|
保护之三 :防御Web潜威胁
另一个值得关注的应用安全问题,就是来自Web应用的普及。侠诺科技的安全专家张建清博士表示,很多企业员工在上网、下载、以及访问BBS和Blog的时候,经常出现泄密、感染病毒或恶意代码的情况。事实上,越来越多的Web站点、Web邮件、BBS,已经构成了企业无法回避的一大应用问题。
叶宜斌表示,针对目前广泛存在的Web泄密的问题,企业必须拥有完善的记录员工上网行为的技术。“当某一个员工打开一个网页的时候,后台的UTM或者网关设备必须生成一个记录,标识出具体哪个用户、哪个IP在访问哪个网页。其中,系统会根据使用者的网页搜索请求、BBS发贴通讯进行相应的内容级别的记录,从而实现追踪的需要。”
目前,像深信服、神州数码网络、8e6科技已经实现了通过HTTP协议进行内容分析的技术。企业可以在UTM设备或者网关型设备中开启相应的日志数据中心,从而实时记录内网用户每一个时刻的网络行为,除了普通的Web泄密,系统还可以记录BBS上的URL内容,也可以记录并监控Web方式发送的邮件,包括邮件内容和收信人地址。
如果记录的内容很庞大,还可以利用第三方的日志中心进行存储。第三方日志中心可以定期与网关设备同步,对大型企业来说,不论是采取阻断还是生成分析报告,对Web的安全控制都会详细的多。
颜世峰也提出,Web安全属于企业所有员工都要遵循且自觉接受安全规范控制的范畴,因此从原理上说,属于企业全网安全技术的一部分。“我们已经在DCSM的基础上,开发了DCBI-Netlog日志系统,并将两者统一起来,促成企业内网准入、终端安全、行为记录的统一,从而进一步完善了以3DSMP为基础的全网安全技术。”
其实,这种多系统捆绑的目的,就是从准入控制的源头与行为追踪的可控进行联动。类似地,宋汉斌也将E-Police系统与企业用户网络行为追踪系统R3000整合搭配,从而实现了用户Web行为记录、匹配、回溯的模式。
此外,针对Web安全的客户端配置,不同厂家的做法也有区别。像深信服主要以UTM为监控保护设备,因此它仅仅需要通过源头与过程的双重监控,就可以定位到哪台机器出了安全问题,所以一个简单的ActiveX控件就可以帮助UTM实现类似的信息收集功能。而像神州数码网络以旁路的DCSM为基础,除了收集信息,还要与全网安全中的其他设备,如桌面保护系统、交换机、防火墙等联动,同时还有专门的DCBI-Netlog日志分析系统,因此需要自动分发安全客户端代理软件。
保护之四:控制间谍软件
目前应用安全中最为棘手,也是唯一无法完全防御的问题,就是间谍软件。按照微软的定义,凡是未经用户许可,修改系统的配置信息,非法收集用户信息的软件,都属于间谍软件。
TippingPoint的全球安全专家Dinesh Sequeira指出,间谍软件会不断地在互联网中滋生和扩张。因为大量用户浏览互联网所花费的时间越来越多,由投机资金支持的在线广告也将不断增加。
目前安全厂家建议,从外网、内网采取多设备控制的方法,最有可能实现对间谍软件的防护。
张建清表示,目前IPS和UTM厂家采用较多的深度包检测机制(深度封包过滤)是解决间谍软件的一个有效技术。该技术可以把封包的内容打开,进行仔细的比对匹配,从而让安全设备完全了解传送的内容。例如当包的内容是压缩时,深度包检测会把压缩的文档也解开,以进行内容的检查。
但他也承认,深度包检测技术虽然可以有最高的防御级别,但相对需要较大的运算能力,转发率也往往受到限制。而且设备需要大量的特征码与规则数据库,否则也认不出威胁来。而这也是制约反间谍软件的问题。“间谍软件主要通过ActiveX控件下载安装、IE浏览器漏洞和免费软件绑定安装进入用户的计算机中,目前侠诺的路由器具有Java、AcitveX的阻挡功能,可以在一定程度上将其阻挡在路由器外。”
李臻表示,目前对付间谍软件的一个有效方法就是阻断间谍软件在网络上的传播。因为间谍软件一般是利用漏洞,完成对IE浏览器或者Winsock进行劫持(也有利用伪装Proxy或弹出式广告)。事实上,很多间谍软件会和广告软件、P2P软件、下载加速器软件捆绑,从而收集用户的上网习惯、个人信息,然后传到相应的信息收集站点。因此IPS可以利用自身的过滤器进行数据包、Cookie信息的检测与识别,不论是在下载过程,还是传播过程中的间谍软件,都可以被IPS进行识别与阻断。特别是透过IPS每周接收的数字疫苗(状态签名),企业可持续监视和迅速涵盖新出现的间谍软件威胁或系统弱点。
