在GARTNER的安全和風(fēng)險(xiǎn)管理峰會(huì)上,研究人員指出,現(xiàn)代企業(yè)日益依賴(lài)互聯(lián)網(wǎng)來(lái)實(shí)現(xiàn)其日常業(yè)務(wù),而互聯(lián)網(wǎng)的脆弱的基礎(chǔ)架構(gòu)卻往往會(huì)使企業(yè)面臨潛在的攻擊。
互聯(lián)網(wǎng)的基礎(chǔ)架構(gòu),如BGP、DNS、SSL等,其設(shè)計(jì)目的都是保障通信的正常進(jìn)行,但此基礎(chǔ)架構(gòu)并非總是完全可信的。我們?nèi)钥梢钥吹揭恍┲卮蟮膯?wèn)題需要解決。
Gartner的研究人員John Pescatore指出有四大主要的攻擊可以利用互聯(lián)網(wǎng)的基礎(chǔ)架構(gòu):DoS和DDoS、證書(shū)授權(quán)損害和欺詐、 域名服務(wù)攻擊、4G LTE。Gartner的研究人員Orans指出,互聯(lián)網(wǎng)從整體上說(shuō)是穩(wěn)定的。但是如果你從其組成部分的層次上來(lái)看,就會(huì)發(fā)現(xiàn)存在一些不穩(wěn)定和不可靠的問(wèn)題。
下面就是Gartner的研究人員所發(fā)現(xiàn)的四大主要的基礎(chǔ)架構(gòu)攻擊,以及對(duì)付這些攻擊的主要策略。
1、拒絕服務(wù)和分布式拒絕服務(wù)攻擊(即DoS和DDoS)
根據(jù)Arbor Networks的消息,這兩種攻擊絕對(duì)不會(huì)絕跡,而且至少有一半的ISP每月遭受一到十次的這種攻擊,而且用免費(fèi)工具(如Low Orbit Ion Cannon(LOIC))這種廣受攻擊者歡迎的匿名DDoS武器,就可以更容易地發(fā)動(dòng)攻擊。Orans說(shuō),黑客主義是一個(gè)問(wèn)題:如果某人不喜歡你的企業(yè),他就可以對(duì)你發(fā)動(dòng)攻擊,且犯罪份子的攻擊也是一個(gè)問(wèn)題。
Neustar的副總裁和高級(jí)技術(shù)專(zhuān)家Rodney Joffe在Gartner會(huì)議期間展示了一段視頻,展示了犯罪者的攻擊往往用于掩飾更為陰險(xiǎn)的目標(biāo)攻擊。犯罪者越來(lái)越擅長(zhǎng)于隱藏其操作,他們隱藏得越好,安全人員就越難以過(guò)濾和防御這種攻擊。
Joffe說(shuō),這種攻擊的偽裝性越來(lái)越好,企業(yè)應(yīng)當(dāng)部署B(yǎng)CP 38(網(wǎng)絡(luò)入口過(guò)濾),以應(yīng)對(duì)源地址欺詐。在對(duì)付DDoS的過(guò)程中,這會(huì)帶來(lái)顯著的差異。
Gartner對(duì)遏止DDoS攻擊的建議:首先,評(píng)估喪失企業(yè)的Web給企業(yè)帶來(lái)的經(jīng)濟(jì)影響,并提供在遭受攻擊后的事件響應(yīng)計(jì)劃。Orans說(shuō),企業(yè)的計(jì)劃應(yīng)當(dāng)以業(yè)務(wù)的連續(xù)性和災(zāi)難恢復(fù)策略為重點(diǎn)。
其次,考慮減輕DDoS攻擊的服務(wù)。最廉價(jià)的方法是一種“管道清潔”服務(wù),其成本超過(guò)帶寬服務(wù)價(jià)格的10%到15%。ISP可以檢測(cè)并減輕DDoS攻擊,因而犯罪者就無(wú)法完全占有你的信息通道,Oran說(shuō),這是一個(gè)富有成本效益的好方法。
Orans說(shuō),一種更凈化型的版本是“凈化型”服務(wù),即你在遭受攻擊時(shí),你可以將通信發(fā)送給一個(gè)供應(yīng)商。這些供應(yīng)商可以充當(dāng)一個(gè)中間人,并對(duì)通信進(jìn)行“凈化”,取出DDoS通信,僅將善意通信發(fā)送給你。這種服務(wù)的每個(gè)站點(diǎn)的收費(fèi)標(biāo)準(zhǔn)為10000美元,當(dāng)然,你也可以根據(jù)帶寬來(lái)付費(fèi)。另外一種服務(wù)是DDoS設(shè)備,它位于DMZ中,并可以檢測(cè)DDoS通信,進(jìn)而改變其方向。
2、證書(shū)授權(quán)
數(shù)字證書(shū)遭到損害和攻擊的事實(shí)迫使許多專(zhuān)家尋求一種驗(yàn)證網(wǎng)站或軟件的新方法。Pescatore說(shuō),真正的問(wèn)題是這個(gè)注冊(cè)過(guò)程。數(shù)字證書(shū)只能如同其注冊(cè)過(guò)程一樣強(qiáng)健:密鑰的交換并不自動(dòng)等同于認(rèn)證。
