【正文】 2% 圖： CSO 的 SecuritySensor VIII 間諜軟件抽樣結(jié)果（ 2020/12） 隨著攻擊和威脅的級別和強(qiáng)度的增加， IT 專業(yè)人員必須掌握新的安全威脅，并添置新的探測和安全設(shè)備或重新設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，以減少系統(tǒng)漏洞。但是情況在迅速改變，那些傳統(tǒng)的單點(diǎn)防御安全設(shè)備作用越來越小，已經(jīng)不再勝任。 圖 ： 使用平均“存活時間”來跟蹤攻擊之間的間隔 （平均每隔 18 分鐘就會有一次攻擊被報(bào)告）。 傳統(tǒng)的防火墻系統(tǒng) 上海軟盛信息技術(shù)有限公司 Tel： 02152916000 上海市中山北路 2020 號中星經(jīng)貿(mào)大廈 19 樓 Fax： 02152949018 狀態(tài)檢測防火墻原本是設(shè)計(jì)成一個可信任企業(yè)網(wǎng)絡(luò)和不可信任的公共網(wǎng)絡(luò)之間的安全隔離設(shè)備，用以保證企業(yè)的互聯(lián)網(wǎng)安全。通過檢查數(shù)據(jù)包頭，狀態(tài)檢測防火墻分析和監(jiān)視網(wǎng)絡(luò)層（ L3）和協(xié)議層（ L4），基于一套用戶自定義的防火墻策略來允許、拒絕或轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量。這些方法包括： ? 利用端口掃描器的探測可以發(fā)現(xiàn)防火墻開放的端口。如 MSN、 等 IM（即時通信）工具均可通過 80 端口通信， BT、電驢、 Skype 等 P2P 軟件的通信端口是隨機(jī)變化的，使得傳統(tǒng)防火墻的端口過濾功能對他們無能為力。 SoftEther 可以很輕易的穿越傳統(tǒng)防火墻 ? PC 上感染的木馬程序可以從防 火墻的可信任網(wǎng)絡(luò)發(fā)起攻擊。當(dāng)前流行的從可信任網(wǎng)絡(luò)發(fā)起攻擊應(yīng)用程序包括后門、木馬、鍵盤記錄工具等，它們產(chǎn)生非授權(quán)訪問或?qū)⑺矫苄畔l(fā)送給攻擊者。病毒、蠕蟲、木馬和其它惡意應(yīng)用程序能未經(jīng)檢查而通過。 ? 使用筆記本電腦、 PDA 和便攜郵件設(shè)備的移動用戶會在他們離開辦公室的 時候被感染，并將威脅帶回公司網(wǎng)絡(luò)。 圖：被通過知名端口（ 80 端口）攻擊的網(wǎng)站數(shù) 傳統(tǒng)的入侵檢測系統(tǒng)（ IDS） 正如傳統(tǒng)防火墻一樣，傳統(tǒng)的 IDS 為了對付越來越復(fù)雜的新型攻擊也發(fā)展了一些新的技術(shù)。 IDS 的弱點(diǎn)包括： ? IDS 通常放置在關(guān)鍵位置如網(wǎng)絡(luò)邊界和重要節(jié)點(diǎn)上。 ? IDS 設(shè)備能夠檢查每一個流過的數(shù)據(jù)包，但它并不是在線式（ ”inline”）設(shè)備，所以不能實(shí)時的主動阻 斷攻擊。這就使快速傳播的攻擊得以成功。 ? 對多個千兆端口的流量進(jìn)行鏡像或重定向很容易使 IDS 的性能透支，從而導(dǎo)致丟包而漏報(bào)。許多 IT 人員并沒有足夠的時間來查看 IDS 的日志，從而使可疑的流量未被發(fā)現(xiàn)而通過。 為了克服 IDS 的弱點(diǎn)，一些安全 廠商將它們被動的 IDS 技術(shù)轉(zhuǎn)變?yōu)橹鲃拥?IPS（入侵防御系統(tǒng)）。 基于主機(jī)的防病毒軟件 基于主機(jī)的防病毒軟件是部署得最廣泛的安全應(yīng)用，甚至超過了邊界防火墻。但是基于主機(jī)的防病毒軟件也有它的缺點(diǎn)，包括： ? 需要安裝、維護(hù)和保持病毒特征庫更新，這就導(dǎo)致了大量的維護(hù)開銷。 ? 用戶有時可能會有意或無意的關(guān)閉他們的單機(jī)安全應(yīng)用程序。 企業(yè)單純依靠給予主機(jī)的防病毒軟件和給操作系統(tǒng)和應(yīng)用程序打補(bǔ)丁的方法會使它們的內(nèi)部系統(tǒng)面臨很高的安全風(fēng)險(xiǎn)。而公司的 Web、 Email、電子商務(wù)、數(shù)據(jù)庫、應(yīng)用等服務(wù)器由于長時間不打補(bǔ)丁會很容易在新的攻擊方式下暴露出它們的漏洞。 上海軟盛信息技術(shù)有限公司 Tel： 02152916000 上海市中山北路 2020 號中星經(jīng)貿(mào)大廈 19 樓 Fax： 02152949018 2 深度檢測的力量 專業(yè)人士已經(jīng)意識到傳統(tǒng)的、曾紅極一時的安全工具現(xiàn)在面對新一代攻擊例如混合式攻擊、社會工程陷阱和協(xié)議受控技術(shù)時已不再有效。