據v3.co.uk網站報道:“近日,部分知名廠商的服務器系統被發現存在KVM漏洞,該漏洞理論上可能會被黑客利用以獲取對受害用戶設備系統的控制權限。然而,仍有廠商拒絕公開承認其多款產品存在該漏洞。”由于該漏洞可能會導致黑客入侵后端的主機,致使企業的核心信息資產被竊取或是破壞。加之這些廠商的服務器在國內被廣泛應用,因此使用這些廠商的服務器無疑會給相關組織帶來極大的風險。
KVM漏洞產生“核心風險點”
從來沒有絕對的安全,漏洞存在于網絡、設備、操作系統和應用程序當中。如果用戶對漏洞的危害程度不能很好的區分,那么高危漏洞可能未被優先修復,從而導致整個網絡暴露于危險之中。而從風險管理角度上來看,當漏洞被利用,同時影響到資產的時候,就產生了風險。隨著資產價值、漏洞等級、被利用可能性的不同,產生的風險也會不同。
由于服務器管理系統漏洞主要發生在某服務器的KVM交換機設備上,而其在企業網或數據中心又具有絕對的“權利”,通常處于整個網絡的控制核心位置,這一地位使它成為黑客入侵的重點對象,即:核心風險點。從黑客入侵者的角度來講,KVM的漏洞只是一個通道,后端的主機才是目標。主機在網絡環境中是整個信息安全核心資產的載體,是攻防的核心焦點,也網絡中最易遭受攻擊的領域,如果其受到攻擊和破壞,輕則系統癱瘓,關鍵業務無法運行,重則信息被篡改,關鍵機密信息被泄露,將會造成無法估量的損失。而在本次事件中,由于KVM安全漏洞的客觀存在,黑客利用KVM漏洞控制后端主機的可能性已被證實,這有可能會對企業造成毀滅性的打擊。因此,在對其安全風險和影響范圍分析之后,建議企業在第一時間對其修補。
頻發的“后門”與“漏洞”事件,對任何一個組織的信息安全風險管理都提出了更高的要求,找出和消除這些核心風險點將是重中之重。這是因為,任何堅固的防護體系如果出現一個核心風險點,都能導致牽一發而動全身的悲劇。因此,用戶在關鍵位置的核心安全產品絕對不允許只有一個解決方案,要做到“內外有別”。例如:在KVM交換機被攻陷后,后端服務器及路由交換設備的控制權絕不能讓黑客輕易獲取。另外,對于承載核心資產的主機,控制權更不能夠只交給一臺設備負責,應采用縱深防御的架構,防止“一擊致命”。
縱深防御防止“一擊致命”
在實際戰爭中,需要在前沿陣地部署一道又一道的防線,確保大本營的安全。前一道防線被突破以后會有第二道、第三道防線來進行階梯布防。而在信息安全領域“攻防戰”中,尋求“一夫當關、萬夫莫開”的解決方案是不存在的。但若換一種思路,當網絡中架起多道防線之后,服務器中出現的KVM漏洞能否導致后端的主機被攻陷呢?
假設KVM漏洞已被黑客利用,但在后端服務器如果部署了系統加固產品,即便是突破了服務器的管理系統,獲取到了服務器的用戶權限,仍然有安全防護措施可限制黑客的進一步操作。黑客如果想要再進一步登錄后臺服務器操作系統,還需要對安全加固產品進行硬件載體的認證機制突破。在這種縱深防御體系的網絡安全架構中,KVM漏洞的危害不會在網絡中延伸,主機的管理權不會丟失,信息資產便不會被黑客輕易盜取。
所以,在強調整體安全管理的策略下,講究的就是縱深防御(Defense in Depth),雖然它沒有最小特權原則(Least Privilege)被人們熟知,但卻是應對漏洞威脅最有效的方法。
浪潮“三位一體”方案為主機安全護航
2013年,浪潮在國內發布了首個集硬件、操作系統、安全軟件“三位一體”的主機安全方案,實現了“三點一面,縱深防御”全方位安全防護體系。作為安全軟件環節的核心,浪潮SSR操作系統安全增強系統提供了針對于服務器操作系統內核層面的安全加固,它采用主動防御模式,將原操作系統廠商的安全防護控制模型接管,讓用戶從根本上對主機的安全性做到自主可控。
通過安全管理員、審計管理員、系統管理員三權分立的方法,浪潮SSR實現了對用戶和進程的最小授權,從根本上免疫了各種針對服務器操作系統的攻擊行為。此外,由于采用了“U盤密鑰和數字證書+密碼”的雙重認證機制,從而避免了因為KVM等外圍管理設備漏洞、主機相關賬號被盜、管理文檔泄露等原因造成的權限被非法利用。
“亡羊補牢”不如“未雨綢繆”
對于用戶而言,最大的安全挑戰不是已知漏洞的管理,因為這將隨著漏洞管理制度、流程、工具的不斷融入得到改善,而未知漏洞才是最致命的。它們可能廣泛存在于現有系統之中、會避開反病毒保護、在黑客社區間被買賣和傳播、因為特定的需要未被公開披露。
在漏洞管理中,“為何亡羊補牢不如未雨綢繆”。亡羊補牢時,用戶將陷入一個無休止的貓鼠游戲:漏洞被別人發現,等待廠商補丁,倉促的嘗試在攻擊者到達之前手工調整安全策略、或者停止針對性的服務,等待數周之后才能完成兼容性測試而安裝補丁。而未雨綢繆則是讓用戶利用縱深防御架構,為系統打入“免疫針”,結束這個持續且被動的危機管理過程。
對于企業服務器來說,漏洞、后門等安全問題的發生幾乎是不可避免的。但如果只是在事件爆發時才能夠引起社會對安全風險的關注和警覺,稍經時日便又習以為常,這將導致累積起來的安全風險越來越大。
然而,目前市場上的主流信息安全產品如防病毒軟件、防火墻等都是從網絡層和系統上層通過黑名單的方式對已知病毒和木馬進行安全防護,國內缺少成熟的自主可控的操作系統產品及相關核心安全技術,市場迫切需要針對主機安全而提供的解決方案和產品。為此,浪潮通過對SSR產品進行的技術創新,研制出了針對主機的“疫苗”,在幫助用戶達到等級保護三級要求的同時,有效應對已知及未知的漏洞。
京公網安備 11010502049343號