在80年代,黑客们的攻击对象是单个计算机,在90年代则是单个网络,而今天,他们的攻击目标是全球的网络基础设施。因此,安全已经从一种可以避免的烦恼变成了一个关键任务型问题。高级IT经理们一致认为,他们需要不同的方法和架构来抵御新的威胁。事实上,根据Infonetics Research的预测,终端用户在安全产品和服务上的开支将从2003年的45亿美元增长到2007年的80亿美元——增长78%。
评估风险
CERT协调中心是一个由美国政府资助,并由卡内基梅隆大学管理的研究和开发中心。它所接到的安全事件报告的数量从1999年的9859份迅速增长到了2003年前三个季度的114855份,网络环境的安全性已经远不如前。
不仅威胁的数量正在迅速增长,它们所具有的破坏力也在大幅加强。今天,大部分攻击都与拒绝服务(DoS)有关。如果特洛伊木马或者蠕虫开始利用分布式计算能力,或者建立点对点的文件共享,风险将会迅速增加。目前的蠕虫类似于有人发射了一百万枚没有安装高精度弹头的导弹那么危险,而且如果黑客在蠕虫中加入了先进的、恶意的代码,以利用分布式计算能力或者点对点磁盘存储。通过发挥网络的真正威力,黑客可以控制成千上万台受到威胁的主机。他们所造成的破坏将会远远超过目前我们所看到的、蠕虫所产生的影响。
为了保护自己的网络,IT人士需要了解新的安全特性的特征。其中包括:
1、从内部攻击转向外部攻击
在1999年之前,关键的应用都运行在迷你计算机或者大型机上。威胁通常由拥有权限的内部用户引入。在1999年到2002年之间,CERT接到的外部安全事件的报告增加了250%。
2、反应时间缩短
当攻击以单个计算机或者网络为目标时,企业拥有足够的时间来分析威胁。然而现在,病毒可以在10分钟之内传遍全球,这种“充裕的时间”已经不复存在。防病毒软件仍然非常重要,但更多是亡羊补牢的作用,往往在病毒特征被识别出来之前,损失已经造成。
3、威胁检测更加困难
攻击者变得越来越聪明,他们过去通常攻击网络,而现在攻击应用,或者将攻击内嵌到数据之中,这使得检测变得更加困难。例如,在网络层发送的攻击可以通过查看报头信息发现。但是内嵌于一个文本文件或者附件中的攻击可能通过查看分组的实际内容发现——而普通的防火墙通常不会这样做。威胁检测的责任从防火墙转移到了访问控制服务器和入侵检测系统,因此企业现在需要全面的解决方案,而不是独立的解决方案。
4、成为黑客的门槛降低
大量便于使用的黑客工具和脚本使得技术水平不高的人也能发动网络攻击。“‘鼠标点击式’黑客工具的出现意味着攻击者不需要知道攻击的具体过程,就可以造成破坏。”
转向自防御网络
随着安全威胁的对象从单个网络转向基础设施,思科的安全方法也已经从提供独立的安全解决方案转向提供集成化的系统,以保障连接的安全。这些集成化的系统可以从多个位置保护网络。例如,思科为网络提供了三个防御系统:防火墙、入侵检测系统(IDS)和行为异常检测软件。行为异常检测软件可以采用先进的数学算法判断哪些是“正常的”网络活动,哪些是异常的——并且可能构成威胁的——网络活动。我们可以把这种三重防护的方法比作一个银行采用的物理安全措施。防火墙就像是站在银行外的警卫。IDS就相当于一个24×7的视频监控系统。行为异常检测软件就相当于一个站在保险库外,警惕可疑行为并准备立即采取措施的保卫人员。身份管理类似于在客户获得银行服务之前要求客户提供一个照片ID或者输入个人身份号码(PIN)。通过多种检测和防范攻击的方法,机构可以加强它的防御系统。
然而,尽管现在已经有多种有效的安全技术,但由于安全措施非常复杂和投入也相对高昂,以致于很多公司不愿意采购IDS或者采用漏洞评估和网络监控等安全措施。如今,高效能的自防御网络的出现将极大地改变目前地局面。
