7月第4周安全回顧DNS漏洞影響廣泛網路訪問控制受關注

技術小美發表於2017-11-16
DNS
 
本週(080721至080727)資訊保安威脅為低。
 
推薦閱讀:
1)NIST研究人員的網路風險評估新方法;推薦指數:中
美國標準和技術學會的研究人員目前正在開發由攻擊圖表(Attack Graph)和美國國家漏洞資料庫(NVD)相結合的網路風險評估新方法,以幫助企業的IT管理人員更為有效的防禦敏感資料丟失的發生。現在的網路風險評估中仍主要以單點評估為主,攻擊圖表方法由於其效率較低和使用複雜而使用較少,NIST的研究是否能夠給網路風險評估帶來新的變革?筆者將持續關注該領域併為讀者帶來最新的報導。
2)銀行網站使用Web 2.0技術所帶來的風險;推薦指數:高
為了增強功能和使用者體驗,前幾年開始國內外的眾多銀行都紛紛在自己的網站上使用Web 2.0技術。時過境遷,當Ajax等Web 2.0技術頻繁爆出嚴重漏洞的時候,銀行網站使用能夠的Web 2.0技術是否仍無懈可擊?推薦金融行業的讀者閱讀一下本文。
 
新聞回顧:
媒體方面,本週值得關注的新聞集中在漏洞攻擊和網路訪問控制領域。
 
漏洞攻擊:DNS漏洞影響範圍巨大;開放原始碼產品中潛藏漏洞;關注指數:高
新聞1:7月24日,來自多家媒體的訊息,安全廠商IOActive的Dan Kaminsky在一個Web視訊節目中,向公眾介紹了網際網路域名系統(DNS)存在的嚴重漏洞,而該漏洞的利用程式,也在稍晚時候被著名的安全工具Metasploit所收錄。該漏洞會使攻擊者能夠在較短的時間內成功猜出一個Web會話進行DNS查詢的對話ID,如果成功利用該漏洞,攻擊者可以修改目標系統DNS快取內的內容,從而將目標系統的網路流量轉向攻擊者精心構造的主機上。另據報導,首例針對該DNS漏洞的攻擊已於7月26日被發現。研究人員在7月初已經開始和各主要的DNS廠商進行交流,並協作推出修正該漏洞的補丁程式,這次DNS漏洞資訊在完全修補前便被迫提前公開,也是因為針對該漏洞的補丁程式被第三方研究人員逆向工程並公開細節而造成。
 
分析:網際網路DNS系統存在各種漏洞的討論由來已久。由於DNS是上個世紀80年代初的產品,其最早用於APRNET,和許多早期資訊產品相類似,最早的DNS主要考慮的是完成其功能,而並沒有對安全有太多的關注。儘管隨著資訊科技的快速發展,DNS技術和方案也有了相當高程度的提升,但DNS協議本身所固有的缺陷,使得DNS的安全性一直不佳。目前黑客針對DNS的攻擊,主要集中在對DNS服務軟體本身漏洞的攻擊上,或者對小範圍的網路進行DNS快取內容修改,較大規模的DNS攻擊事件則未見有報導。但上週末發生的全球範圍MSN服務無法登陸的事件,再結合技術人員提供的臨時解決辦法是手動修改MSN登入伺服器DNS解析記錄,和當時正好是Metasploit收錄DNS漏洞利用工具的前後幾天這兩點來看,說不定就是這個DNS漏洞已經被攻擊者應用於大規模攻擊的例子。
 
筆者觀點:對普通的個人使用者來說,對這個漏洞基本是無能為力的。但對提供公眾網路服務的ISP,或者自己架設有DNS伺服器的企業和組織來說,則應儘快聯絡DNS伺服器廠商,並升級自己現有的DNS伺服器,以將該漏洞造成的威脅降低到最低程度。
 
新聞2:7月21號,來自Darkreading.com的訊息,程式碼安全廠商Fortify在一個報告中稱,11個流行的開放原始碼產品的程式碼稽核結果不容樂觀,每個產品中都發現了多個威脅程度不等的安全漏洞。報告還指出,儘管開源產品能夠有效的降低企業用於購置和部署軟體的開支,但企業在使用之前,應該先深入瞭解部署開源產品有可能帶來的各種安全風險。
 
筆者觀點:根據Gartner稍早的一份調查報告,到2011年,將會有超過80%的企業會使用開源產品。開源產品進入企業應用領域的潮流不可逆轉,但開源軟體自身所固有的缺陷,顯然會對其進入企業的速度和數量有較大的影響:作為技術人員實現自己想法的產品,開源軟體的側重點更多是在實現功能上,而非安全、易用等其他對使用者同樣重要的特點上,儘管近幾年來開源社群逐漸重視開源軟體的安全性,但在安全漏洞的預防、發現和響應上,仍遠遠不如用途相當的封閉原始碼軟體。同時,繁雜的軟體版本、複雜麻煩的配置過程,也進一步的制約了企業安全使用開源軟體。筆者認為,在開源軟體大規模進入企業應用領域的大背景下,推廣開源軟體安全相關的產品和外包服務,不單將會對企業使用開源軟體產生積極的影響,而且將會成為企業應用安全市場的新熱點。
 
網路訪問控制:Symantec 網路訪問控制報告發布;關注指數:中
新聞3:來自informationweek.com的訊息,安全廠商Symantec本週早些時候釋出了2008年度的網路訪問控制(NAC)報告,報告顯示NAC市場的表現並不容樂觀。其中,NAC市場上只有大概不到20家企業聲稱自己是純粹的NAC廠商,2008年以來已經有3家廠商退出NAC市場,與此同時,有一些小的新廠商卻進入這個市場。在NAC產品推出3年多之後,成功部署的數量仍較少,只佔到受調查企業的20%不到,成功部署的使用者也主要集中在有內部或外部法律法規要求的行業中。
 
筆者觀點:從技術上說,NAC的觀點是非常正確的,將不符合安全策略的節點堵在敏感的內部網路之外,從而保護內部網路裡的系統及敏感資料安全。但從使用者的實際反饋來看,現有的NAC產品大都不能在使用者的實際環境中完善的工作,使用者大型內網中種類繁雜的節點和網路裝置,無疑會成為NAC廠商的噩夢,如果要讓某個NAC產品執行企業,需要更換的軟硬體以及新增的人員成本相當巨大,有些時候甚至比使用者重新部署一套與網際網路隔離的保密內網更貴。此外,NAC系統部署和維護也對企業使用者的IT部門提出了很大的挑戰,將企業安全策略和NAC系統的訪問策略一一對應就是一件相當難完成的工作。筆者認為,儘管NAC市場現狀不容樂觀,但現在就斷言NAC系統沒有前途還為時尚早,NAC在適合的條件下,仍然是企業使用者的內部網路多提供一層安全保障的良好選擇。但現在的問題是,在NAC技術已經成為Microsoft  Windows 2008和Vista SP1作業系統的標準元件,Cisco等網路裝置廠商的NAC產品走相容道路的趨勢下,單純的軟體NAC廠商應如何應對?
本文轉自J0ker51CTO部落格,原文連結:http://blog.51cto.com/J0ker/89963,如需轉載請自行聯絡原作者


相關文章