根据美国特工处的最新数据,内部人员攻击在过去的一年可能已经增加了一倍。但是外部的攻击仍是主要的威胁,并且还占据着大部分的盗窃记录,这表明公司并没有正确地保障其网络和数据的安全。
主动性的安全控制和安全网络设计可以在预防内部和外部攻击方面扮演着重要角色。不幸的是,如果没有正确的网络分段和访问控制,一旦攻击者获得了对受害者内部网络的访问权,一切都晚了:敏感的服务器已然成为任人宰割的羔羊!
然而,安全损害未必如此悲惨。正如北卡罗来纳州“高级数字”公司的首席信息安全官詹妮弗所说,NAC是一种哲学而非技术。依靠网络分段和访问控制的深度防御方法可以延缓恶意软件的传播,并可以防止敏感系统的暴露。
几个星期之前,在VxWorks和QNX等嵌入式操作系统中暴露出来的漏洞,凸显了保障这些设备的安全并且在不影响生产效率的情况下尽可能地隔离它们的必要性。但是,如果滥用多功能设备及类似的系统,将表明对于这些系统的安全影响理解得不够充分。
例如,开发者为Metasploit Framework发布了新的模块,它准许从有漏洞的VxWorks设备中进行内存转储。在内存转储时,就可以找到口令和内部的IP地址,从而准许攻击者登录进入一台交换机,并且改变某台设备的VLAN,或者是通过一个暴露的账户登录进入一台服务器。
由于打印机和流媒体设备不仅仅只是哑设备而是完整的客户端和服务器,所以,很重要的一点是,构建网络分段来隔离设备,并仅提供足够业务需要的访问。
例如,用于将扫描的文档以电子邮件发送的多功能复印机,应当仅准许它与邮件服务器上tcp的25号端口通信,而不能远程登录(telnet)到一台交换机或文件服务器上的Windows服务器端口。同样道理,不应当准许嵌入式系统访问互联网,也不准许从互联网访问它,除非这是Vbrick等媒体流设备的目的。
嵌入式设备只是雇员们将其放到网络上而不考虑它如何影响安全性的一个方面。在对其客户的漏洞评估中,AirTight Network公司发现,四分之一的网络中存在着雇员们所安装的非授权的无线网络。
无论是为了工作还是为了易于使用,或者是因为用户是恶意的,其影响都是一样的:在无线接入点的范围内,将内部的公司网络暴露给任何人。公司策略文档要求对网络的任何变更(如增加一个无线接入点)都要严格禁止,这固然很好,但是需要部署技术控制来强化策略,并检测任何违反策略的情况。
基本的技术控制,如每个网络交换机端口都要限制一个MAC地址,这仅仅是一个开始,但很容易被精通技术的雇员攻克。更高级的控制包括NAC等解决方案,应当能够确认一个无线设备,并通过关闭它所连接的网络端口来阻止它对于内部网络的访问,或者将它移到一个隔离的VLAN中。
与深度防御并驾齐驱的无线入侵检测系统(WIDS)也可以加入到网络中,用以提供针对欺诈性无线设备的另外一层保护。WIDS可以在新的无线网络出现时对其进行检测,并向安全人员发出警告。
PCI安全理事会很早就认识到欺诈性的无线网络的影响,并在PCI DSS(支付卡行业数据安全标准)中要求一年进行四次的无线扫描。但一年扫描四次可能并不够,因为在两次扫描之间,一个欺诈性的无线设备可以有大约三个月时间不会受到检测。
无线设备制造商们正在将WIDS功能包括到其企业级管理系统系统中,用以解决这些问题。其中的一个例子是思科,它提供的思科无线服务模块(WiSM)可以在检测到企业网络中的欺诈性无线设备时,立即对其确认、定位并实施遏制。
任何网络安全项目的最终目标是防止暴露敏感数据所造成的安全损害,同时又满足企业的需要。通过网络分段、策略和技术控制,是完全有可能满足这个目标的。
【编辑推荐】