網路安全的最高境界便是能預測駭客的下一步,讓安全防護的機制能永遠領先駭客。不過在真實的世界裏,常常事與願違。駭客攻擊事件依然層出不窮,網路系統依然經常受到不知名的電腦病蟲攻擊,我們依然需要依賴網路安全廠商花數天研究不斷問世的新電腦病蟲與新的攻擊手法來應付新的威脅,但往往等到我們知道如何消滅新的病蟲,新的變種病蟲又開始在網路上蔓延了。加爾斯伯電腦經濟學人(Computer Economics of Carlsbad, Calif.)研究公司表示,一九九九年全年全球資訊系統因為電腦病毒肆虐所造成的損失為一百二十一億美元,去年為一百七十一億美元,今年預計會更高。事實是,我們一直追著駭客跑,駭客老是先我們一步。
要在與駭客的戰爭中取得主動優勢,我們就必須先破除一些過去對網路安全不正確的觀念與想法:
迷思一:防火牆萬能論
直到今日,仍有許多使用者認為,只要安裝了防火牆,便可以高枕無憂,或至少可以阻擋大部份的攻擊行為。防火牆固然是重要且必備的安全機制,而且隨著技術的進步,防火牆的功能也越來越強大,但是防火牆仍有其天限。無論是那個廠牌的防火牆,它主要的工作便是控制存取與過濾封包,所以對DoS攻擊、非法存取與竄改封包等攻擊模式的防制極為有效,提供網路週邊安全的防護。可是如果攻擊行為不經過防火牆(例如自網路內部發動攻擊),或是將應用層(Application Layer)的攻擊程式隱藏於正常的封包內(例如暗藏於URL Unicade中的後門程式),防火牆便發揮不了作用。
前一陣子重創網路的Nimda病蟲攻擊事件中,很多受害者的網路都安裝有防火牆,可是依然無法倖免於病蟲的攻擊,原因不在於防火牆無法發揮作用,而是Nimda同時運用了多種攻擊手法,而其中幾種攻擊方式都屬於應用層(ApplicationLayer)的攻擊,防火牆無法察覺。而不只Nimda,現在的駭客技術日新月益,多半會在一個攻擊行動中同時結合多種攻擊技術,防火牆並非無用,但絕非萬能。
迷思二:有需要,再建置
這是典型的追著駭客跑的心態,通常持有這類想法的網路管理者都知道網路安全不可能單靠防火牆,而必須有更完備的安全機制來保護網路系統。不過他們並不確切知道自己的網路需要什麼樣的安全機制,因此也不知如何進一步規劃網路安全,就算規劃某種安全機制,也未必會被主管及採購人員所接受,所以只好頭痛醫頭,腳痛醫腳,等到受到駭客攻擊了,才根據“需要”,建置安全機制。
上述情形普遍存在於現今的企業網路環境中,要解決上述的問題,就必須建立完整而持續的網路安全稽核機制。駭客攻擊手法何其多,很難依據特定的攻擊模式建立相對應的安全機制,何況目前的攻擊手法都會結合多種攻擊模式,但不管攻擊手法如何變化,攻擊行為能夠成功的前提不會改變,那就是網路有漏洞存在。一個被入侵的網路,一定有某個安全漏洞被駭客發覺。反過來說,如果網路沒有安全漏洞,無論駭客手法如何高明,也無法成功侵入網路。要成功的防堵駭客,基本的功課便是找出網路上的安全漏洞。
欲有效率且完整的檢查網路上的安全漏洞,就必須利用Scanner工具。駭客也會利用類似Scanner的工具收集您網路環境的資訊,包括存在的安全漏洞,再伺機攻擊。我們亦可利用Scanner收集我們自己網路環境的資訊與檢查潛在的漏洞,再根據Scanner所建議採取的方法來移除或保護所發現的漏洞,譬如是否該安裝某一特定的修補檔(patch),或是該建立其他安全機制。在利用Scanner了解自己網路的狀態後,才能對症下藥,明確知道是否需要建置某一特定的安全機制(例如入侵偵測系統),況且利用Scanner所產生的報表,主管一目了然,因為我們所規劃的安全機制有Scanner的資料背書,並非憑空想像。
任駭客再如何刁鑽,他的成功必須依賴所要攻擊之網路中的安全漏洞,以前一陣子的Code Red與Nimda電腦病蟲為例,都是利用微軟IIS伺服器的漏洞,但早在Code Red與Nimda分別被發現的前兩個月,微軟便已公布了修補檔來修復完全漏洞,從Code Red與Nimda所造成之損失的嚴重情況來看,很少網路管理者真的下載修補檔,進行修補漏洞的動作。
迷思三:建置網路安全系統非常昂貴
如果您贊同前述的觀點,也就是網路安全機制的建立從審視網路安全漏洞開始,那我們來看看填補這些漏洞需要多少費用。美國聯邦調查局與SANS組織會不定期發佈二十大網路安全漏洞,這其中有許多漏洞藉著下載原廠修補檔便可移除,而這些修補檔通常是免費的。
另外一些安全漏洞皆是網路管理的老生常談,像是嚴謹管理的密碼帳戶,建立系統備份等,都是平常管理網路就該注意的必要事項,並不須額外花費建購。
最後,如依完全稽核的報告,而需建置防火牆或入侵偵測系統,其花費與其他系統(如伺服器)建置所需的費用相比較,未必會較為高昂,若再考慮因遭受攻擊而需重建其他系統時會重覆產生的費用,建置網路安全系統的成本及時非常划算。一個完善的網路安全機制之建立,關鍵並不在實體的費用,而在管理者的用心。
[ Last edited by BBJ on 2005-2-25 at 11:47 PM ] |
|
