主题:【原创】网络安全的故事(一) -- 代码ABC
家园 很奇怪强力部门的作为 那么多网警,对于这样一个庞大的产业链就这样睁只眼闭只眼?只要把销售一个环节搞定,其他都自然废了嘛
家园 这个事情深入就不多说了 远不是掐断那么简单,牵扯太多方面了。而且销售环节已经算最下线了。
家园 讨论一下入侵路径吧 很久之前的知识了,不知道是不是已经奥特了。
1.系统缺陷。
入侵手段:主动扫描然后实施定制攻击。
防卫手段:防火墙,打补丁,关闭服务,限制服务进程权限,让外部的安全服务公司定期扫描。
2.用户陷阱。
入侵手段:使得用户下载并运行有害代码。
防卫手段:防毒软件,traffic scanning/filtering,只允许用户写入个人目录,同时禁止执行个人目录里的文件。
不过有害代码不止是可执行文件,还需要加以细分。找不到一个code invocation机制的清单。
其他的应对机制:
1.netflow based traffic analyzer,行为出格的服务器,客户地址可以被自动断网或限制流量。
2.可回滚的网络存储,服务器的硬盘状态在一定时间内可以任意回滚,克隆。
家园 不好意思泼冷水了 1.系统缺陷,黑客手上的漏洞是地下的也就是未知的,可能连操作系统厂商自己都不知道更不谈补丁了。并且现在攻击缺陷并不是系统层面的,例如sql注入,这是web应用问题,防火墙根本无法解决。
2.杀毒软件从本质说他也是取得比病毒更底层的系统控制权才能清除病毒,当木马的系统hook比杀毒软件更底层那杀毒软件只有被杀的份。
3.流量可以伪装而且有经验的黑客不会弄出出格流量的。
4.小心网络存储被人给黑了,有专门感染gho文件的木马。
- 复 不好意思泼冷水了
家园 对于企业级别的环境还是有很多手段的,不过非常同意兄台说法 系统缺陷级漏洞完全无法克服。
04年我在某大学安装cisco ipt系统,call manager运行sql server,当时满校园网都是蠕虫,自己不知道,插上服务器一分钟启动完成后立刻完蛋,完全防不住。
目前我就职的地方对网络安全要求也很高,兄台所说的网络安全我认为有很多是系统安全范畴。我平时所做的网络安全工作主要是:
1.2层安全:端口安全保障,防止无线(wifi)嗅探入侵,以太端口防嗅探,以及其他2层安全措施。
2.3层安全:网络分域管理(防火墙,vlan隔断,策略控制),基于域用户的防火墙访问控制管理(非常严格),流量分析,日志分析,vpn管理。
3.4层安全,基于tcp的流量分析,日志分析,应用防火墙策略管理-其实已经做不了什么了,主要是分析和防范。
再往上有专门的信息安全团队进行工作,我们不能插手应用服务器的安全保障管理。
不幸的是前些日子辛辛苦苦构架的体系被公司请来的黑客测试攻击搞定了,感觉很丢人。不过最后评判的结果是与我们无关,问题出在应用服务器上,三个很弱智的漏洞整合在一起,导致整个server-farm被攻陷并打开了通向总部的大门......
