应用安全:构建“从内到外”的五级浮屠

互联网 | 编辑: 2006-08-04 15:35:00转载 返回原文






  近两年网络攻击事件频繁出现,且基本上都是来自应用层的攻击。然而,目前大多数网络安全技术和解决方案在这方面却有着相当的不足。在这一领域,用户需要从内到外的安全防护,一些更大吞吐量和更高智能安全级别的设备逐渐派上用场。

  曾几何时,用户谈到安全的时候,话题都离不开传统的老三样:防火墙、防病毒、入侵检测。然而,从最近两年来国际国内频频出现的安全事件分析,企业面临的信息安全环境已经出现了较大的不同。根据IDC和Gartner在今年初披露的数字,目前影响企业信息安全的最大挑战,就是越来越多来自应用层的威胁。两大分析机构在综合了近36个月全球范围的数字后得出了一致的结论:企业50%~80%的信息安全问题,发生在企业的内部,其中来自应用系统漏洞、电子邮件系统泄密、Web与BBS问题、IM软件的漏洞、间谍软件频发以及愈演愈烈的钓鱼事件,逐渐成为了企业信息安全的威胁。

  由于这些威胁不同于以往IT基础设施安全的原理与机制,且大都发源内网,现身于应用系统,威胁敏感应用于数据,因此一些安全专家称其为:来自企业内部的“应用安全”危机。之所以称之为一场危机,是因为目前大多数网络安全技术和解决方案在应对时有着相当的不足。从市场的反馈看,越来越多的用户开始关注自身的“应用安全”,而他们也确实需要从内到外的安全防护。幸运的是,以8e6科技、神州数码网络、深信服、TippingPoint、侠诺科技为代表的厂商们,已经针对应用安全的主要挑战进行研究,并取得了相当的技术成果。作为媒体,我们也感谢厂商能够将多年的经验拿出来分享,从而让更多的企业用户实现“应用安全”。

  保护之一:应用系统补漏

  其实谈到应用安全,安全厂商都认为,单单从IT基础设施的部署上看,应用安全可以分成两个层次:一个是应用业务的保护,包括对于应用敏感数据的保护;另一个是应用系统本身的保护,即保护应用系统本身的连续性。但无论从哪个方面说,其安全的架构都无法回避漏洞带来的问题,这里的漏洞可以包括各种操作系统、数据库软件、中间件以及终端应用程序的漏洞。事实上,这些由漏洞导致的安全威胁,往往最终也体现在企业用户的应用层面。TippingPoint的安全专家李臻表示,目前针对各个环节、各种漏洞的不同特点,出现了大量的、不同的攻击代码。在企业网络中,除了传统的在网关处部署入侵防御系统外,为了应对应用安全的需要,越来越多的企业选择在服务器群前面部署IPS,从而对所有访问服务器应用的数据流都实现监控。“完善的应用安全机制,需要针对访问服务器群的流量里面每个数据包进行深度分析,从而实现相应的应用层协议解析,对于违反协议异常的情况进行处理”,不过李臻认为,这仅仅是完成了其中的一半任务,“事实上,越来越多的威胁发生在应用的接口上,这些接口对应了很多函数与相应的参数。要实现完善的应用安全,必须要求IPS系统能够对这些函数漏洞进行敏感性较高的扫描。”

  据悉,这些具有漏洞的函数很多都会被正常的应用所调用,因此IPS系统必须根据用户后续给出的参数,判断是否存在攻击的特点,从而形成一个特征匹配。因此要实现应用安全,相应的入侵防御系统必须可以针对特征匹配和应用流的协议异常分析,就像著名的RPC漏洞,安全系统必须进行一个综合判断,经过多个精确条件的匹配,判定发过来的请求,才能准确实现对应用系统的防护。李臻认为,利用漏洞过滤器技术,可以更好地应对应用安全的需求。该技术可以对协议进行分析,从而把协议中间的函数使用进行相应的识别,并了解正常的函数参数是什么样子,对于某些含有威胁的超长字符串,过滤器会进行判断。由于该技术需要根据一系列调用函数的动作开展行为分析,因此传统的匹配过程无法保证应用安全的完整实现。