用于增強(qiáng)現(xiàn)有安全防御的一些新型安全策略包括： ? 設(shè)計(jì)較小的安全區(qū)域來保護(hù)關(guān)鍵系統(tǒng)。 ? 增加統(tǒng)一威脅管理（ Unified Threat Management，簡稱 UTM），結(jié)合多項(xiàng)安全技術(shù)，提供更好的管理、攻擊關(guān)聯(lián)和降低維護(hù)成本。 ? 研究有效的安全策略并培訓(xùn)用戶。一個完整有效的安全方案不僅包括最新的安全技術(shù)，而且要考慮到公司的預(yù)算、社會和文化層面的因素。不管如何試圖保持移動用戶的安全，當(dāng)他們外出離開公司網(wǎng)絡(luò)總是會遇到更大的風(fēng)險(xiǎn)。 ? 大多數(shù)公司僅僅使用基于主機(jī)的防病毒軟件來保護(hù)移動設(shè)備，單機(jī)防火墻和 IDS 在移動設(shè)備上安裝的比例很低。 ? 用戶會有意無意的關(guān)閉或修改基于主機(jī)的安全系統(tǒng)。 上海軟盛信息技術(shù)有限公司 Tel： 02152916000 上海市中山北路 2020 號中星經(jīng)貿(mào)大廈 19 樓 Fax： 02152949018 ? 員工可能會讓公司以外的人使用他們的移動設(shè)備。這些軟件常常屬于免費(fèi)軟件，可以從 Inter 上自由下載，很可能帶有木馬或者間諜軟件。 ? 移動設(shè)備被盜的概率也要高出許多。當(dāng)移動用戶回來 連接到公司網(wǎng)絡(luò)時，駐留在移動設(shè)備里的感染和攻擊就會擴(kuò)散至公司網(wǎng)絡(luò)，感染其它曾被公司安全防御正常保護(hù)的系統(tǒng)。建立安全資源的“孤島”對于規(guī)范訪問權(quán)限和抑制威脅爆發(fā)是有效的手段。 圖： CSO 的 Security Sensor VIII 對于攻擊來源的報(bào)告， 64%的安全威脅來自于企業(yè)內(nèi)部可信任用戶或合作伙伴?；诰W(wǎng)絡(luò)的安全設(shè)備在線（ ”inline”）部署，阻擋攻擊的能力要比傳統(tǒng)的依靠鏡像流量的“旁路式”安全設(shè)備強(qiáng)得多。 UTM 設(shè)備是將多種安全特性相結(jié)合的統(tǒng)一安全平臺。攻擊特征、病毒庫和探測引擎可以對單臺設(shè)備而不是上百臺主機(jī)更新。 ? 保護(hù)在基于網(wǎng)絡(luò)的安全設(shè)備后面的所有主機(jī)，因此減少了基于主機(jī)的病毒特征庫、操作系統(tǒng)補(bǔ)丁和應(yīng)用程序補(bǔ)丁升級的急迫性，使 IT 專業(yè)人員在發(fā)生問題之前有較充分的時間來測試補(bǔ)丁。 ? 在網(wǎng)絡(luò)邊界或關(guān)鍵節(jié)點(diǎn)上阻擋攻擊，在惡意流量進(jìn)入公司網(wǎng)絡(luò)之前將其攔截。 ? 可與已有的安全技術(shù)共存并互補(bǔ)。 IDC 將這類新的安全平臺命名為統(tǒng)一威脅管理（ UTM）設(shè)備，它集成了多種安全功能，以提高安全系統(tǒng)的效能。 UTM 安全系統(tǒng)的其它優(yōu)點(diǎn)包括： ? 通過為多種安全功能提供一個統(tǒng)一的管理平臺，降低了設(shè)備的復(fù)雜性，加快了安裝速度。 隨著網(wǎng)絡(luò)安全對于消費(fèi)者和商家都同樣變得越來越重要， IDC 預(yù)測， UTM 設(shè)備的銷量將在未來幾年內(nèi)超過傳統(tǒng)防火墻 /VPN 安全設(shè)備。 XX 集團(tuán)有限公司內(nèi)部網(wǎng)絡(luò)中架構(gòu)內(nèi)部辦公系統(tǒng)、銷售系統(tǒng)和數(shù)據(jù)庫服務(wù)器 ,整個集團(tuán)的辦公系統(tǒng)、銷售系統(tǒng)、數(shù)據(jù)庫和互聯(lián)網(wǎng)訪問瀏覽都混合在一起。 安全需求 通過分析 XX 集團(tuán)面臨的業(yè)務(wù)系統(tǒng)能夠遇到的網(wǎng)絡(luò)，我們提出防范安全威脅尤其是內(nèi)部辦公數(shù)據(jù)傳輸?shù)陌踩院陀捎诓《舅斐傻木W(wǎng)絡(luò)安全威脅的安全需求： ? 各分公司和總部之間使用 Fortigate 設(shè)備進(jìn)行 IPSec VPN 連接 ,用來備份各分公司和總部之間的 DDN 線路 ,使集團(tuán)內(nèi)部網(wǎng)絡(luò)更安全、更穩(wěn)定的運(yùn)作。 ?