为了帮助企业和政府机构发现、防范和克服新的IT基础设施威胁,思科创建了自防御网络计划并推出首个名为网络准入控制(NAC)的解决方案。该解决方案处理的是信任关系和身份管理。在对用户进行身份验证的同时,它可以忽略计算机的安全证明。为了帮助建立这种重要的信任关系,思科与防病毒软件开发商Network Associates, Symantec和TrendMicro建立了机密合作关系,一同打造完善的解决方案。
网络准入控制(NAC)的解决方案的工作方式是:思科安全代理(CSA)中集成的思科信任代理可以从PC和主机中搜集各种安全状态信息,例如防病毒软件和操作系统补丁的版本。当该节点试图连接到VPN时,思科信任代理会将安全状态信息发送到负责执行准入控制的思科网络接入设备,例如路由器、交换机、无线接入点和安全装置。这些设备将会把安全证明发送到思科安全访问控制服务器(ACS),由它根据客户事先定义的策略决定制定允许、拒绝、隔离或者限制决策。NAC甚至可以为具有或者没有思科信任代理的主机执行不同的访问策略。不仅在思科设备中可以应用思科信任代理,通过与领先的防病毒软件开发商进行合作,在接近95%的计算机上都能够确保思科信任代理将安装,几乎无所不在的客户端代理让NAC可以在很大范围内保持高效,从而能共同解决整个行业目前面临的严重安全问题,借助网络的威力防止IT基础设施遭受攻击。
IDS和行为异常检测软件进一步增强了思科NAC的功能。例如,当内嵌于思科路由器中的IDS检测到DoS攻击的特征时,思科ACS将会在几秒钟之内命令网络中的所有路由器拒绝该流量。如果流量模式以一种可疑的方式发生变化,但是并不具备已知特征,行为异常检测软件将可以根据企业自己的业务规则,中断可疑的流量。NAC可以补充而不是取代已经被广泛使用的传统安全技术,包括网关防火墙、入侵保护系统、用户身份验证和通信安全等。
安全措施部署准备
企业怎样部署有效的安全措施?首先,思科高级服务团队将会为机构提供一个针对他们的网络安全状况的、名为安全状况评估(SPA)的全面评估服务。SPA由拥有专业背景的思科ASNS专家进行。他们曾经帮助全球的很多“财富500强”企业和政府机构规划、设计、部署和优化安全业务。很多专家都拥有CCIE和认证信息系统安全专家(CISSP)证书。
SPA的主要目标包括评估网络系统的安全状况,最大限度地消除严重的或者长期的威胁,判断现有工作人员在检测和响应安全事件方面的能力,以及提供建议,帮助系统和网络管理人员加强他们的安全性。ASNS团队使用先进的工具和方法来进行广泛的、非破坏性的网络漏洞检测和测试,并模拟攻击者在试图获得未经授权的访问权限时可能采取的措施。他们将评估各种网络组件,包括网络周边防火墙、路由器、内部防火墙、交换机和虚拟LAN。SPA还会检查主机、防火墙、用户工作站,并测试安全策略的执行效率。
从内部评估安全的目的是寻找可能让敏感信息被未经授权的或者意外的行动破坏的安全漏洞。从外部评估安全的目的是发现可能让内部数据受到威胁或者资源被拒绝的缺陷。SPA将使用一套由思科工程师开发的软件和一些可以从互联网上获得的工具,其中包括完全开放源码工具,经过修改的免费工具,以及专门定制的专用工具等。
在进行内部SPA时,思科工程师会以一种受控的、安全的方式模拟一个入侵者的攻击,从而人工查找缺陷,包括主机间信任关系中可能被利用的漏洞,密码缺陷,或者系统的管理员访问权限。这些顾问将模拟一个心怀不满的员工、耍赖的承包商或者其他拥有信任关系的内部用户对网络进行的攻击。在外部SPA期间,思科工程师将会模拟试图攻击周边设备和互联网安全控制的恶意攻击者的典型攻击活动。这可能包括对一个机构的电话号码的“War-dialing”分析。这往往会提供通过未知的或者不安全的远程接入服务器轻松进入网络的后门。高级服务团队也会为无线网络提供类似的服务。