太丢人了。
唯一欣慰的是我们的网络安全防范得到肯定,固若茅坑一块砖,又臭又硬,外网攻击全部失败,呵呵。
但是攻击测试的黑客哥是以总部出差的名义从内部发起攻击的,呜呜,堡垒最容易从内部攻克啊。
- 复 不好意思泼冷水了
家园 继续 1.我把SQL注入也归入系统缺陷,只是在应用层面。这是典型的菜鸟程序员造成的问题。老鸟一般都把外部输入参数化。新的web程序一般也不再直接生成SQL,而是透过framework来和数据库交互,framework里也都是参数化的。OS一层的漏洞发现和厂商发布补丁之间的时间差一般小于两三个星期。IT部门如果每月打补丁,则有不到两个月的风险期。流程自动化程度高的话overhead可以忽略。
2.后面的措施就是为了防止木马被加载。
3.不光是流量,还有连接,比如服务器A不应该访问服务器B,现在switch上报告多个A到B的访问企图,可以判断A有问题,下一步控制switch作出反应。
4.网络存储指SAN,支持continuous data protection的SAN,和虚拟层一样,在OS的下层运行。
5.还有一点,前台服务器本身做成state less的虚拟机,如果存疑即将虚拟机状态回滚。或者干脆有个server farm,成员们轮班定期回滚。
- 复 继续
家园 能把安全做好的公司太少了 OS一层的漏洞发现和厂商发布补丁之间的时间差一般小于两三个星期。问题不在于厂商而在于客户。
本猫知道客户中打OS补丁最勤奋的是一个月一次,最长的是N年(即下一次升级)。至于打Application补丁,那最勤奋的也不会超过一年一次。事实上就是客户勤奋也没用,由于厂商出补丁时候测试不足,有一小半时候补丁根本打不上去。
家园 之所以需要“勤奋”是因为需要人工参与,自动化 程度高了频率就只是个设置参数。
应用一般都在内部,而且研发针对应用的攻击成本也高。
家园 不仅是人工参与的问题 很多补丁需要系统重启。系统重启,最低档次需要部门经理同意,比较重要的需要过CIO甚至CEO。而且系统重启不是没有风险的,本猫就遇到过ERP系统重启,本来说30分钟就好了,主管的人说两个小时怎么也够了,结果两天才搞定,全公司于是就放了两天假。
有的时候补丁本身就有各种问题。厂家支持N个Platform,结果只在一两个上做过试验,结果就悲剧了。
再有用户的系统也千奇百怪,本猫有次干活,出的问题前所未见。最后发现是一个非常不显眼的系统设置造成的问题。问题是那个设置是五年前还是十年前哪个孙子随手干的好事(每次migration都继承了那个设置),那就不知道了。
所以本猫现在最佩服的公司之一,就是微软。外面那么多PC,能保证打补丁这个过程基本上都能成功,这也是一门本事。
家园 这个是我见过的对微软最高级别的赞扬 能保证打补丁这个过程基本上都能成功,这也是一门本事
- 复 继续
家园 继续 今天早上出去喝酒,回来已经晚上了,继续和up兄摆阵
1.sql注入只是我的举例,漏洞出现利用也是需要结合和看场景的。例如很多逻辑漏洞平常看起来无害但是一旦被利用很可怕却很难发现,比如我曾经遇见一个SSO系统每个用户登录都会生成一个唯一的sid,但是不幸的是居然sid是可以被猜测,导致黑客可以猜测任意用户,还有比如csrf,引诱管理员看一下,即可拿到某些权限。而且还有一个需要注意的地方企业IT部门一般不可能拿到补丁就立即下发的,而国内那帮黑客有渠道拿到微软MAPP最新发布的信息,几个小时内就能调试出可利用的漏洞,然后拿来攻击。
2.木马不一定打在服务器上,高价值用户也一样有可能,例如高级管理员,公司高层,对付他们比对付服务器更简单。
3.这个理论没问题,不过一般企业网络内最多只能用在一些服务器上,例如数据库。要是全面部署基本不大可能。
小弟也曾经道听途说多次入侵事件,有机会可以说来博大家一笑。
- 复 继续
家园 成本啊成本 从理论上说,所有的安全问题都是可以解决的。用足够的技术手段,基本上可以保障系统的绝大多数安全,剩余的风险是很小的。
但是,任何技术手段都是有成本的。这个成本,最大的一块不在软硬件,而在用户。技术手段的使用,往往使用户的日常工作效率下降。为了防范0.01%的风险,却要把20%的工作效率下降1倍,这是不可接受的。而当前的绝大多数技术手段,都差不多是这样的一个特征。
因此,对很多大型组织来说,出了问题去针对性解决的做法,可能反而是成本最低的做法。