而神州数码网络和深信服的专家在此问题上口径相当一致,他们认为判断间谍软件,必须进行技术分析。因此企业需要引入全面的网络访问准入规则。而无论是通过DCSM还是UTM来进行安全防范,都要在用户访问企业网的时候,针对IT环境进行控制:包括监测用户是否运行了指定的程序,如杀毒软件;同时对操作系统、文件、进程、注册表进行安全检测,确认安全以后才会允许连接互联网;接下来还要对访问行为进行记录。
颜世峰认为,利用对客户端环境的多种限制,可以确保接入与访问的安全与“干净”,而准入规则限制了间谍软件的非法流通,特别是在进程中可以做到实时监控。
宋汉斌也表示说,除了技术上要能看到协议的内容,安全系统还必须提供具有庞大数据资料的匹配信息库。特别是除了间谍软件本身的特征码,系统还需要密切跟踪那些经常发布间谍软件的黑客网站的动态与IP地址,以便及时发现是否有间谍软件的非法通信。
保护之五:P2P应用防御
除了间谍软件,近几年发展起来的令企业倍感头痛的应用,恐怕非P2P莫数。甚至一些安全厂商将P2P应用比作“安全爱滋”。因为此类应用的初衷就是开放、共享,原理本身就注定了其不安全的因素,且专门攻击安全技术的命门。
目前主流的P2P应用包括两大类:一类是以MSN、QQ、Skype为代表的IM(即时通信)类软件;另一类是以BT、电驴为代表的下载程序。现在的问题是,由于P2P的开放性,导致了大量的病毒、木马程序和间谍软件极易驻留其中,且危害性较为隐秘。而后一类的问题可能更大,一旦在企业网中使用,势必增加对带宽的占用,影响企业正常应用的开展。
目前除了MSN是以明文方式通信外,Skype和新版本的QQ都已经采用了加密信息的模式。李臻表示,IPS厂家在封堵P2P应用的时候,主要是考虑根据企业的需要,允许必要的聊天通信,但不允许传送文件。对于较严格的加密通信,企业可以选择不允许开启,利用IPS直接在网关封杀。
而张建清表示,对于这两类应用,一方面可以利用侠诺路由器的“一指键设定”的功能,从网络出口处阻挡应用文件通信和下载,另一方面,也可以根据P2P软件的特征,如BT种子常见的“.torrent”字符串,专门加以过滤。
此外,像神州数码网络和深信服,都选择了利用深度包检测来控制P2P的应用。颜世峰和叶宜斌均表示说,无论是IM还是P2P下载,它们都属于应用层的信息,技术上的封堵主要是通过深度包检测,分析协议里面数据包的类型,或者分析P2P协议的特征码进行匹配,从而实现阻断。这样做得好处是,匹配过程比较详细,特别是可以避免恶意代码或者间谍软件的渗透。
他们认为,现在一些大型企业与金融机构,已经开展了专门针对MSN、QQ等应用的内容检测,通过网络抓取通信的内容,并派专人进行实时审计,从而也防止了泄密的发生。
不过,广泛采用深度包检测确实会加重对安全系统性能的影响。宋汉斌表示,他们建议企业可以采用旁路模式的内容安全设备,一方面不用更改网络配置,另一方面以报告的方式取代直接干预的模式,可以降低对网络的性能影响。对于一些即时性要求不高的安全控制,这样部署较为便利。
编看编想
应用安全的擦边球:关注钓鱼
网络钓鱼是从2004年开始泛滥的一个安全问题,从原理上分析,它介乎于企业的内外网之间的灰色地带。
事实上,解决网络钓鱼的最好方法与出路,还是从应用系统的漏洞入手。网络钓鱼的核心就一条:引诱用户访问被黑客控制的站点,从而收集信息。通常的做法是,黑客控制网络上某个企业的一台Web Server,并把非法伪造的网页植入到这台Web Server上去。同时,黑客从控制的某个企业的邮件服务器上(可能就是拥有此Web Server的企业),发送大量的嵌入恶意代码的邮件,引导收到邮件的用户访问Web Server上的伪造网页。
事实上,利用IPS就可以保证企业自己的Web Server没有被别人钓鱼;另一方面,别人的Web Server向某些企业发钓鱼信息的时候,IPS也可以挡住。
这是因为,黑客之所以能够控制Web Server,是利用了其自身的漏洞植入非法程序。但是IPS的保护,可以确保黑客无法获取Web Server的权限,从而无法植入非法程序,无法进行上载过程; 而对于某些被控制的Web Server向受IPS保护的企业发送钓鱼信息,由于钓鱼邮件具有恶意代码嵌入,会被企业的IPS识别出来,从而阻止通信。 | 