根據(jù)美國(guó)特勤局在最近公布的Verizon數(shù)據(jù)泄漏調(diào)查報(bào)告中提供的數(shù)據(jù)顯示，內(nèi)部人員攻擊事故的數(shù)量在過(guò)去一年又翻了一番，但是外部攻擊仍然是主要攻擊來(lái)源，這說(shuō)明企業(yè)仍然沒(méi)有保護(hù)好網(wǎng)絡(luò)和數(shù)據(jù)的安全。
　　主動(dòng)安全控制和安全的網(wǎng)絡(luò)架構(gòu)在抵御內(nèi)部和外部攻擊方面發(fā)揮著非常重要的作用，然而，如果沒(méi)有適當(dāng)?shù)木W(wǎng)絡(luò)分段和訪問(wèn)控制，一旦攻擊者獲取對(duì)受害者內(nèi)部網(wǎng)絡(luò)的訪問(wèn)權(quán)限，一切就完了：敏感服務(wù)器就在內(nèi)部網(wǎng)絡(luò)中，等著被攻擊者掠奪。
　　不過(guò)，安全泄漏事故的結(jié)果并不總是很糟糕的。美國(guó)卡羅萊納州Advanced Digital公司首席信息安全官表示：“網(wǎng)絡(luò)訪問(wèn)控制(NAC)屬于哲學(xué)范疇，而不是技術(shù)范疇。”網(wǎng)絡(luò)分段和訪問(wèn)控制采用縱深防御方法的話，將能夠減緩惡意軟件的傳播速度，并且可以阻止敏感系統(tǒng)的泄漏。
　　在過(guò)去幾個(gè)星期發(fā)現(xiàn)的嵌入式操作系統(tǒng)(例如VxWorks和QNX)中存在的漏洞突顯了保護(hù)這些設(shè)備并盡可能將這些設(shè)備隔離而不影響生產(chǎn)力的重要性。然而，從多功能設(shè)備和類(lèi)似系統(tǒng)的一般部署來(lái)看，顯示出缺乏對(duì)對(duì)這些系統(tǒng)濫用所導(dǎo)致安全問(wèn)題的影響的認(rèn)識(shí)。
　　舉例來(lái)說(shuō)，為Metasploit Framework發(fā)布的新模塊允許內(nèi)存從有漏洞的VxWorks設(shè)備卸載。在內(nèi)存信息轉(zhuǎn)儲(chǔ)中，可以找到允許攻擊者登錄到網(wǎng)絡(luò)交換機(jī)的密碼和內(nèi)部IP地址并且將VLAN轉(zhuǎn)變成一個(gè)設(shè)備，或者通過(guò)暴露的服務(wù)帳戶(hù)來(lái)登錄到服務(wù)器。
　　由于打印機(jī)和流媒體設(shè)備不僅僅是啞設(shè)備，而完全是客戶(hù)端和服務(wù)器，所以必須創(chuàng)建一個(gè)網(wǎng)絡(luò)分段將這些設(shè)備隔離并為業(yè)務(wù)需求提供足夠的訪問(wèn)權(quán)限。
　　例如，用來(lái)電子郵件發(fā)送掃描文件的多功能復(fù)印機(jī)應(yīng)該被允許在郵件服務(wù)器的端口25/tcp進(jìn)行通信，而不是交換機(jī)上的遠(yuǎn)程登陸或者文件服務(wù)器上的windows服務(wù)器端口。同樣，嵌入式系統(tǒng)不應(yīng)該被允許訪問(wèn)互聯(lián)網(wǎng)或者具有訪問(wèn)權(quán)限，除非是因?yàn)橄馰brick媒體流媒體設(shè)備的使用。
　　嵌入式設(shè)備是員工放在網(wǎng)路上而完全不會(huì)考慮它對(duì)安全的影響的設(shè)備。在對(duì)客戶(hù)的漏洞評(píng)估中，AirTight Networks公司發(fā)現(xiàn)四分之一的網(wǎng)絡(luò)中有員工安裝的惡意無(wú)線網(wǎng)絡(luò)。
　　不管是處于生產(chǎn)效率還是易于使用的目的，或者因?yàn)橛脩?hù)存在惡意意圖，結(jié)果都是一樣的：將內(nèi)部企業(yè)網(wǎng)絡(luò)曝露給無(wú)線端口范圍內(nèi)的任何人。政策聲明中表示，對(duì)網(wǎng)絡(luò)的任何變化，例如添加無(wú)線訪問(wèn)端口，最好應(yīng)該進(jìn)行嚴(yán)格的禁止，但是需要部署必要的技術(shù)控制來(lái)執(zhí)行這種禁止，并且檢測(cè)任何異常行為。
　　基本技術(shù)控制(例如限制每個(gè)網(wǎng)絡(luò)交換機(jī)端口的一個(gè)MAC地址)是一個(gè)開(kāi)始，但是這可以很容易地被技術(shù)嫻熟的員工突破。在網(wǎng)絡(luò)訪問(wèn)控制解決方案中應(yīng)該添加更多高級(jí)控制，以幫助鑒定無(wú)線設(shè)備并通過(guò)關(guān)閉連接到的網(wǎng)絡(luò)端口或者轉(zhuǎn)移端口到隔離的VLAN來(lái)防止對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)權(quán)限。
　　從縱深防御的角度來(lái)看，可以添加無(wú)線入侵檢測(cè)系統(tǒng)(WIDS)來(lái)提供抵御惡意無(wú)線設(shè)備的額外保護(hù)層，并且因?yàn)闊o(wú)線入侵檢測(cè)系統(tǒng)位于企業(yè)辦公室范圍內(nèi)，還能夠檢測(cè)到新的無(wú)線網(wǎng)絡(luò)，并且向安全人員發(fā)出警報(bào)。
　　PCI安全委員會(huì)意識(shí)到惡意無(wú)限網(wǎng)絡(luò)的影響，并規(guī)定對(duì)PCI DSS每年進(jìn)行四次無(wú)線掃描。不過(guò)一年四次掃描可能并不足夠，惡意無(wú)線設(shè)備可能在掃描間隔的三個(gè)月內(nèi)逃過(guò)檢測(cè)。
　　無(wú)線供應(yīng)商正在解決這些問(wèn)題，包括企業(yè)管理系統(tǒng)內(nèi)的WIDS功能。例如，思科無(wú)線服務(wù)模塊(WiSM)能夠識(shí)別、定位和控制企業(yè)網(wǎng)絡(luò)中的惡意無(wú)線設(shè)備(一旦發(fā)現(xiàn)惡意無(wú)線設(shè)備)。
　　任何網(wǎng)絡(luò)安全方案的最終目標(biāo)都是防止泄漏重要數(shù)據(jù)的安全泄漏的發(fā)生，并且允許滿(mǎn)足企業(yè)的需求。通過(guò)適當(dāng)?shù)木W(wǎng)絡(luò)分段、政策和技術(shù)控制能夠幫助企業(yè)很好地實(shí)現(xiàn)這些目標(biāo)。

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。