終端入侵防護解決方案七大紀律
即便在最樂觀的情況下,安全產品和蠕蟲病毒也難分勝負。道高一尺,魔高一丈。網路蠕蟲病毒繁殖得如此之快,以至於防毒軟體緊追慢趕,卻難以出招制勝。在信息安全領域,這個問題如火如荼。
在從前“美好的歲月”里,蠕蟲只是成為喜歡惡作劇的年輕黑客炫耀技術的工具。而今,蠕蟲卻充當了犯罪的角色,橫行於高風險、高技術領域。網上交易的企業,總是遭到分散式拒絕服務攻擊(DDOS)的威脅和侵害。實現DDOS攻擊的一個必要條件是大批遠程控制的“BOT”網路,通常,蠕蟲病毒總是占領可信用戶未受保護的機器,然後連成bot網絡。據來自賽門鐵克的統計數據顯示,僅在2004年的前6個月中,BOT網路的數量就上升了15倍。
隨著攻擊領域日新月異的發展,比如大範圍蠕蟲病毒(蠕蟲王、衝擊波、振盪波等)的爆發、Sarbanes-Oxley法案及其它法案的出台,企業在反病毒項目上都採取了高姿態。
這些反病毒項目通常都會包括終端入侵防護解決方案,其中含有各種不同的基於主機的解決方案和技術。從中選出一個解決問題的方案並非易事,不過,選出的任何一個方案都會符合以下七項指標。
1. 精確性(Accuracy)
一個好的解決方案,必須具有精確性,或者說有能力正確地識別入侵。更重要的是,不能把正當的操作混為入侵。和入侵檢測系統不同(入侵檢測系統中錯誤的判斷無關緊要),入侵防護系統中每一個錯誤的判斷都會破壞正當的商業行為。因此,如果某解決方案中可以容忍錯誤判斷,不把它當作軟體BUG處理,那這就不是一個可靠的解決方案。精確性是最為重要的標準,因為在遭受真正的攻擊之前,它會對正當的商業操作有持續且實時的影響。
2. 可維護性(Maintainability)
對於一個將在商業領域廣泛實施的產品,可維護性顯然是非常重要的指標。如果在每次安裝或系統更新、升級時都要求用戶勞心費神,則對此解決方案的管理無異於深夜噩夢。和基於信號的系統(供應商每天都為之創建信號)不同,基於策略的系統及自學習的系統把許多工作都留給了你。在基於策略的系統中,你可能需要微調每台機器上的策略,並且消除出現的錯誤判斷。同時你還必須確保你所建立的策略足夠嚴密,可以應對下一次攻擊的到來。在一個自學習的系統中,你必須把所有可能的情況教給系統,確保沒有漏掉關鍵部分。如果預防操作的代價比清除蠕蟲病毒的還高,那就很不值了。
3. 可伸縮性(Scalability)
因為當今所有蠕蟲病毒的攻擊對象非常廣泛,如伺服器、台式機、筆記本,甚至嵌入式控制器都在其攻擊範圍之內,所以可伸縮性就顯得非常重要。因而急需制訂一個可以保護企業里所有設備的方案。對於Windows系統這一點尤為重要,因為大多數蠕蟲都把Windows機器的核心架構程式當作攻擊目標。如果某個方案在每個終端都需要用戶持續干預,則該方案不具備伸縮性。
4. 覆蓋性(Coverage)
覆蓋性指解決方案可以抵禦的攻擊範圍。必須了解方案可以對抗哪些類型的攻擊,確保受保護單位中所有層級的固件都在保護之列。因為誰也不可能預見未來的攻擊,那么就著眼於你現在的安全系統不能有效抵禦的入侵,如果部署了這個新的方案會起到什麼樣的作用?
入侵總是利用漏洞、CVE或微軟的安全公告中有完整的漏洞列表。因為攻擊總是利用現有的漏洞,不能覆蓋大多數重要漏洞的方案就不是好的解決方案。
5. 主動性(Proactivity)
主動性是指用最少的精確信息阻止攻擊的能力,這對於零日攻擊尤為重要。面對像蠕蟲王(Slammer)這樣繁殖迅速(只需要10分鐘,蠕蟲王的感染率就能夠在世界範圍內從0%達到90%)的病毒,需要信息更新才能阻止攻擊的方案顯得手足無措。近兩年來,漏洞發布和攻擊開始之間的時間間隔越來越短,所以最好的解決方案是不需要了解漏洞就可以進行狙擊。
6. 抗圍攻性(Uncircumventability)
如果攻擊者足智多謀且剛強堅韌,則抗圍攻性就是解決方案必須滿足的一個指標。為了測試某個方案是不是能夠徹底對抗零日攻擊,你需要製造一個新的攻擊,這並不現實。所以可以學學黑客,他們總是從網上學習。為達到測試的目的,可以使用網上的入侵工具,也可以請幾個競爭性的公司互相攻擊。可別扮演“皇帝的新裝”中的主角自欺欺人,絕對不要採用可以被輕易圍攻的方案,一定要確保你處於很好的保護之中。
7. 遏制性(containment)
遏制性用來描述在被解決方案發現並採取措施前,攻擊實施的成功程度。在攻擊載入系統前,或來自惡意載荷的入侵程式執行前,就能阻止攻擊的解決方案具有最好的遏制性。
