网络对于我们越来越重要,从而网络安全更是网络的保障。网络给我们带来的不仅是大量的信息和便利的生活,也带来了诸多的网络安全问题。以前的网络入侵的个人或组织目的性不甚明确,且大多出于好奇、出风头的目的。而现在更多的则是有组织、有预谋、有利益驱使的犯罪。
另外,用户一般都会认为只要单纯安装一些网络防御产品就可以将网络入侵拒之门外。殊不知,这些还不足以搭建起一个完整的网络整体防御体系,还需要通过网络安全管理整体解决方案,并结合不同的网络防御技术和产品,才能达到在整体上维护网络和信息系统安全的目的。
一、利益性攻击及特定目标攻击的流派与防范策略
通常所说的网络蠕虫、网络钓鱼、僵尸网络等等入侵的表现形式以及被人们所熟知的攻击手段我们在这里避开不谈,因为大部分的攻击方式已经可以使用现有的网络安全设备很好的进行防范。我们以下所要分析的攻击手段只针对于利益攻击,并且这些攻击方式在现阶段的网络安全中很难发现与防范。
0day与注入流派:0day的攻击者代表了网络技术性攻击的最高水平,因为他们使用的是未知漏洞攻击信息系统或网络设备,所以攻击的成功率最高,被安全设备检测到的可能性最低(因为没有这种攻击手段的特征)。而注入则是因为web服务被广泛应用以及防火墙针对其他端口的过滤而诞生的比较畸形的攻击手段,利用服务器web脚本编码的不规范导致可以完全控制网络服务器。这两种攻击方式因为都是利用未知的漏洞,所以我们通常把他们合并在一起。
例1:某组织研究出windows远程漏洞,该组织利用此漏洞攻击网络系统并成功获取资料。
例2:Microsoft在每周二公布安全补丁(patch),但是由于时差的关系国内更新补丁的时间要迟8个小时左右,很多的攻击团队会在微软公布补丁的同时研究补丁,获得相应的漏洞并编写利用程序(expolit),利用时差对没有打补丁的特定服务器进行攻击,并获取资料。
解决方案:针对于这种攻击我们能给出的最佳防范手段是防火墙严格限制无用端口屏蔽,并对开放的端口所应用服务权限进行最小化限制。对于补丁分发依靠安全公司的即时通告,在测试后立即加固系统。对于注入攻击,对web脚本编码进行严格的规范,如有条件则进行代码审核。在web服务运行时让此服务包括数据库用户的权限最小化。
社会工程学流派:此流派的创始人是凯文米特尼克,他是美国20世纪最著名的cracker之一,《战争游戏》这部电影是以他为原型,演绎了一个少年攻破了北美空防指挥部,几乎引发了第三次世界大战。这种攻击方式是专门针对物理隔离的网络及重要信息系统。
例1:某企业网络是物理隔离,某攻击者为了能进入该网络内部,以求职的或买通网络管理人员等方式混入企业内部,通过终端上接如wifi、拨号、vpn等手段,让物理隔离的网络与互联网进行联系,从而让攻击团队的其他人通过远程攻击获取相应资料。
例2:搭线与翻垃圾箱,前边的一种社工技术是确定物理隔离的企业网线或光纤埋放地点,通过搭线的方式远程入侵信息系统,后边则是通过翻找公司垃圾的方式查找纸质文件,为了获得一个登陆密码或者vpn帐号。
例3:通过电话等手段获取公司员工邮件列表,给所有的员工群发包含跨站的木马的邮件,窃取登陆帐号。
解决方案:社会工程学的入侵变化多样,难以防范。只有在安全运维、安全管理制度上多下功夫才可能避免。比如对服务器的所有操作实行双人制,一人操作一人负责记录。对于报废资料进行粉碎销毁处理等。
这些以技术为核心,以赢利为目的针对特定目标发起的社会工程攻击让我们心惊胆战。
二、网络安全技术发展趋势
1.防火墙技术发展趋势
防火墙作为简单的第二到第四层的防护,主要针对像IP、端口等静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。
通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从而显著降低误报率。
一体化统一管理,使用户能够有效地对信息产品进行管控。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络安全。
2.入侵检测技术发展趋势
入侵检测技术将从简单的事件报警逐步向趋势预测和深入的行为分析方向过渡。IMS(Intrusion Management System,入侵管理系统)具有大规模部署、入侵预警、精确定位以及监管结合四大典型特征,将逐步成为安全检测技术的发展方向。
IMS体系的一个核心技术就是对漏洞生命周期和机理的研究,这将是决定IMS能否实现大规模应用的一个前提条件。从理论上说,在配合安全域良好划分和规模化部署的条件下,IMS将可以实现快速的入侵检测和预警,进行精确定位和快速响应,从而建立起完整的安全监管体系,实现更快、更准、更全面的安全检测和事件预防。
3.防病毒技术发展趋势
防病毒技术从特征比对,虚拟机技术向静态反汇编级的关键钩子特征比对技术发展。这种技术目前来说只存在于实验室当中,因为硬件条件的限制,kvp等厂商应用的虚拟机技术由于使系统运行速度变慢遭到很多国内外用户的排斥,而反汇编级的特征对比技术需要大量的系统运算作为基础,所以未来的硬件发展是防病毒技术发展的关键。
安全技术和安全管理不可分割,它们必须同步推进。因为即便有了好的安全设备和系统,如果没有好的安全管理方法并贯彻实施,那么安全也是空谈。安全管理的目的在于两点:一是最大程度地保护网络,使其安全地运行;二是一旦发生攻击时可以准确的分析定位。
结论
网络安全攻击与防范的研究,是目前国际上十分活跃的一个研究领域。通过国内国际安全研究机构及安全厂商的不懈努力来提高国家、大型企业对网络安全危机事件的应对能力。国内网络安全的研究,是在长期借鉴国外已有先进经验和自我实践的过程中逐渐形成的,依靠大家的共同努力进一步的完善过程中。
【编辑推荐】
