|
在GARTNER的安全和風(fēng)險(xiǎn)管理峰會(huì)上�����,研究人員指出,現(xiàn)代企業(yè)日益依賴(lài)互聯(lián)網(wǎng)來(lái)實(shí)現(xiàn)其日常業(yè)務(wù)�����,而互聯(lián)網(wǎng)的脆弱的基礎(chǔ)架構(gòu)卻往往會(huì)使企業(yè)面臨潛在的攻擊��。
互聯(lián)網(wǎng)的基礎(chǔ)架構(gòu)����,如BGP、DNS����、SSL等,其設(shè)計(jì)目的都是保障通信的正常進(jìn)行�����,但此基礎(chǔ)架構(gòu)并非總是完全可信的����。我們?nèi)钥梢钥吹揭恍┲卮蟮膯?wèn)題需要解決。
Gartner的研究人員John Pescatore指出有四大主要的攻擊可以利用互聯(lián)網(wǎng)的基礎(chǔ)架構(gòu):DoS和DDoS�����、證書(shū)授權(quán)損害和欺詐、 域名服務(wù)攻擊�����、4G LTE���。Gartner的研究人員Orans指出���,互聯(lián)網(wǎng)從整體上說(shuō)是穩(wěn)定的。但是如果你從其組成部分的層次上來(lái)看����,就會(huì)發(fā)現(xiàn)存在一些不穩(wěn)定和不可靠的問(wèn)題。
下面就是Gartner的研究人員所發(fā)現(xiàn)的四大主要的基礎(chǔ)架構(gòu)攻擊��,以及對(duì)付這些攻擊的主要策略��。
1�、拒絕服務(wù)和分布式拒絕服務(wù)攻擊(即DoS和DDoS)
根據(jù)Arbor Networks的消息���,這兩種攻擊絕對(duì)不會(huì)絕跡�����,而且至少有一半的ISP每月遭受一到十次的這種攻擊��,而且用免費(fèi)工具(如Low Orbit Ion Cannon(LOIC))這種廣受攻擊者歡迎的匿名DDoS武器�����,就可以更容易地發(fā)動(dòng)攻擊�����。Orans說(shuō)��,黑客主義是一個(gè)問(wèn)題:如果某人不喜歡你的企業(yè)��,他就可以對(duì)你發(fā)動(dòng)攻擊���,且犯罪份子的攻擊也是一個(gè)問(wèn)題����。
Neustar的副總裁和高級(jí)技術(shù)專(zhuān)家Rodney Joffe在Gartner會(huì)議期間展示了一段視頻����,展示了犯罪者的攻擊往往用于掩飾更為陰險(xiǎn)的目標(biāo)攻擊��。犯罪者越來(lái)越擅長(zhǎng)于隱藏其操作�����,他們隱藏得越好�,安全人員就越難以過(guò)濾和防御這種攻擊���。
Joffe說(shuō)����,這種攻擊的偽裝性越來(lái)越好�,企業(yè)應(yīng)當(dāng)部署B(yǎng)CP 38(網(wǎng)絡(luò)入口過(guò)濾),以應(yīng)對(duì)源地址欺詐�����。在對(duì)付DDoS的過(guò)程中�,這會(huì)帶來(lái)顯著的差異。
Gartner對(duì)遏止DDoS攻擊的建議:首先��,評(píng)估喪失企業(yè)的Web給企業(yè)帶來(lái)的經(jīng)濟(jì)影響�����,并提供在遭受攻擊后的事件響應(yīng)計(jì)劃�����。Orans說(shuō)���,企業(yè)的計(jì)劃應(yīng)當(dāng)以業(yè)務(wù)的連續(xù)性和災(zāi)難恢復(fù)策略為重點(diǎn)����。
其次���,考慮減輕DDoS攻擊的服務(wù)�。最廉價(jià)的方法是一種“管道清潔”服務(wù)�����,其成本超過(guò)帶寬服務(wù)價(jià)格的10%到15%�。ISP可以檢測(cè)并減輕DDoS攻擊,因而犯罪者就無(wú)法完全占有你的信息通道��,Oran說(shuō)��,這是一個(gè)富有成本效益的好方法�。
Orans說(shuō)���,一種更凈化型的版本是“凈化型”服務(wù),即你在遭受攻擊時(shí)�����,你可以將通信發(fā)送給一個(gè)供應(yīng)商��。這些供應(yīng)商可以充當(dāng)一個(gè)中間人����,并對(duì)通信進(jìn)行“凈化”,取出DDoS通信����,僅將善意通信發(fā)送給你。這種服務(wù)的每個(gè)站點(diǎn)的收費(fèi)標(biāo)準(zhǔn)為10000美元��,當(dāng)然�����,你也可以根據(jù)帶寬來(lái)付費(fèi)�。另外一種服務(wù)是DDoS設(shè)備,它位于DMZ中,并可以檢測(cè)DDoS通信��,進(jìn)而改變其方向�。
2����、證書(shū)授權(quán)
數(shù)字證書(shū)遭到損害和攻擊的事實(shí)迫使許多專(zhuān)家尋求一種驗(yàn)證網(wǎng)站或軟件的新方法。Pescatore說(shuō)�����,真正的問(wèn)題是這個(gè)注冊(cè)過(guò)程��。數(shù)字證書(shū)只能如同其注冊(cè)過(guò)程一樣強(qiáng)�。好荑的交換并不自動(dòng)等同于認(rèn)證。
