智慧安防新時代：使用者、SI、裝置製造商要做什麼？

隨著網路邊界模糊化，網路安全不再侷限於PC端，移動端、伺服器端、雲端等安全終端日益成為個人、組織、企業關注的方面，使用優質的安全產品做好防護才能使我們處於一個相對安全的網路環境中。軟體工程師正努力完成主要的程式碼塊，但他的老闆卻要砍掉相當一大部分內容，其中包括一些從網路上下載的開源程式。替換這些程式將增加專案開發時間。他跑到老闆辦公室懇求：“我需要在系統中使用這些軟體！”

“你不能使用它。它是開源的，不可靠。”老闆說道。

　　工程師點點頭，對老闆的回答早有所料。“是的，它是開源的，來自網路，但我們有使用經驗。我已經和軟體工程師交流過，他們會逐行審查原始碼和目的碼。”

　　老闆抬頭，看了看角落裡的多年服務獎，堅定的說：“你永遠不能確定，程式裡沒有瑕疵。”

　　上述簡短場景，聽起來有點像懸疑電影，但鑑於近年發生的安全事件，在網路安全領域裡，這些情況可能是非常真實的。大多數人認為：軟體就是做那些“在大部分時間裡按照期望做事的東西”，因此有時會忽視潛在的危險。

　　正在為裝置和工業系統寫程式碼的軟體工程師，不希望做重複性的工作。如果有人已經為某項任務編寫了可用的程式碼，那麼他們就不想再重新寫一次。他們寧願從網上下載免費軟體和開原始碼，以便節省時間。或者，他們可以從早期有據可查的產品中提取已有程式碼。將所有這一切組合起來，安裝到新裝置中。只要它能夠按照預期執行任務，沒有人想知道或關心它來自何處。

　　相當長一段時間，都是這麼做的，但現在這一切正在發生變化。由於很多黑客和網路犯罪分子都在刷存在感，因此網路安全領域正變得越來越混亂。黑客及其所作所為，所反應的技能水平千差萬別。有些比較笨拙，非常容易被發現。而另外一些則更為隱蔽，只有最有名的網路安全專家才能探測到。

　　儘管工程師精簡專案的初衷是好的，但老闆說的也沒錯：不安全的程式碼可能會潛伏在這些軟體中。有時可以發現和並將其清除，但最近的網路安全洩露案例表明這種威脅可以被很好的偽裝起來。

後門程式攻擊

　　2015年12月，Ars Technica發表了一份令人震驚的報告：12月17日，瞻博網路發出緊急安全公告：在一些公司的NetScreen防火牆和安全服務閘道器（SSG）的作業系統（OS）中，發現了“未經授權的程式碼”。該報告說，商家針對該漏洞釋出了緊急補丁包，以便修補受影響的裝置作業系統，網路安全專家確認未經授權的程式碼就是後門程式。

　　網路安全專家確認，被用於逃避正常認證的管理員密碼是“＜＜＜ ％s（un＝’％s’） ＝ ％u．” 調查這堆亂碼的安全研究人員認為，它可能是軟體原始碼檔案中出現的除錯或測試程式碼。據此可以得出兩個結論：

　　1、故意設定未經授權的後門。

　　2、專門為逃避檢測而精心設計。

　　我們似乎正在進入這樣一個時代：黑客在軟體中精心設計漏洞，並仔細隱藏起來。知道這些隱藏程式碼功能的攻擊者，只要他們願意，隨時可以利用這些漏洞。終端使用者、系統整合商和裝置製造商需要做適當的準備，以便應對新的安全挑戰。

　　要做什麼：終端使用者

　　審查裝置補丁狀態。很明顯，任何組織要做的第一件事，就是開始評估整個組織範圍內的網路，以便確定漏洞或潛在易受攻擊的網路裝置。 不僅是瞻博網路硬體，還有其它網路裝置供應商都應做此審查。首先假設所有供應商提供的裝置都是不安全的。

　　嘗試為所有網路裝置打補丁。評估之後，應給所有適用裝置，甚至是經事先批准的非瞻博裝置都打上補丁。步驟有二：一是確定哪些裝置用於特別關鍵領域（如工業控制系統），二是識別那些因使用時間太久而需要更新的裝置。

　　建立風險矩陣。前兩個步驟所得到的資訊，可以幫助確定攻擊面。該矩陣應該有兩個軸：第一是打補丁功能，從由於時間久遠導致無法打補丁，到由於供應商的合作而非常容易打補丁。第二個是功能重要性，從高關鍵性（需要24 ／ 7執行的工業網路）到低關鍵性（辦公室分支的小閘道器）。在關鍵執行環境中不能打補丁的裝置應被更換。遵循這種分析，將幫助您的組織，在其它網路裝置被黑客攻破等這類不可避免的事件中，領先一步。

　　制定計劃，改變你的攻擊面漏洞。矩陣應指導修補計劃的制定。有了這些資訊，安全人員可以提供一個基於百分比的指標，顯示由於新網路環節漏洞的出現所帶來的風險。在最壞情況發生時，矩陣也可以提供一個好的行動計劃：新的網路漏洞被及時發現。

　　增加網路和配置監控。如果一個組織正在使用Snort，FoxIT已經具有入侵檢測簽名來檢測這種攻擊。應在組織範圍內，將所有網路裝置的配置置於控制之下。定期安全審計，不僅要驗證網路裝置的配置，還應通過測試流量模式評估實際的網路配置。

　　要做什麼：系統整合商

　　檢查實驗室裝置補丁狀態和實施指南。提供網路裝置的系統整合商，應為任何實驗室系統打補丁，然後更新實施指南，以反映網路裝置配置的變化。例如，對於瞻博裝置，在進行韌體更新時，有程式碼簽名步驟。當其它網路裝置供應商被發現有類似問題時， 實施人員應做相應準備。

　　圖表基於可實現性以及關鍵程度高低，介紹了什麼時候需要給安全網路打補丁。圖片來源：橫河

　　嘗試為所有網路裝置打補丁。系統整合商應與它們的客戶和終端使用者一起，儘快為所有裝置打補丁。也應該坦率的與客戶討論，解釋新一代攻擊的危害，強調長期為更多補丁和監測做準備的重要性。將其視為另一種Stuxnet型別的事件，並不十分誇張。

　　系統整合商可以提供解決方案和服務，以增加裝置監控。系統整合商應做適當的引導，通知客戶新的威脅，並提供解決方案和服務，以增加對安全和網路裝置的監控。這也有助於促使客戶考慮旨在確定網路配置控制和網路補丁管理層次的服務。

　　要做什麼：裝置製造商

　　審查開發和實驗室裝置補丁的狀態。裝置製造商（包括工業控制裝置製造商）應立即修補任何開發和實驗室系統。應更新安全策略和程式，以反映網路裝置配置的更改，並加強對遷移到開發環境中的裝置及軟體的控制。

　　重新審視開發實驗室和辦公網路架構。在開發網路連線到其它網路的方式上面，裝置製造商需更加謹慎。瞻博可能會花費很多的資源，來找出出現在其裝置軟體上的後門。你也可以相信，瞻博將投資更多的開發配置控制軟體，並反思其開發網路的安全效能，以便加入更多的審計和監控。

本文轉自d1net（轉載）