银行和汽车经销商面临的威胁是不同的。因为银行与货币和资金打交道,你可以跳过很多风险(作为一个攻击者),而不是痛苦和劳动密集型的活动,需要出售或分拆一辆偷来的汽车。
如果你有一家银行,而且这家银行严重依赖互联网进行账户转账或资金管理,那么你就有了一个远程目标。再一次,我们的汽车经销商将依赖于互联网的车队订单,客户咨询,以及偶尔的汽车销售。真正的大思想家会找到某种方法来操纵这个系统,让汽车被送到某个虚构的企业,在那里它们可以“消失”。然而,即便如此,也无法与金融机构相提并论。不同的行业,不同的威胁,不同的回报,邪恶的投资。
当您的团队中有人正在寻找有关业务概要的信息时,您团队中的其他人已经做了一些研究,发现目标有一个分配给它的网络。那么,下一步是什么?当然要扫描它!让我们把这些低垂的果实放在一边,看看它们是否有我们可以从互联网上接触到的端点。那意味着扫描。与组织在VA扫描过程中进行的扫描完全相同。
现在我们得出的结论是,没有容易摘到的果实,直接攻击这项技术是不会奏效的。那么你会怎么做呢?你攻击那些完成工作所依赖的人和流程。与一些员工聊天,获得帮助台的号码。如果你再多花点心思,在垃圾箱里翻一翻,你就能对一小部分员工了解不少。人们通常对自己所做的事感到骄傲,或者对“内在”的人感到愤怒,这两种情绪都可以用来对付他们。
如果你真的很厉害,你也可以吓到他们。我们利用从一家公司的时事通讯和一些恐吓中了解到的信息,让一个服务台工程师更改了一家财富100强公司首席信息官的虚拟专用网(VPN)密码通过电话。然后,我们可以通过首席信息官的VPN连接访问网络。这是怎么发生的?服务台人员没有遵守程序。
本次讨论的目的是强调一个事实,即并非所有漏洞都与技术有关。当技术迫使攻击者尝试其他方法时,人为驱动的进程是列表中的下一个目标。由于人为驱动的流程可能需要更多的时间,因此它们被渗透的事实也需要更多的时间。某些漏洞仅使攻击者可以使用该技术。
承包商和参观者
如果解决方案不能满足您的实际需求,那么它有什么好处?对我们许多人来说,其中一个需求是要求承包商和访客必须有某种互联网接入。在某些情况下(如果不是很多的话),承包商和访问者将不愿意将基于客户端的解决方案安装到他们的系统中。我知道如果在我的私人笔记本上安装一个远程管理的客户端,我会心痛不已!
好消息是,基于CLPC的解决方案(如本章中讨论的解决方案)允许这种情况。当您配置流程时,您可以说,如果补救流程失败,则不符合要求的系统将降级为仅限Internet访问的网络。系统有机会参与,而那些选择不参与的系统无法访问内部资源,但仍然可以访问互联网。
要点
知道你的架构
在决定CLPC路径之前,必须清楚地了解网络基础设施及其所代表的功能。如果您拥有较旧的网络基础设施,那么您可能不得不转向其他技术来实现CLPC解决方案。如果没有足够的预算,旧的基础设施可能无法支持802.1x,因此在此期间可能需要使用DHCP或其他形式的划分。
您还必须记住,如果网络上的一些设备被隔离,它们将无法正常运行,例如打印机,因此您必须围绕它们规划解决方案。考虑到这一点,当您开始迫使其他网络区域进入新的访问控制模型时,还必须考虑它们。在这些系统上可能需要设置不同的安全控制。
三种基本的NAC模型
三种基本的NAC模型是802.1x、DHCP和分区。802.1x的优点是作为一个标准,并形成了一个很好的比例控制,很难绕过。然而,所需的一些工具,主要是主机完整性检查器,只有少数供应商提供。此外,启用802.1x的设备可能不会完全部署在您的网络中,从而产生“攻击漏洞”,可用于获取入口。
DHCP的优点是易于实现,而且部署成本相对较低。所有企业终端都有一个DHCP客户端,该客户端易于配置和管理。DHCP实施的缺点是,熟练的攻击者很容易绕过它。
最后一种方法是划分,即将网络划分为多个安全区域。许多网络已经使用这种设计理念来分离生产、开发、内部网和外联网网络。虽然它确实需要对网络结构进行修改,但它确实降低了病毒和蠕虫的传播速度,迫使它们通过诸如acl之类的瓶颈。