SSL的發(fā)明者Taher Elgamal在Gartner的峰會(huì)上展示了一段視頻消息����,他說(shuō),這純粹是一個(gè)過(guò)程問(wèn)題而不是一個(gè)技術(shù)問(wèn)題�����。在過(guò)去的幾年中��,在證書(shū)授權(quán)遭到破壞后,就會(huì)出事���,此時(shí)的用戶(hù)仍擁有證書(shū)授權(quán)�,但他們并沒(méi)有占有其名字����。此時(shí),可信性已經(jīng)無(wú)從談起
如何減輕證書(shū)授權(quán)的這種威脅����?Gartner建議使用證書(shū)管理工具和強(qiáng)化的瀏覽器。Pescatore說(shuō)����,第一個(gè)問(wèn)題是找到你在哪里使用證書(shū),并知道自己是否有需要撤銷(xiāo)的證書(shū)��。在一個(gè)典型的公司中����,有大量的SSL證書(shū)。證書(shū)管理工具可以幫助你找出這些證書(shū)��。
另一個(gè)選擇強(qiáng)化用于敏感操作(如網(wǎng)絡(luò)銀行或b2b的交易等)的瀏覽器����。一定要教育雇員�,讓其知道SSL的局限性��,SSL會(huì)話并不能保證網(wǎng)站自身的真實(shí)性��。
如果證書(shū)授權(quán)遭到破壞怎么辦�?Pescatore說(shuō)�,準(zhǔn)備一個(gè)事件響應(yīng)計(jì)劃。要想防御這些威脅��,現(xiàn)在需要大量的DIY工作�����,直至業(yè)界的努力(例如���,DANE�,即可以驗(yàn)證用戶(hù)或證書(shū)的DNS)得以部署完成���。
Pescatore說(shuō)�,我認(rèn)為我們所看到的事件僅僅是一個(gè)開(kāi)始���,部署某些減輕措施的時(shí)候已經(jīng)到了�。在你正在允許移動(dòng)設(shè)備在公司使用的時(shí)候,就應(yīng)當(dāng)與移動(dòng)設(shè)備的管理廠商進(jìn)行協(xié)商�����,研究解決SSL弱點(diǎn)的解決方案�。
3、域名服務(wù)
互聯(lián)網(wǎng)名稱(chēng)服務(wù)器的漏洞(從高速緩存投毒威脅到針對(duì)DNS根服務(wù)器的分布式拒絕服務(wù)攻擊)一直受到關(guān)注����。雖然這些攻擊相對(duì)較少,但企業(yè)需要采取措施確保其DNS服務(wù)器受到保護(hù)�����。Paul Mockapetris是Nominum的首席科學(xué)家和DNS的發(fā)明人���,他說(shuō)多數(shù)DNS攻擊都是針對(duì)老版軟件實(shí)施的�����。因而���,更新DNS軟件是第一道防線���,用戶(hù)應(yīng)該檢查其配置確保其不受損害。
DNSSEC能夠?qū)τ蜻M(jìn)行數(shù)字簽名�,以確保其合法性,所以服務(wù)供應(yīng)商應(yīng)當(dāng)部署此安全認(rèn)證機(jī)制��。Orans說(shuō)DNSSEC可以進(jìn)入企業(yè)�����。企業(yè)可以采用其中一些相同的DDoS減輕措施來(lái)保護(hù)自己的Web服務(wù)器�。此外����,AnyCast可以將DNS通信分發(fā)給名稱(chēng)服務(wù)器,可以將DNS請(qǐng)求轉(zhuǎn)發(fā)給最近的節(jié)點(diǎn)或名稱(chēng)服務(wù)器�����。而AnyCast是一個(gè)可管理DNS服務(wù)的核心組件����,它可以減輕DNS 遭受DDoS攻擊的影響。Orans說(shuō)�����,我們不太容易減輕高速緩存投毒或DNS欺騙的威脅,除非遭受了廣受關(guān)注的高速緩存投毒攻擊���,否則��,任何措施都幾乎無(wú)濟(jì)于事�����。
4�、4G LTE
Pescatore說(shuō)�,無(wú)線網(wǎng)絡(luò)的發(fā)展帶來(lái)了更多的設(shè)備,也帶來(lái)了數(shù)據(jù)����、系統(tǒng)、網(wǎng)絡(luò)等被暴露的更多機(jī)會(huì)�����。從3G無(wú)線技術(shù)到更快速的4G 的轉(zhuǎn)換將會(huì)為更多漏洞打開(kāi)大門(mén)���。這種“混合環(huán)境”將會(huì)成為攻擊目標(biāo)�。而用于無(wú)線網(wǎng)絡(luò)的升級(jí)、更新只能達(dá)到和無(wú)線環(huán)境自身一樣的安全性���。僵尸網(wǎng)絡(luò)的操縱者也會(huì)控制無(wú)線的僵尸系統(tǒng)��。
Gartner的研究人員建議����,未來(lái)三年���,對(duì)于運(yùn)行在無(wú)線設(shè)備上的任何敏感應(yīng)用�,都要使用虛擬私有網(wǎng)絡(luò)(VPN)或應(yīng)用層安全���。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)���!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商����!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