  需要指出的是,一些针对RFC公开标准的协议,由于本身的规程公开,很多防护系统都可以进行相关的技术保障。但针对微软自己的协议或者服务,大部分是不公开的,需要设备或者系统对协议进行分析,这个过程会依赖厂商的公开量。因此针对应用安全的漏洞修补问题,并非一蹴而就的简单过程,特别是对于像HTTP这些很灵活的协议,需要多重手段来保证应用安





保护之二:杜绝邮件泄密

  对于应用安全的另一大问题,就是企业广泛使用的邮件系统。以往防火墙或者IPS所作的,大多是保护邮件系统免遭外部病毒入侵,但目前的主要挑战却是:企业需要设立完整的邮件过滤机制,确保发出的邮件没有携带企业的敏感信息。有意思的是,像神州数码网络、深信服等UTM厂商,也对此非常重视。要知道,根据UTM中邮件安全的标准定义,其功能主要是反垃圾邮件。神州数码网络的安全产品经理颜世峰表示:“针对邮件的安全控制,需要从底层接入控制和内容分析两个方面来做,因此对于敏感数据的保护,企业需要全盘考虑。”

  事实上,颜世峰的思路和大多数的安全网关产品厂家是一致的。首先,利用网关型安全管理设备,如神州数码的DCSM,从入口处对所有的内网用户进行准入控制。这种准入控制可以进行用户名、密码、IP、MAC、交换机端口等多元素的绑定,同时为了能够更加精准地控制到内网人员,可以在企业每个员工的系统上自动分发客户端代理。“这样做的好处是,每一个想要通过企业邮件系统向外发送信息的员工,他的一举一动DCSM都会进行监控,无疑这就从源头上确保了邮件用户本身的可靠性。” 颜世峰如是说。

  8e6科技的安全专家宋汉斌也表示,网关型设备可以采用旁路模式,因此一般不会干扰原有的网络拓扑,而利用类似Sniffer的监听方式,可以获取内网发出的全部信息,从而确保邮件用户的行为可控。当然,邮件用户的准入控制是确保邮件安全的第一步。接下来,对于邮件本身的内容也要有所监控。神州数码网络和8e6科技分别利用DCSM和E-Police技术,对邮件进行关键字审计和镜像审核,并生成邮件安全的报告。深信服科技的技术经理叶宜斌表示,在进行大量实例分析以后发现,大部分企业的邮件泄密事故是从邮件发送客户端造成的。因此他们专门开发了邮件的延时审计技术来保证发送的安全性。“客户端在发邮件的时候,企业很多在线监控的工具仅仅是看到邮件发出去了,即便造成了泄密,也已经无法挽回了。而利用延迟审计技术,客户端邮件先发送到网关,由网管人员进行判断,如果审理通过或默认时间没有审理,则可以发送;否则就进行阻止。”叶宜斌认为,对邮件的内容进行审计,可以从技术上保证万无一失,企业要做的就是确保所需要的执行程度。

  记者在6月北京举办的信息安全大展上曾经见到,电子邮件的安全审查确实已经成为企业应用安全的重要组成部分,企业采用安全网关或安全网桥连接内部可信网络和外部不可信网络,在处理邮件时主要遵循以下步骤:第一,请求:用户向安全网关或安全网桥请求向外部不可信网络发送电子邮件;第二:延迟缓存:安全网关或安全网桥将所述电子邮件存储在内部可信网络中管理人员可访问的指定位置,并通知管理人员;第三,审查和发送:管理人员根据通知审查待发的电子邮件,通过管理人员审查的电子邮件正常发出,否则不予发送。叶宜斌表示,企业利用这种方法,通过安全网关或安全网桥延迟缓存向外网发送电子邮件,同时进行人工审查,保证了机密信息不随外发电子邮件泄露。