在评估完成之后,思科ASNS团队将编写一份报告。除了一些技术细节以外,该报告将按照重要性说明安全漏洞,并就如何提高网络的安全性提出一些建议。在大多数情况下,这些建议集中于技术和策略,有时甚至涉及到新的网络设计方案。在任何情况下,思科高级服务部门都可以在整个企业中设计和部署深度防御安全。
IT管理和交流
安全保护还需要IT管理。企业发现,他们不仅要从水平方向上考虑安全——从桌面到网络核心,还要从垂直方向上考虑——从首席技术官或者董事会到防火墙的策略部署,技术战略和公司业务已经互为影响,包括需要采用的流程。
来自Infonetics的Wilson也赞同这种观点:“当企业希望变得更加安全时,他们必须评估安全策略对业务运营的影响。一个限制连接能力——例如要求使用太过冗长和复杂,以至于人们无法记住的密码——的安全策略将会限制生产率,因而无法持久。企业对于安全的需求绝不会超过他们对于提高生产率和连接能力的需求。连接能力总是比安全性更加重要。”
事实证明,防御攻击的最有效手段之一就是在企业和政府之间进行开放的交流和合作。作为一种防御网络攻击的武器,交流具有非常重要的意义。2003年12月,美国国土安全部部长Tom Ridge敦促技术公司共享信息,以防止网络受到恐怖分子的袭击。
归根结底,思科安全方法的目的并不是保护系统本身,而是保护用户的生产率——他们开展工作的能力。在安全领域,没有万无一失的方法。新技术——例如思科NAC和思科信任代理——都非常强大,但是仍然只能作为一个全面的解决方案的组成部分。一个有效的安全战略不仅需要先进的技术,还需要关注与业务流程和步骤有关的管理问题。
通过思科安全状况评估发现的趋势
企业在针对它们已经遭遇过的威胁采取预防措施方面行动缓慢,尽管目前已经有很多技术可供采用。例如,在二十年前的电影“War Games”中,一个十几岁的黑客就利用一个未经身份认证的拨号调制解调器发起了攻击。然而,思科高级网络安全服务团队现在仍然经常会在很多大型企业网络中看到同样未受保护的调制解调器。下面列出了思科团队在过去几个月中发现的其他一些关键趋势。
1、面临安全威胁的主机不断增多
蠕虫活动的日益频繁,下一代蠕虫的行为将会像是小型的自动黑客。
2、传播代码与漏洞关系密切
目前已经出现了两个代码开发工具。一个采用的自我传播代码的开发与用作矢量的代码相独立。另一个工具则将传播和漏洞被捆绑到了一起。
3、在新的地方寻找漏洞
在20世纪90年代中后期,黑客主要关注NetBIOS。在2002年初,他们将目光转向了Microsoft Internet Information Services (IIS),随后很快又转向Microsoft SQL Server。最新的关注焦点是底层通信协议,例如分布式组件对象模型(DCOM)和远程程序调用(RPC)。黑客正在从在特定应用中寻找缺陷发展到在底层软件基础设施中查找漏洞。
4、不安全的密码
思科高级服务团队通常可以破解大部分机构70%到85%的密码,这通常是因为在密码策略的制定和执行上出了问题。
5、UNIX系统中的明码协议
很多使用Telnet和远程Shell(RSH)的企业仍然完全用明码发送密码和用户名。企业应当立即采用更加安全的协议,例如Secure Shell(SSH)和IP安全(IPSec)。思科路由器可以支持这两种协议。
6、不安全的无线网络
无线安全技术非常便于使用。企业应当利用可扩展身份验证协议-思科无线(思科LEAP),以及Cisco Aironet产品线中的后台身份验证服务器。
7、更多的流量通过80端口传输
现在,因为大量的数据通过80端口传输,关闭80端口显然不可行,现在检测攻击信息变得更加困难,因为它们往往被打包在常用的Web协议中。