隨著網絡邊界模糊化,網絡安全不再局限于PC端,移動端、服務器端、云端等安全終端日益成為個人、組織、企業關注的方面,使用優質的安全產品做好防護才能使我們處于一個相對安全的網絡環境中。軟件工程師正努力完成主要的代碼塊,但他的老板卻要砍掉相當一大部分內容,其中包括一些從網絡上下載的開源程序。替換這些程序將增加項目開發時間。他跑到老板辦公室懇求:“我需要在系統中使用這些軟件!”
“你不能使用它。它是開源的,不可靠。”老板說道。
工程師點點頭,對老板的回答早有所料。“是的,它是開源的,來自網絡,但我們有使用經驗。我已經和軟件工程師交流過,他們會逐行審查源代碼和目標代碼。”
老板抬頭,看了看角落里的多年服務獎,堅定的說:“你永遠不能確定,程序里沒有瑕疵。”
上述簡短場景,聽起來有點像懸疑電影,但鑒于近年發生的安全事件,在網絡安全領域里,這些情況可能是非常真實的。大多數人認為:軟件就是做那些“在大部分時間里按照期望做事的東西”,因此有時會忽視潛在的危險。
正在為設備和工業系統寫代碼的軟件工程師,不希望做重復性的工作。如果有人已經為某項任務編寫了可用的代碼,那么他們就不想再重新寫一次。他們寧愿從網上下載免費軟件和開源代碼,以便節省時間。或者,他們可以從早期有據可查的產品中提取已有代碼。將所有這一切組合起來,安裝到新裝置中。只要它能夠按照預期執行任務,沒有人想知道或關心它來自何處。
相當長一段時間,都是這么做的,但現在這一切正在發生變化。由于很多黑客和網絡犯罪分子都在刷存在感,因此網絡安全領域正變得越來越混亂。黑客及其所作所為,所反應的技能水平千差萬別。有些比較笨拙,非常容易被發現。而另外一些則更為隱蔽,只有最有名的網絡安全專家才能探測到。
盡管工程師精簡項目的初衷是好的,但老板說的也沒錯:不安全的代碼可能會潛伏在這些軟件中。有時可以發現和并將其清除,但最近的網絡安全泄露案例表明這種威脅可以被很好的偽裝起來。
后門程序攻擊
2015年12月,Ars Technica發表了一份令人震驚的報告:12月17日,瞻博網絡發出緊急安全公告:在一些公司的NetScreen防火墻和安全服務網關(SSG)的操作系統(OS)中,發現了“未經授權的代碼”。該報告說,商家針對該漏洞發布了緊急補丁包,以便修補受影響的設備操作系統,網絡安全專家確認未經授權的代碼就是后門程序。
網絡安全專家確認,被用于逃避正常認證的管理員密碼是“<<< %s(un=’%s’) = %u.” 調查這堆亂碼的安全研究人員認為,它可能是軟件源代碼文件中出現的調試或測試代碼。據此可以得出兩個結論:
1、故意設置未經授權的后門。
2、專門為逃避檢測而精心設計。
我們似乎正在進入這樣一個時代:黑客在軟件中精心設計漏洞,并仔細隱藏起來。知道這些隱藏代碼功能的攻擊者,只要他們愿意,隨時可以利用這些漏洞。最終用戶、系統集成商和設備制造商需要做適當的準備,以便應對新的安全挑戰。
要做什么:最終用戶
審查裝置補丁狀態。很明顯,任何組織要做的第一件事,就是開始評估整個組織范圍內的網絡,以便確定漏洞或潛在易受攻擊的網絡設備。 不僅是瞻博網絡硬件,還有其它網絡設備供應商都應做此審查。首先假設所有供應商提供的設備都是不安全的。
嘗試為所有網絡設備打補丁。評估之后,應給所有適用設備,甚至是經事先批準的非瞻博設備都打上補丁。步驟有二:一是確定哪些設備用于特別關鍵領域(如工業控制系統),二是識別那些因使用時間太久而需要更新的設備。
創建風險矩陣。前兩個步驟所得到的信息,可以幫助確定攻擊面。該矩陣應該有兩個軸:第一是打補丁功能,從由于時間久遠導致無法打補丁,到由于供應商的合作而非常容易打補丁。第二個是功能重要性,從高關鍵性(需要24 / 7運行的工業網絡)到低關鍵性(辦公室分支的小網關)。在關鍵運行環境中不能打補丁的設備應被更換。遵循這種分析,將幫助您的組織,在其它網絡設備被黑客攻破等這類不可避免的事件中,領先一步。
制定計劃,改變你的攻擊面漏洞。矩陣應指導修補計劃的制定。有了這些信息,安全人員可以提供一個基于百分比的指標,顯示由于新網絡環節漏洞的出現所帶來的風險。在最壞情況發生時,矩陣也可以提供一個好的行動計劃:新的網絡漏洞被及時發現。
增加網絡和配置監控。如果一個組織正在使用Snort,FoxIT已經具有入侵檢測簽名來檢測這種攻擊。應在組織范圍內,將所有網絡設備的配置置于控制之下。定期安全審計,不僅要驗證網絡設備的配置,還應通過測試流量模式評估實際的網絡配置。
要做什么:系統集成商
檢查實驗室設備補丁狀態和實施指南。提供網絡設備的系統集成商,應為任何實驗室系統打補丁,然后更新實施指南,以反映網絡設備配置的變化。例如,對于瞻博設備,在進行固件更新時,有代碼簽名步驟。當其它網絡設備供應商被發現有類似問題時, 實施人員應做相應準備。
圖表基于可實現性以及關鍵程度高低,介紹了什么時候需要給安全網絡打補丁。圖片來源:橫河
嘗試為所有網絡設備打補丁。系統集成商應與它們的客戶和最終用戶一起,盡快為所有設備打補丁。也應該坦率的與客戶討論,解釋新一代攻擊的危害,強調長期為更多補丁和監測做準備的重要性。將其視為另一種Stuxnet類型的事件,并不十分夸張。
系統集成商可以提供解決方案和服務,以增加設備監控。系統集成商應做適當的引導,通知客戶新的威脅,并提供解決方案和服務,以增加對安全和網絡設備的監控。這也有助于促使客戶考慮旨在確定網絡配置控制和網絡補丁管理層次的服務。
要做什么:設備制造商
審查開發和實驗室設備補丁的狀態。設備制造商(包括工業控制設備制造商)應立即修補任何開發和實驗室系統。應更新安全策略和程序,以反映網絡設備配置的更改,并加強對遷移到開發環境中的設備及軟件的控制。
重新審視開發實驗室和辦公網絡架構。在開發網絡連接到其它網絡的方式上面,設備制造商需更加謹慎。瞻博可能會花費很多的資源,來找出出現在其設備軟件上的后門。你也可以相信,瞻博將投資更多的開發配置控制軟件,并反思其開發網絡的安全性能,以便加入更多的審計和監控。
京公網安備 11010502049343號