你的网络离安全有多远?
就两步。
如果一百步算过关的话,相信你已经迈出了第1-98步:你买了防火墙,买了IDS/IPS和防病毒软件,你用上了VPN,交换机也升级为安全交换机,你让安全厂商专家为你规划安全部署,将各种设备联动起来,你还让这些安全专家为自己的员工培训,教他们如何养成好习惯……如果这些步骤你还没有完成,那网络还不足以抵抗中、低端"骇客";如果这些步骤你都认真做了,努把力,再迈出下一步,假设安全对于你真的非常重要的话,比如银行。
请记住一句话:Hacker attacks protected!
倒数第二步:安全审计
实际上,在倒数第三步结束之后,你已经非常清楚网络现在已经能够进行哪些防御了,但问题是,没人告诉你网络还有哪些缺陷,指望那些安全产品厂商吗?在网上可以自由下载的、著名的开源IDS软件--Snort会给你清楚明白地讲出来它会在哪些情况下出现漏报、误报。对于那些商业产品,随机手册里则是一片赞歌,尽管有的产品就是把Snort装到了不许用户打开的硬盒子里。
即便很多设备厂商提供的是非常棒的产品,但安全是一体化的安全而不是局部的安全,将各种设备、不同层次的软件捏合在一起,安全谁知道?
你需要一个在甲方乙方之外的第三方,客观地评价你的网络。安全审计不是请人来研究新的攻击,而是把现有的攻击手段汇集起来,对你的网络进行遍历,而且,遍历要以仿真各种可能出现的流量模型为前提,以期发现安全拓扑的不合理以及设备自身的弱点。
可惜,这种安全审计机构太难求了。有这样的软件可以承担一部分审计工作,花上几个小时,它能把网络上的主机和网络设备都扫描一遍,然后给你出个报告,告诉你操作系统和应用程序等存在的弱点。也有这样的人,成功地入侵了某大型网站(相信它是做了安全防护的),并把漏洞告诉了该网站,最后那人成了该网站的安全顾问,当然,这又涉及到了法律问题。可不可以将若干熟悉攻击手段和安全部署的"隐士"聚集在一起,为捍卫网络安全出把力呢?据说,那些不用钥匙却能在半小时内捅开防盗门的"工程师"要在派出所登记,可现在还不是有专业开锁公司网罗了一帮人才为大众解难吗?
首先可能要解决的是安全审计机构的合法性和行业规范。这样,安全审计才可能从目前的地下转为公开,甲方由被动审计到主动审计。安全审计人员会不会成为潜在攻击者?相信只有当一切摆在明处后才能逐渐消除人们对安全审计工作者的恐惧和不信任心理。同时,安全审计的出现也会刺激安全方案提供商提高服务水平。令一方面,也使中、高端"骇客"缩短自己的睡眠时间或者"从良"。
安全审计的资质比较容易评估,就目前的安全部署水准,不发现弱点的审计肯定不是好审计!
安全审计几乎在全球都存在合法化、规范化的问题。当然,安全审计一旦流行起来,某些人为了梦想成为审计专家,他从"小学生"到"研究生"这个过程中,又不知道拿了多少"肉机"来练手,这种情况,依然要靠违法必究的准则!
最后一步,MISSON IMPOSSIBLE!
总有那么少数人,极具天赋的计算机爱好者,它们置法律于不顾,制造着每年数十亿美金的损失,让甲方们花更多的钱来进行安全部署,也使得安全厂商不停地为自己的产品打着补丁。如何能扼制他们?
前不久,听说有个美国的IPS厂商具备"数字疫苗,实时接种"能力,其漏洞收集部门通过与顶级安全论坛等漏洞研究机构合作,发现未被人们发现的漏洞,并每周发送软件更新给用户,达到避免"零日"攻击的目的。又听说,该厂商目前已经被某国际著名网络设备提供商高价收购。
如果这个厂商真是做得很好的话,姑且算是又向前挪了小半步,这可以算是顶级"红客"与顶级"骇客"之间的较量,但力量的对比绝不像"正"能压"邪"说起来那么容易!
安全还差两步?其实俺也不知道。不过,最想说的是,既然审计能在"黑暗"中进行,不妨大家来思考一下是不是能把它变得可操作、可利用、可控制。 | 