SSL的發(fā)明者Taher Elgamal在Gartner的峰會(huì)上展示了一段視頻消息,他說(shuō),這純粹是一個(gè)過(guò)程問(wèn)題而不是一個(gè)技術(shù)問(wèn)題。在過(guò)去的幾年中,在證書(shū)授權(quán)遭到破壞后,就會(huì)出事,此時(shí)的用戶(hù)仍擁有證書(shū)授權(quán),但他們并沒(méi)有占有其名字。此時(shí),可信性已經(jīng)無(wú)從談起
如何減輕證書(shū)授權(quán)的這種威脅?Gartner建議使用證書(shū)管理工具和強(qiáng)化的瀏覽器。Pescatore說(shuō),第一個(gè)問(wèn)題是找到你在哪里使用證書(shū),并知道自己是否有需要撤銷(xiāo)的證書(shū)。在一個(gè)典型的公司中,有大量的SSL證書(shū)。證書(shū)管理工具可以幫助你找出這些證書(shū)。
另一個(gè)選擇強(qiáng)化用于敏感操作(如網(wǎng)絡(luò)銀行或b2b的交易等)的瀏覽器。一定要教育雇員,讓其知道SSL的局限性,SSL會(huì)話(huà)并不能保證網(wǎng)站自身的真實(shí)性。
如果證書(shū)授權(quán)遭到破壞怎么辦?Pescatore說(shuō),準(zhǔn)備一個(gè)事件響應(yīng)計(jì)劃。要想防御這些威脅,現(xiàn)在需要大量的DIY工作,直至業(yè)界的努力(例如,DANE,即可以驗(yàn)證用戶(hù)或證書(shū)的DNS)得以部署完成。
Pescatore說(shuō),我認(rèn)為我們所看到的事件僅僅是一個(gè)開(kāi)始,部署某些減輕措施的時(shí)候已經(jīng)到了。在你正在允許移動(dòng)設(shè)備在公司使用的時(shí)候,就應(yīng)當(dāng)與移動(dòng)設(shè)備的管理廠(chǎng)商進(jìn)行協(xié)商,研究解決SSL弱點(diǎn)的解決方案。
3、域名服務(wù)
互聯(lián)網(wǎng)名稱(chēng)服務(wù)器的漏洞(從高速緩存投毒威脅到針對(duì)DNS根服務(wù)器的分布式拒絕服務(wù)攻擊)一直受到關(guān)注。雖然這些攻擊相對(duì)較少,但企業(yè)需要采取措施確保其DNS服務(wù)器受到保護(hù)。Paul Mockapetris是Nominum的首席科學(xué)家和DNS的發(fā)明人,他說(shuō)多數(shù)DNS攻擊都是針對(duì)老版軟件實(shí)施的。因而,更新DNS軟件是第一道防線(xiàn),用戶(hù)應(yīng)該檢查其配置確保其不受損害。
DNSSEC能夠?qū)τ蜻M(jìn)行數(shù)字簽名,以確保其合法性,所以服務(wù)供應(yīng)商應(yīng)當(dāng)部署此安全認(rèn)證機(jī)制。Orans說(shuō)DNSSEC可以進(jìn)入企業(yè)。企業(yè)可以采用其中一些相同的DDoS減輕措施來(lái)保護(hù)自己的Web服務(wù)器。此外,AnyCast可以將DNS通信分發(fā)給名稱(chēng)服務(wù)器,可以將DNS請(qǐng)求轉(zhuǎn)發(fā)給最近的節(jié)點(diǎn)或名稱(chēng)服務(wù)器。而AnyCast是一個(gè)可管理DNS服務(wù)的核心組件,它可以減輕DNS 遭受DDoS攻擊的影響。Orans說(shuō),我們不太容易減輕高速緩存投毒或DNS欺騙的威脅,除非遭受了廣受關(guān)注的高速緩存投毒攻擊,否則,任何措施都幾乎無(wú)濟(jì)于事。
4、4G LTE
Pescatore說(shuō),無(wú)線(xiàn)網(wǎng)絡(luò)的發(fā)展帶來(lái)了更多的設(shè)備,也帶來(lái)了數(shù)據(jù)、系統(tǒng)、網(wǎng)絡(luò)等被暴露的更多機(jī)會(huì)。從3G無(wú)線(xiàn)技術(shù)到更快速的4G 的轉(zhuǎn)換將會(huì)為更多漏洞打開(kāi)大門(mén)。這種“混合環(huán)境”將會(huì)成為攻擊目標(biāo)。而用于無(wú)線(xiàn)網(wǎng)絡(luò)的升級(jí)、更新只能達(dá)到和無(wú)線(xiàn)環(huán)境自身一樣的安全性。僵尸網(wǎng)絡(luò)的操縱者也會(huì)控制無(wú)線(xiàn)的僵尸系統(tǒng)。
Gartner的研究人員建議,未來(lái)三年,對(duì)于運(yùn)行在無(wú)線(xiàn)設(shè)備上的任何敏感應(yīng)用,都要使用虛擬私有網(wǎng)絡(luò)(VPN)或應(yīng)用層安全。 本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|