近两年网络攻击事件频繁出现,且基本上都是来自应用层的攻击。然而,目前大多数网络安全技术和解决方案在这方面却有着相当的不足。在这一领域,用户需要从内到外的安全防护,一些更大吞吐量和更高智能安全级别的设备逐渐派上用场。
曾几何时,用户谈到安全的时候,话题都离不开传统的老三样:防火墙、防病毒、入侵检测。然而,从最近两年来国际国内频频出现的安全事件分析,企业面临的信息安全环境已经出现了较大的不同。
根据IDC和Gartner在今年初披露的数字,目前影响企业信息安全的最大挑战,就是越来越多来自应用层的威胁。两大分析机构在综合了近36个月全球范围的数字后得出了一致的结论:企业50%~80%的信息安全问题,发生在企业的内部,其中来自应用系统漏洞、电子邮件系统泄密、Web与BBS问题、IM软件的漏洞、间谍软件频发以及愈演愈烈的钓鱼事件,逐渐成为了企业信息安全的威胁。
由于这些威胁不同于以往IT基础设施安全的原理与机制,且大都发源内网,现身于应用系统,威胁敏感应用于数据,因此一些安全专家称其为:来自企业内部的“应用安全”危机。
之所以称之为一场危机,是因为目前大多数网络安全技术和解决方案在应对时有着相当的不足。从市场的反馈看,越来越多的用户开始关注自身的“应用安全”,而他们也确实需要从内到外的安全防护。
幸运的是,以8e6科技、神州数码网络、深信服、TippingPoint、侠诺科技为代表的厂商们,已经针对应用安全的主要挑战进行研究,并取得了相当的技术成果。作为媒体,我们也感谢厂商能够将多年的经验拿出来分享,从而让更多的企业用户实现“应用安全”。
保护之一:应用系统补漏
其实谈到应用安全,安全厂商都认为,单单从IT基础设施的部署上看,应用安全可以分成两个层次:一个是应用业务的保护,包括对于应用敏感数据的保护;另一个是应用系统本身的保护,即保护应用系统本身的连续性。
但无论从哪个方面说,其安全的架构都无法回避漏洞带来的问题,这里的漏洞可以包括各种操作系统、数据库软件、中间件以及终端应用程序的漏洞。事实上,这些由漏洞导致的安全威胁,往往最终也体现在企业用户的应用层面。
TippingPoint的安全专家李臻表示,目前针对各个环节、各种漏洞的不同特点,出现了大量的、不同的攻击代码。在企业网络中,除了传统的在网关处部署入侵防御系统外,为了应对应用安全的需要,越来越多的企业选择在服务器群前面部署IPS,从而对所有访问服务器应用的数据流都实现监控。
“完善的应用安全机制,需要针对访问服务器群的流量里面每个数据包进行深度分析,从而实现相应的应用层协议解析,对于违反协议异常的情况进行处理”,不过李臻认为,这仅仅是完成了其中的一半任务,“事实上,越来越多的威胁发生在应用的接口上,这些接口对应了很多函数与相应的参数。要实现完善的应用安全,必须要求IPS系统能够对这些函数漏洞进行敏感性较高的扫描。”
据悉,这些具有漏洞的函数很多都会被正常的应用所调用,因此IPS系统必须根据用户后续给出的参数,判断是否存在攻击的特点,从而形成一个特征匹配。因此要实现应用安全,相应的入侵防御系统必须可以针对特征匹配和应用流的协议异常分析,就像著名的RPC漏洞,安全系统必须进行一个综合判断,经过多个精确条件的匹配,判定发过来的请求,才能准确实现对应用系统的防护。
李臻认为,利用漏洞过滤器技术,可以更好地应对应用安全的需求。该技术可以对协议进行分析,从而把协议中间的函数使用进行相应的识别,并了解正常的函数参数是什么样子,对于某些含有威胁的超长字符串,过滤器会进行判断。由于该技术需要根据一系列调用函数的动作开展行为分析,因此传统的匹配过程无法保证应用安全的完整实现。