 




  保护之三 :防御Web潜威胁

  另一个值得关注的应用安全问题,就是来自Web应用的普及。侠诺科技的安全专家张建清博士表示,很多企业员工在上网、下载、以及访问BBS和Blog的时候,经常出现泄密、感染病毒或恶意代码的情况。事实上,越来越多的Web站点、Web邮件、BBS,已经构成了企业无法回避的一大应用问题。

  叶宜斌表示,针对目前广泛存在的Web泄密的问题,企业必须拥有完善的记录员工上网行为的技术。“当某一个员工打开一个网页的时候,后台的UTM或者网关设备必须生成一个记录,标识出具体哪个用户、哪个IP在访问哪个网页。其中,系统会根据使用者的网页搜索请求、BBS发贴通讯进行相应的内容级别的记录,从而实现追踪的需要。”目前,像深信服、神州数码网络、8e6科技已经实现了通过HTTP协议进行内容分析的技术。企业可以在UTM设备或者网关型设备中开启相应的日志数据中心,从而实时记录内网用户每一个时刻的网络行为,除了普通的Web泄密,系统还可以记录BBS上的URL内容,也可以记录并监控Web方式发送的邮件,包括邮件内容和收信人地址。如果记录的内容很庞大,还可以利用第三方的日志中心进行存储。第三方日志中心可以定期与网关设备同步,对大型企业来说,不论是采取阻断还是生成分析报告,对Web的安全控制都会详细的多。

  颜世峰也提出,Web安全属于企业所有员工都要遵循且自觉接受安全规范控制的范畴,因此从原理上说,属于企业全网安全技术的一部分。“我们已经在DCSM的基础上,开发了DCBI-Netlog日志系统,并将两者统一起来,促成企业内网准入、终端安全、行为记录的统一,从而进一步完善了以3DSMP为基础的全网安全技术。”其实,这种多系统捆绑的目的,就是从准入控制的源头与行为追踪的可控进行联动。类似地,宋汉斌也将E-Police系统与企业用户网络行为追踪系统R3000整合搭配,从而实现了用户Web行为记录、匹配、回溯的模式。

  此外,针对Web安全的客户端配置,不同厂家的做法也有区别。像深信服主要以UTM为监控保护设备,因此它仅仅需要通过源头与过程的双重监控,就可以定位到哪台机器出了安全问题,所以一个简单的ActiveX控件就可以帮助UTM实现类似的信息收集功能。而像神州数码网络以旁路的DCSM为基础,除了收集信息,还要与全网安全中的其他设备,如桌面保护系统、交换机、防火墙等联动,同时还有专门的DCBI-Netlog日志分析系统,因此需要自动分发安全客户端代理软件。




 保护之四:控制间谍软件

  目前应用安全中最为棘手,也是唯一无法完全防御的问题,就是间谍软件。按照微软的定义,凡是未经用户许可,修改系统的配置信息,非法收集用户信息的软件,都属于间谍软件。TippingPoint的全球安全专家Dinesh Sequeira指出,间谍软件会不断地在互联网中滋生和扩张。因为大量用户浏览互联网所花费的时间越来越多,由投机资金支持的在线广告也将不断增加。目前安全厂家建议,从外网、内网采取多设备控制的方法,最有可能实现对间谍软件的防护。张建清表示,目前IPS和UTM厂家采用较多的深度包检测机制(深度封包过滤)是解决间谍软件的一个有效技术。该技术可以把封包的内容打开,进行仔细的比对匹配,从而让安全设备完全了解传送的内容。例如当包的内容是压缩时,深度包检测会把压缩的文档也解开,以进行内容的检查。

