頻道欄目
首頁 > 資訊 > 系統安全 > 正文

應如何對策?對隱藏在內部網絡的合法攻擊者

04-10-01        來源:[db:作者]  
收藏   我要投稿

作者:沈建苗


在當今的網絡互聯時代,不少公司和解決方案提供商對確保數據安全性所采取的方法已經落后。我們通常講的采用防火墻和VPN技術并不能徹底消除安全隱患,尤其是對隱藏在內部網絡的合法攻擊者,公司應采取何種對策呢?

  80/20困境

  為確保唯有授權者和特許用戶才能訪問和交換干凈的數據,許多公司部署了防火墻、入侵檢測方案和防病毒軟件。但是調查表明,只有20%的數據破壞是由公司外部人所為。這等于說即便充分利用現有技術也只能解決五分之一的安全問題。這些解決方案并不能消除來自內部授權用戶的安全隱患。

  入侵檢測軟件包對于來自內部的入侵內部行無法向管理員做出報告,更讓人擔憂的是,無法調查內部員工在造成的破壞程度。

  為克服這個難題,許多組織利用基于查詢的內部分析工具來加強內部安全,發現未授權的活動。基于查詢的分析工具雖然為發現安全漏洞或濫用網絡權限提供了有效方法,但最多也只能算是被動的補救辦法,即使最警惕的基于查詢的分析通常也要晚一個小時。

  控制關鍵的80%

  要控制關鍵的80%的安全漏洞,關鍵在于解答四個根本問題:1.發生了什么?2.發生的具體時間?3.誰在搞破壞?我們應采取什么措施?

  基于查詢的分析工具只能解答頭一個問題。在反復比較以前的報告時,它會準確無誤地把重要網絡參數的變更記入日志。但這種工具只能檢查網絡的目前狀態,沒法記下誰在破壞、破壞情況及其影響。如果沒有這部分極重要的信息及實時跟蹤功能,內部安全仍將停留于被動狀態。唯有積極主動的安全政策管理才能真正有效地控制難以制服的80%。

  積極主動的安全政策管理把入侵檢測概念提升到了更有效、更合理的入侵者檢測(甚至是內部入侵者)層面。內部安全漏洞在于人,而不是技術。因此,應重點由發現問題并填補漏洞迅速轉向查出誰是破壞者、采取彌補措施并消除事件再發的可能性。如果不知道破壞者是誰,就無法解決問題。

  三類內部安全危害

  內部安全危害分為三大類:操作失誤、存心搗亂及用戶無知。操作失誤包括用戶不經意獲得了不應該擁有的權限,雖然自己沒有惡意,但這些新授權的用戶無意中會給數據和系統帶來嚴重破壞。正確的措施就是取消過高的權限。但基于查詢的分析卻無法顯示,誰擁有引發問題的權限,也無法顯示是誰授予了這些權限。

  以在值員工和已辭職員工的蓄意破壞為例,可能存在的企業內部安全漏洞包括:滿腹牢騷的員工離開公司后設立特洛伊木馬以獲得訪問權,在職員工被解雇或工作變動前造成嚴重破壞等;對用戶和用戶組權限管理不善,會常常導致員工離開后很長時間仍能訪問極重要的公司系統,對這種惡意事件,正確措施包括取消權限、消除搗亂的機會、通知管理員,若有必要,收集證據把非法活動記錄在案。傳統的安全措施如入侵檢測和基于查詢的分析無法顯示這類活動的作惡者。對高度重視存儲空間和工作效率的公司來說,由于員工無知引起的安全漏洞會造成極大的代價。如員工下載大量MP3和圖像文件而使服務器不堪重負,負荷過重會危及整個網絡的性能。合理的安全政策響應機制包括教育用戶、刪除違反政策的文件及通知管理員和管理部門。基于查詢的分析就無法采取這些行動。

  公司利用包括實時事件跟蹤和自動執行政策的積極主動的安全政策管理工具,就能夠成功瓦解違反內部安全政策的每次破壞。不管居心不良還是破壞危害極大,由具有實時執行功能的實時審查工具跟蹤的合理政策幾乎能夠消除所有重大安全漏洞。這種工具可以揭示誰破壞了安全、破壞情況及何時發生,但也許更重要的是,它能采取自愈行動,使系統回到攻擊前的狀態。

  用好安全管理工具

  真正的安全政策管理的最佳工具應包括實時審查目錄和服務器的功能具體包括:不斷地自動監視目錄,檢查用戶權限和用戶組賬戶有無變更;警惕地監視服務器,檢查有無可疑的文件活動。無論未授權用戶企圖訪問個人文件還是工作厭煩的員工下載MP3文件,真正的安全政策管理工具會通知相應管理員,并自動采取預定行動。

  有了這種實時跟蹤、通知及修復功能,內部安全破壞的危害會變得極容易控制,所需的管理時間也較少。然而,倘若已辭職員工通過特洛伊木馬開始訪問重要數據,這種工具會同時通知管理員、全面地審查跟蹤活動、消除后門,把所有受影響的數據恢復到破壞前的狀態。

  遵守規則的唯一方式

  目前,許多國家實施了數據安全立法。例如,美國的醫療信息便攜性和責任法(HIPAA)新規定的安全要求對公司對待數據安全的方式產生重要影響。HIPAA包括嚴格確定的一系列需求的安全措施。首先就是要求審查跟蹤。當然,僅僅知道事件并不能給予你所需的安全組織一定要跟蹤誰是破壞者、發生時間及什么影響。明智的公司要求有一種全面、迅即的方式修復破壞。如果你想提供所有這些好處,唯一的選擇就是使用安全政策管理工具。

  --------------------------------------------------------------------------------

  80/20法則告訴我們什么

  在網絡安全行業內流行著這樣一條80/20法則:80%的安全威脅來自網絡內部。也就是說,黑客再狡猾、再危險,但真正的“敵人”還是隱藏在內部的。所以,要想保證網絡的安全,在做好邊界防護的同時,更要做好內部網絡的管理。所以,目前有關安全的觀點是:安全的最高境界不是產品,也不是服務,而是管理。沒有好的管理思想,嚴格的管理制度,負責的管理人員,和實施到位的管理程序,就沒有真正的安全。

 

 

相關TAG標簽
上一篇:臺積電:絕大多數7nm客戶都會轉向6nm_IT新聞_博客園
下一篇:最后一頁
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

免费的黄色网站