需要指出的是,一些针对RFC公开标准的协议,由于本身的规程公开,很多防护系统都可以进行相关的技术保障。但针对微软自己的协议或者服务,大部分是不公开的,需要设备或者系统对协议进行分析,这个过程会依赖厂商的公开量。因此针对应用安全的漏洞修补问题,并非一蹴而就的简单过程,特别是对于像HTTP这些很灵活的协议,需要多重手段来保证应用安全。
保护之二:杜绝邮件泄密
对于应用安全的另一大问题,就是企业广泛使用的邮件系统。以往防火墙或者IPS所作的,大多是保护邮件系统免遭外部病毒入侵,但目前的主要挑战却是:企业需要设立完整的邮件过滤机制,确保发出的邮件没有携带企业的敏感信息。
有意思的是,像神州数码网络、深信服等UTM厂商,也对此非常重视。要知道,根据UTM中邮件安全的标准定义,其功能主要是反垃圾邮件。神州数码网络的安全产品经理颜世峰表示:“针对邮件的安全控制,需要从底层接入控制和内容分析两个方面来做,因此对于敏感数据的保护,企业需要全盘考虑。”
事实上,颜世峰的思路和大多数的安全网关产品厂家是一致的。首先,利用网关型安全管理设备,如神州数码的DCSM,从入口处对所有的内网用户进行准入控制。这种准入控制可以进行用户名、密码、IP、MAC、交换机端口等多元素的绑定,同时为了能够更加精准地控制到内网人员,可以在企业每个员工的系统上自动分发客户端代理。
“这样做的好处是,每一个想要通过企业邮件系统向外发送信息的员工,他的一举一动DCSM都会进行监控,无疑这就从源头上确保了邮件用户本身的可靠性。” 颜世峰如是说。
8e6科技的安全专家宋汉斌也表示,网关型设备可以采用旁路模式,因此一般不会干扰原有的网络拓扑,而利用类似Sniffer的监听方式,可以获取内网发出的全部信息,从而确保邮件用户的行为可控。
当然,邮件用户的准入控制是确保邮件安全的第一步。接下来,对于邮件本身的内容也要有所监控。神州数码网络和8e6科技分别利用DCSM和E-Police技术,对邮件进行关键字审计和镜像审核,并生成邮件安全的报告。
深信服科技的技术经理叶宜斌表示,在进行大量实例分析以后发现,大部分企业的邮件泄密事故是从邮件发送客户端造成的。因此他们专门开发了邮件的延时审计技术来保证发送的安全性。
“客户端在发邮件的时候,企业很多在线监控的工具仅仅是看到邮件发出去了,即便造成了泄密,也已经无法挽回了。而利用延迟审计技术,客户端邮件先发送到网关,由网管人员进行判断,如果审理通过或默认时间没有审理,则可以发送;否则就进行阻止。”叶宜斌认为,对邮件的内容进行审计,可以从技术上保证万无一失,企业要做的就是确保所需要的执行程度。
记者在6月北京举办的信息安全大展上曾经见到,电子邮件的安全审查确实已经成为企业应用安全的重要组成部分,企业采用安全网关或安全网桥连接内部可信网络和外部不可信网络,在处理邮件时主要遵循以下步骤:第一,请求:用户向安全网关或安全网桥请求向外部不可信网络发送电子邮件;第二:延迟缓存:安全网关或安全网桥将所述电子邮件存储在内部可信网络中管理人员可访问的指定位置,并通知管理人员;第三,审查和发送:管理人员根据通知审查待发的电子邮件,通过管理人员审查的电子邮件正常发出,否则不予发送。
叶宜斌表示,企业利用这种方法,通过安全网关或安全网桥延迟缓存向外网发送电子邮件,同时进行人工审查,保证了机密信息不随外发电子邮件泄露。
| 