近日，部分知名廠商的服務(wù)器系統(tǒng)被發(fā)現(xiàn)存在KVM漏洞，該漏洞理論上可能會(huì)被黑客利用以獲取對(duì)受害用戶設(shè)備系統(tǒng)的控制權(quán)限。然而，仍有廠商拒絕公開(kāi)承認(rèn)其多款產(chǎn)品存在該漏洞。由于該漏洞可能會(huì)導(dǎo)致黑客入侵后端的主機(jī)，致使企業(yè)的核心信息資產(chǎn)被竊取或是破壞。加之這些廠商的服務(wù)器在國(guó)內(nèi)被廣泛應(yīng)用，因此使用這些廠商的服務(wù)器無(wú)疑會(huì)給相關(guān)組織帶來(lái)極大的風(fēng)險(xiǎn)。

KVM漏洞產(chǎn)生“核心風(fēng)險(xiǎn)點(diǎn)”

從來(lái)沒(méi)有絕對(duì)的安全，漏洞存在于網(wǎng)絡(luò)、設(shè)備、操作系統(tǒng)和應(yīng)用程序當(dāng)中。如果用戶對(duì)漏洞的危害程度不能很好的區(qū)分，那么高危漏洞可能未被優(yōu)先修復(fù)，從而導(dǎo)致整個(gè)網(wǎng)絡(luò)暴露于危險(xiǎn)之中。而從風(fēng)險(xiǎn)管理角度上來(lái)看，當(dāng)漏洞被利用，同時(shí)影響到資產(chǎn)的時(shí)候，就產(chǎn)生了風(fēng)險(xiǎn)。隨著資產(chǎn)價(jià)值、漏洞等級(jí)、被利用可能性的不同，產(chǎn)生的風(fēng)險(xiǎn)也會(huì)不同。

由于服務(wù)器管理系統(tǒng)漏洞主要發(fā)生在某服務(wù)器的KVM交換機(jī)設(shè)備上，而其在企業(yè)網(wǎng)或數(shù)據(jù)中心又具有絕對(duì)的“權(quán)利”，通常處于整個(gè)網(wǎng)絡(luò)的控制核心位置，這一地位使它成為黑客入侵的重點(diǎn)對(duì)象，即：核心風(fēng)險(xiǎn)點(diǎn)。從黑客入侵者的角度來(lái)講，KVM的漏洞只是一個(gè)通道，后端的主機(jī)才是目標(biāo)。主機(jī)在網(wǎng)絡(luò)環(huán)境中是整個(gè)信息安全核心資產(chǎn)的載體，是攻防的核心焦點(diǎn)，也網(wǎng)絡(luò)中最易遭受攻擊的領(lǐng)域，如果其受到攻擊和破壞，輕則系統(tǒng)癱瘓，關(guān)鍵業(yè)務(wù)無(wú)法運(yùn)行，重則信息被篡改，關(guān)鍵機(jī)密信息被泄露，將會(huì)造成無(wú)法估量的損失。而在本次事件中，由于KVM安全漏洞的客觀存在，黑客利用KVM漏洞控制后端主機(jī)的可能性已被證實(shí)，這有可能會(huì)對(duì)企業(yè)造成毀滅性的打擊。因此，在對(duì)其安全風(fēng)險(xiǎn)和影響范圍分析之后，建議企業(yè)在第一時(shí)間對(duì)其修補(bǔ)。

頻發(fā)的“后門(mén)”與“漏洞”事件，對(duì)任何一個(gè)組織的信息安全風(fēng)險(xiǎn)管理都提出了更高的要求，找出和消除這些核心風(fēng)險(xiǎn)點(diǎn)將是重中之重。這是因?yàn)椋魏螆?jiān)固的防護(hù)體系如果出現(xiàn)一個(gè)核心風(fēng)險(xiǎn)點(diǎn)，都能導(dǎo)致?tīng)恳话l(fā)而動(dòng)全身的悲劇。因此，用戶在關(guān)鍵位置的核心安全產(chǎn)品絕對(duì)不允許只有一個(gè)解決方案，要做到“內(nèi)外有別”。例如：在KVM交換機(jī)被攻陷后，后端服務(wù)器及路由交換設(shè)備的控制權(quán)絕不能讓黑客輕易獲取。另外，對(duì)于承載核心資產(chǎn)的主機(jī)，控制權(quán)更不能夠只交給一臺(tái)設(shè)備負(fù)責(zé)，應(yīng)采用縱深防御的架構(gòu)，防止“一擊致命”。

縱深防御防止“一擊致命”

在實(shí)際戰(zhàn)爭(zhēng)中，需要在前沿陣地部署一道又一道的防線，確保大本營(yíng)的安全。前一道防線被突破以后會(huì)有第二道、第三道防線來(lái)進(jìn)行階梯布防。而在信息安全領(lǐng)域“攻防戰(zhàn)”中，尋求“一夫當(dāng)關(guān)、萬(wàn)夫莫開(kāi)”的解決方案是不存在的。但若換一種思路，當(dāng)網(wǎng)絡(luò)中架起多道防線之后，服務(wù)器中出現(xiàn)的KVM漏洞能否導(dǎo)致后端的主機(jī)被攻陷呢？

假設(shè)KVM漏洞已被黑客利用，但在后端服務(wù)器如果部署了系統(tǒng)加固產(chǎn)品，即便是突破了服務(wù)器的管理系統(tǒng)，獲取到了服務(wù)器的用戶權(quán)限，仍然有安全防護(hù)措施可限制黑客的進(jìn)一步操作。黑客如果想要再進(jìn)一步登錄后臺(tái)服務(wù)器操作系統(tǒng)，還需要對(duì)安全加固產(chǎn)品進(jìn)行硬件載體的認(rèn)證機(jī)制突破。在這種縱深防御體系的網(wǎng)絡(luò)安全架構(gòu)中，KVM漏洞的危害不會(huì)在網(wǎng)絡(luò)中延伸，主機(jī)的管理權(quán)不會(huì)丟失，信息資產(chǎn)便不會(huì)被黑客輕易盜取。

D1Net評(píng)論：

面對(duì)KVM漏洞的肆虐，需要采取縱深防御的策略，防止“一擊致命”，在強(qiáng)調(diào)整體安全管理的策略下，講究的就是縱深防御（Defense in Depth），雖然它沒(méi)有最小特權(quán)原則（Least Privilege）被人們熟知，但卻是應(yīng)對(duì)漏洞威脅最有效的方法。