根據美國特勤局在最近公佈的Verizon資料洩漏調查報告中提供的資料顯示,內部人員攻擊事故的數量在過去一年又翻了一番,但是外部攻擊仍然是主要攻擊來源,這說明企業仍然沒有保護好網路和資料的安全。
主動安全控制和安全的網路架構在抵禦內部和外部攻擊方面發揮著非常重要的作用,然而,如果沒有適當的網路分段和訪問控制,一旦攻擊者獲取對受害者內部網路的訪問許可權,一切就完了:敏感伺服器就在內部網路中,等著被攻擊者掠奪。
不過,安全洩漏事故的結果並不總是很糟糕的。美國卡羅萊納州Advanced Digital公司首席資訊保安官表示:“網路訪問控制(NAC)屬於哲學範疇,而不是技術範疇。”網路分段和訪問控制採用縱深防禦方法的話,將能夠減緩惡意軟體的傳播速度,並且可以阻止敏感系統的洩漏。
在過去幾個星期發現的嵌入式作業系統(例如VxWorks和QNX)中存在的漏洞突顯了保護這些裝置並儘可能將這些裝置隔離而不影響生產力的重要性。然而,從多功能裝置和類似系統的一般部署來看,顯示出缺乏對對這些系統濫用所導致安全問題的影響的認識。
舉例來說,為Metasploit Framework釋出的新模組允許記憶體從有漏洞的VxWorks裝置解除安裝。在記憶體資訊轉儲中,可以找到允許攻擊者登入到網路交換機的密碼和內部IP地址並且將VLAN轉變成一個裝置,或者透過暴露的服務帳戶來登入到伺服器。
由於印表機和流媒體裝置不僅僅是啞裝置,而完全是客戶端和伺服器,所以必須建立一個網路分段將這些裝置隔離併為業務需求提供足夠的訪問許可權。
例如,用來電子郵件傳送掃描檔案的多功能影印機應該被允許在郵件伺服器的埠25/tcp進行通訊,而不是交換機上的遠端登陸或者檔案伺服器上的windows伺服器埠。同樣,嵌入式系統不應該被允許訪問網際網路或者具有訪問許可權,除非是因為像Vbrick媒體流媒體裝置的使用。
嵌入式裝置是員工放在網路上而完全不會考慮它對安全的影響的裝置。在對客戶的漏洞評估中,AirTight Networks公司發現四分之一的網路中有員工安裝的惡意無線網路。
不管是處於生產效率還是易於使用的目的,或者因為使用者存在惡意意圖,結果都是一樣的:將內部企業網路曝露給無線埠範圍內的任何人。政策宣告中表示,對網路的任何變化,例如新增無線訪問埠,最好應該進行嚴格的禁止,但是需要部署必要的技術控制來執行這種禁止,並且檢測任何異常行為。
基本技術控制(例如限制每個網路交換機埠的一個MAC地址)是一個開始,但是這可以很容易地被技術嫻熟的員工突破。在網路訪問控制解決方案中應該新增更多高階控制,以幫助鑑定無線裝置並透過關閉連線到的網路埠或者轉移埠到隔離的VLAN來防止對內部網路的訪問許可權。
從縱深防禦的角度來看,可以新增無線入侵檢測系統(WIDS)來提供抵禦惡意無線裝置的額外保護層,並且因為無線入侵檢測系統位於企業辦公室範圍內,還能夠檢測到新的無線網路,並且向安全人員發出警報。
PCI安全委員會意識到惡意無限網路的影響,並規定對PCI DSS每年進行四次無線掃描。不過一年四次掃描可能並不足夠,惡意無線裝置可能在掃描間隔的三個月內逃過檢測。
無線供應商正在解決這些問題,包括企業管理系統內的WIDS功能。例如,思科無線服務模組(WiSM)能夠識別、定位和控制企業網路中的惡意無線裝置(一旦發現惡意無線裝置)。
任何網路安全方案的最終目標都是防止洩漏重要資料的安全洩漏的發生,並且允許滿足企業的需求。透過適當的網路分段、政策和技術控制能夠幫助企業很好地實現這些目標。