您需要记住划分的阴暗面:当您拥有一个安全的划分网络时,您需要解决这样一个现实,即不同的用户和不同的应用程序为了业务目的需要在划分之间进行访问。您必须构建一个异常流程,根据安全性和业务需求之间的平衡来评估这些请求。
当您意识到安全体系结构的复杂性在某种程度上会造成一种情况,在这种情况下,处理异常成为一项主要任务,需要一个小型团队来管理时,情况就变得更糟了。此时,复杂性和可视性的缺乏已经完全侵蚀了您所寻求的安全性。您将不得不制定一个解决方案来管理异常过程,我认为这时异常就会成为规则——确切地说,成千上万的防火墙规则。
你还必须考虑过度划分会破坏你的网络上的一些基本功能。例如,大型网络的一个基本要素是它们有一个监控服务的组。我们大多数人都必须遵守服务水平协议(SLA),该协议规定了我们的响应速度或提供服务的频率。在一个大型网络中,许多应用程序被许多防火墙隔开,您可能会发现自己存在服务监控问题。
仔细选择供应商
NAC还很年轻,供应商们还在为“模式”而努力。所谓“模式”,我指的是营销和信息传递模式。在考虑供应商时,要确保他们出售的组件与您网络上的组件能够很好地工作。建议的解决方案是否适用于您的RADIUS服务器?您需要构建代理吗?请求者和主机完整性模块将如何到达端点?
不要相信未来
从市场营销到工程设计,很多想法都无法实现。我知道这一点,因为我曾被它们蜇过,也曾是推动它们的人。因此,你需要坚持今天在你面前的事情。制定可以包含建议功能的计划,但不要把设计的安全性押在未来。
允许受控访问很重要
在某些情况下,您必须提供承包商和客人的访问权限。最好以减少或消除暴露您的网络的未知威胁的方式提供这种访问。通过有效地使用NAC解决方案的自动化功能,可以允许不受信任的系统附加到您的网络,并获得对Internet等服务的限制访问。
VM在进程中有一席之地
要使VM解决方案正常工作,它必须具有确保执行正确决策和执行正确的控制。简单的发现和修补方法可能会给现有应用程序带来问题,甚至会引入新的漏洞。他们也不能确保关键补丁已经过审查并在关键系统上实施。通过将包含构建和回归过程的控制过程分层到VM过程中,可以确保补丁和修复程序以可审核和可重复的方式实现。
渗透测试也可以是一种有用的工具,用于验证过程是否遵循,并发现过程中的漏洞。请记住,我们的许多过程都是由人驱动的,而人的记忆是短暂的。然而,这些记忆可以通过训练和常规锻炼来“更新”,比如通过渗透测试。
技术、过程和闭环
结束循环不仅仅意味着在问题上投入一些技术。NAC确实有一席之地,但如果您不了解自己的漏洞在哪里(技术性和非技术性),那么您将使循环中非常关键的部分完全开放。
了解漏洞的位置并了解它们如何影响整体安全流程对于准确了解需要关闭的所有循环的位置至关重要。有些方法比其他方法更快、更接近实时,而有些方法的工作频率要低得多,如漏洞扫描。有些过程,特别是有人参与的过程,非常缓慢,可能是最薄弱的环节。
然而,通过有效地将与端点安全性相关的技术合并到一个工程良好、自我管理、基于信任的CLPC解决方案中,您可以在这些问题成为负担之前缓解其中的许多问题。
脚注
赛门铁克在2005年收购了Sygate。SEP,Sygate Enterprise Protection,更名为Symantec Enterprise Protection。
D.贝尔和L.拉帕杜拉,《安全计算机系统:数学基础》。技术报告ESD-TR-73-278,麻省贝德福德米特尔公司,1973年
http://en.wikipedia.org/wiki/Bell-LaPadula_model(MITRE的论文原件很难拿到。)
RFC 2131
http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
版权所有©2007培生教育。保留所有权利。