制定出一套可以滿足它們的特定需求的策略來(lái),針對(duì)政府機(jī)構(gòu)的規(guī)模,類(lèi)型,可用的預(yù)算,和必須要保護(hù)的敏感信息,CDW-G提供了以下這些方法:
1. 安裝Windows防火墻
雖然可能對(duì)于終端用戶來(lái)說(shuō),禁用它的吸引力會(huì)更大一些,但是一個(gè)配置合理的Windows防火墻可以阻止許多基于網(wǎng)絡(luò)的攻擊。對(duì)于那些擁有很多配置相同的機(jī)器的大型機(jī)構(gòu)來(lái)說(shuō),這個(gè)方法尤其適用。
2. 禁用自動(dòng)運(yùn)行功能
自動(dòng)運(yùn)行功能可以自動(dòng)地安裝軟件,為了防止操作系統(tǒng)盲目地運(yùn)行一些來(lái)自于外部的命令,這個(gè)功能應(yīng)該被禁用。
3. 不要相信密碼
對(duì)本地賬戶進(jìn)行控制(尤其是本地的管理員賬戶)是至關(guān)重要的,這可以隔離并消除一些威脅。禁用計(jì)算機(jī)的自動(dòng)連接功能可以防止僵尸程序擴(kuò)散到整個(gè)內(nèi)部網(wǎng)絡(luò)。在一些存儲(chǔ)著高度機(jī)密數(shù)據(jù)的環(huán)境中,這一點(diǎn)顯得尤為重要。
4. 考慮一下網(wǎng)絡(luò)分割
5. 提供最少的權(quán)限
當(dāng)用戶不是工作站管理員的時(shí)候,惡意軟件很難通過(guò)下載的方式來(lái)傳播,它們也很難通過(guò)自動(dòng)運(yùn)行方法駐留在一個(gè)系統(tǒng)中。如果不給用戶提供管理員權(quán)限的話,惡意軟件很難通過(guò)它們的用戶賬戶憑證來(lái)傳播,計(jì)算機(jī)也很難被感染。
6. 安裝主機(jī)入侵防御系統(tǒng)
為了防止僵尸程序在一個(gè)系統(tǒng)中“安家落戶”,IT經(jīng)理應(yīng)該在特定的網(wǎng)絡(luò)層上添加基于漏洞的防護(hù),例如在特定的硬件和軟件之間的交互層上添加額外的防護(hù)。這個(gè)方法并不能修復(fù)操作系統(tǒng)或應(yīng)用軟件中的技術(shù)缺陷或漏洞,但是它可以減少攻擊成功的機(jī)會(huì)。雖然這些工具是十分有效的,但是它們是十分昂貴的,而且,它們通常很難部署。
7. 加強(qiáng)監(jiān)控
很多人都知道如何在正常情況下運(yùn)維一個(gè)網(wǎng)絡(luò),當(dāng)一個(gè)僵尸程序入侵引起了微小的異常的時(shí)候,要能實(shí)時(shí)地做出判斷。持續(xù)不斷地進(jìn)行監(jiān)控絕對(duì)是一個(gè)好主意,你可以使用一些產(chǎn)品來(lái)收集網(wǎng)絡(luò)流量方面的數(shù)據(jù),讓一些設(shè)備來(lái)監(jiān)控異常情況,探測(cè)并阻止入侵。但是,使用遠(yuǎn)程管理的安全服務(wù)也可以填補(bǔ)這塊空白,加強(qiáng)監(jiān)控也許已經(jīng)超出許多政府機(jī)構(gòu)的能力范圍了。
8. 對(duì)流出這個(gè)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行過(guò)濾
僵尸程序通常會(huì)和一個(gè)或多個(gè)遠(yuǎn)程的服務(wù)器(黑客使用這些服務(wù)器來(lái)獲取一些私有的信息)進(jìn)行通信。為了阻止這些通信,以及和它們有關(guān)的威脅,政府機(jī)構(gòu)應(yīng)該防止那些機(jī)密的數(shù)據(jù)流出這個(gè)網(wǎng)絡(luò),輸出過(guò)濾(egress filtering)就是這方面的一個(gè)工具。政府機(jī)構(gòu)應(yīng)該通過(guò)代理(在下文中會(huì)詳細(xì)說(shuō)明),內(nèi)容過(guò)濾器,或者通過(guò)部署一個(gè)數(shù)據(jù)丟失防護(hù)(DLP:data loss prevention)解決方案對(duì)流向互聯(lián)網(wǎng)的數(shù)據(jù)進(jìn)行過(guò)濾。
9. 使用一個(gè)代理服務(wù)器
雖然這種方法無(wú)法阻止所有的惡意輸出數(shù)據(jù)流,但是,對(duì)于監(jiān)控和控制Web訪問(wèn),以及阻止一些想繞過(guò)安全機(jī)制的企圖來(lái)說(shuō),通過(guò)一個(gè)代理服務(wù)器對(duì)輸出的數(shù)據(jù)流進(jìn)行過(guò)濾是第二道屏障。
10. 安裝基于信譽(yù)度的過(guò)濾器
像IronPort和WebSense那樣的工具可以幫助你阻止來(lái)自于可疑地址(這些地址可能是潛在的惡意軟件來(lái)源)的e-mail。
11,對(duì)DNS查詢進(jìn)行監(jiān)控
一個(gè)工作站對(duì)域名解析系統(tǒng)(DNS:domain name system)查詢的響應(yīng)方式通常應(yīng)該是對(duì)可能已經(jīng)被感染的工作站的簽名進(jìn)行早期預(yù)警。具體來(lái)說(shuō),那些包含存活時(shí)間極短的值的響應(yīng)都應(yīng)該被監(jiān)控,存活時(shí)間短很可能意味著已經(jīng)被感染了。監(jiān)控可以讓系統(tǒng)管理員在感染擴(kuò)散以前采取一些措施。
這里提到的這些步驟針對(duì)政府機(jī)構(gòu)的具體規(guī)模,以及IT部門(mén)的規(guī)模和預(yù)算,給網(wǎng)絡(luò)安全策略提供一個(gè)框架。CDW-G建議,各個(gè)政府機(jī)構(gòu)應(yīng)該對(duì)每個(gè)步驟進(jìn)行評(píng)估,設(shè)計(jì)出一套可以滿足它們的特定需求的策略來(lái)。
