应用安全:构建“从内到外”的五级浮屠

互联网 | 编辑: 2006-08-04 15:35:00转载 一键看全文


 保护之四:控制间谍软件

  目前应用安全中最为棘手,也是唯一无法完全防御的问题,就是间谍软件。按照微软的定义,凡是未经用户许可,修改系统的配置信息,非法收集用户信息的软件,都属于间谍软件。TippingPoint的全球安全专家Dinesh Sequeira指出,间谍软件会不断地在互联网中滋生和扩张。因为大量用户浏览互联网所花费的时间越来越多,由投机资金支持的在线广告也将不断增加。目前安全厂家建议,从外网、内网采取多设备控制的方法,最有可能实现对间谍软件的防护。张建清表示,目前IPS和UTM厂家采用较多的深度包检测机制(深度封包过滤)是解决间谍软件的一个有效技术。该技术可以把封包的内容打开,进行仔细的比对匹配,从而让安全设备完全了解传送的内容。例如当包的内容是压缩时,深度包检测会把压缩的文档也解开,以进行内容的检查。

  但他也承认,深度包检测技术虽然可以有最高的防御级别,但相对需要较大的运算能力,转发率也往往受到限制。而且设备需要大量的特征码与规则数据库,否则也认不出威胁来。而这也是制约反间谍软件的问题。“间谍软件主要通过ActiveX控件下载安装、IE浏览器漏洞和免费软件绑定安装进入用户的计算机中,目前侠诺的路由器具有Java、AcitveX的阻挡功能,可以在一定程度上将其阻挡在路由器外。”李臻表示,目前对付间谍软件的一个有效方法就是阻断间谍软件在网络上的传播。因为间谍软件一般是利用漏洞,完成对IE浏览器或者Winsock进行劫持(也有利用伪装Proxy或弹出式广告)。事实上,很多间谍软件会和广告软件、P2P软件、下载加速器软件捆绑,从而收集用户的上网习惯、个人信息,然后传到相应的信息收集站点。因此IPS可以利用自身的过滤器进行数据包、Cookie信息的检测与识别,不论是在下载过程,还是传播过程中的间谍软件,都可以被IPS进行识别与阻断。特别是透过IPS每周接收的数字疫苗(状态签名),企业可持续监视和迅速涵盖新出现的间谍软件威胁或系统弱点。而神州数码网络和深信服的专家在此问题上口径相当一致,他们认为判断间谍软件,必须进行技术分析。因此企业需要引入全面的网络访问准入规则。而无论是通过DCSM还是UTM来进行安全防范,都要在用户访问企业网的时候,针对IT环境进行控制:包括监测用户是否运行了指定的程序,如杀毒软件;同时对操作系统、文件、进程、注册表进行安全检测,确认安全以后才会允许连接互联网;接下来还要对访问行为进行记录。

  颜世峰认为,利用对客户端环境的多种限制,可以确保接入与访问的安全与“干净”,而准入规则限制了间谍软件的非法流通,特别是在进程中可以做到实时监控。宋汉斌也表示说,除了技术上要能看到协议的内容,安全系统还必须提供具有庞大数据资料的匹配信息库。特别是除了间谍软件本身的特征码,系统还需要密切跟踪那些经常发布间谍软件的黑客网站的动态与IP地址,以便及时发现是否有间谍软件的非法通信。

  保护之五:P2P应用防御

  除了间谍软件,近几年发展起来的令企业倍感头痛的应用,恐怕非P2P莫数。甚至一些安全厂商将P2P应用比作“安全爱滋”。因为此类应用的初衷就是开放、共享,原理本身就注定了其不安全的因素,且专门攻击安全技术的命门。

  目前主流的P2P应用包括两大类:一类是以MSN、QQ、Skype为代表的IM(即时通信)类软件;另一类是以BT、电驴为代表的下载程序。现在的问题是,由于P2P的开放性,导致了大量的病毒、木马程序和间谍软件极易驻留其中,且危害性较为隐秘。而后一类的问题可能更大,一旦在企业网中使用,势必增加对带宽的占用,影响企业正常应用的开展。目前除了MSN是以明文方式通信外,Skype和新版本的QQ都已经采用了加密信息的模式。李臻表示,IPS厂家在封堵P2P应用的时候,主要是考虑根据企业的需要,允许必要的聊天通信,但不允许传送文件。对于较严格的加密通信,企业可以选择不允许开启,利用IPS直接在网关封杀。

  而张建清表示,对于这两类应用,一方面可以利用侠诺路由器的“一指键设定”的功能,从网络出口处阻挡应用文件通信和下载,另一方面,也可以根据P2P软件的特征,如BT种子常见的“.torrent”字符串,专门加以过滤。此外,像神州数码网络和深信服,都选择了利用深度包检测来控制P2P的应用。颜世峰和叶宜斌均表示说,无论是IM还是P2P下载,它们都属于应用层的信息,技术上的封堵主要是通过深度包检测,分析协议里面数据包的类型,或者分析P2P协议的特征码进行匹配,从而实现阻断。这样做得好处是,匹配过程比较详细,特别是可以避免恶意代码或者间谍软件的渗透。

  他们认为,现在一些大型企业与金融机构,已经开展了专门针对MSN、QQ等应用的内容检测,通过网络抓取通信的内容,并派专人进行实时审计,从而也防止了泄密的发生。不过,广泛采用深度包检测确实会加重对安全系统性能的影响。宋汉斌表示,他们建议企业可以采用旁路模式的内容安全设备,一方面不用更改网络配置,另一方面以报告的方式取代直接干预的模式,可以降低对网络的性能影响。对于一些即时性要求不高的安全控制,这样部署较为便利。

  编看编想

  应用安全的擦边球:关注钓鱼

  网络钓鱼是从2004年开始泛滥的一个安全问题,从原理上分析,它介乎于企业的内外网之间的灰色地带。事实上,解决网络钓鱼的最好方法与出路,还是从应用系统的漏洞入手。网络钓鱼的核心就一条:引诱用户访问被黑客控制的站点,从而收集信息。通常的做法是,黑客控制网络上某个企业的一台Web Server,并把非法伪造的网页植入到这台Web Server上去。同时,黑客从控制的某个企业的邮件服务器上(可能就是拥有此Web Server的企业),发送大量的嵌入恶意代码的邮件,引导收到邮件的用户访问Web Server上的伪造网页。事实上,利用IPS就可以保证企业自己的Web Server没有被别人钓鱼;另一方面,别人的Web Server向某些企业发钓鱼信息的时候,IPS也可以挡住。

  这是因为,黑客之所以能够控制Web Server,是利用了其自身的漏洞植入非法程序。但是IPS的保护,可以确保黑客无法获取Web Server的权限,从而无法植入非法程序,无法进行上载过程; 而对于某些被控制的Web Server向受IPS保护的企业发送钓鱼信息,由于钓鱼邮件具有恶意代码嵌入,会被企业的IPS识别出来,从而阻止通信。

 

提示:试试键盘 “← →” 可以实现快速翻页 

总共 3 页< 上一页123
一键看全文

本文导航

相关阅读

每日精选

点击查看更多

最新快讯

热门文章

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