  但他也承认,深度包检测技术虽然可以有最高的防御级别,但相对需要较大的运算能力,转发率也往往受到限制。而且设备需要大量的特征码与规则数据库,否则也认不出威胁来。而这也是制约反间谍软件的问题。“间谍软件主要通过ActiveX控件下载安装、IE浏览器漏洞和免费软件绑定安装进入用户的计算机中,目前侠诺的路由器具有Java、AcitveX的阻挡功能,可以在一定程度上将其阻挡在路由器外。”李臻表示,目前对付间谍软件的一个有效方法就是阻断间谍软件在网络上的传播。因为间谍软件一般是利用漏洞,完成对IE浏览器或者Winsock进行劫持(也有利用伪装Proxy或弹出式广告)。事实上,很多间谍软件会和广告软件、P2P软件、下载加速器软件捆绑,从而收集用户的上网习惯、个人信息,然后传到相应的信息收集站点。因此IPS可以利用自身的过滤器进行数据包、Cookie信息的检测与识别,不论是在下载过程,还是传播过程中的间谍软件,都可以被IPS进行识别与阻断。特别是透过IPS每周接收的数字疫苗(状态签名),企业可持续监视和迅速涵盖新出现的间谍软件威胁或系统弱点。而神州数码网络和深信服的专家在此问题上口径相当一致,他们认为判断间谍软件,必须进行技术分析。因此企业需要引入全面的网络访问准入规则。而无论是通过DCSM还是UTM来进行安全防范,都要在用户访问企业网的时候,针对IT环境进行控制:包括监测用户是否运行了指定的程序,如杀毒软件;同时对操作系统、文件、进程、注册表进行安全检测,确认安全以后才会允许连接互联网;接下来还要对访问行为进行记录。

  颜世峰认为,利用对客户端环境的多种限制,可以确保接入与访问的安全与“干净”,而准入规则限制了间谍软件的非法流通,特别是在进程中可以做到实时监控。宋汉斌也表示说,除了技术上要能看到协议的内容,安全系统还必须提供具有庞大数据资料的匹配信息库。特别是除了间谍软件本身的特征码,系统还需要密切跟踪那些经常发布间谍软件的黑客网站的动态与IP地址,以便及时发现是否有间谍软件的非法通信。

  保护之五:P2P应用防御

  除了间谍软件,近几年发展起来的令企业倍感头痛的应用,恐怕非P2P莫数。甚至一些安全厂商将P2P应用比作“安全爱滋”。因为此类应用的初衷就是开放、共享,原理本身就注定了其不安全的因素,且专门攻击安全技术的命门。

  目前主流的P2P应用包括两大类:一类是以MSN、QQ、Skype为代表的IM(即时通信)类软件;另一类是以BT、电驴为代表的下载程序。现在的问题是,由于P2P的开放性,导致了大量的病毒、木马程序和间谍软件极易驻留其中,且危害性较为隐秘。而后一类的问题可能更大,一旦在企业网中使用,势必增加对带宽的占用,影响企业正常应用的开展。目前除了MSN是以明文方式通信外,Skype和新版本的QQ都已经采用了加密信息的模式。李臻表示,IPS厂家在封堵P2P应用的时候,主要是考虑根据企业的需要,允许必要的聊天通信,但不允许传送文件。对于较严格的加密通信,企业可以选择不允许开启,利用IPS直接在网关封杀。

  而张建清表示,对于这两类应用,一方面可以利用侠诺路由器的“一指键设定”的功能,从网络出口处阻挡应用文件通信和下载,另一方面,也可以根据P2P软件的特征,如BT种子常见的“.torrent”字符串,专门加以过滤。此外,像神州数码网络和深信服,都选择了利用深度包检测来控制P2P的应用。颜世峰和叶宜斌均表示说,无论是IM还是P2P下载,它们都属于应用层的信息,技术上的封堵主要是通过深度包检测,分析协议里面数据包的类型,或者分析P2P协议的特征码进行匹配,从而实现阻断。这样做得好处是,匹配过程比较详细,特别是可以避免恶意代码或者间谍软件的渗透。

  他们认为,现在一些大型企业与金融机构,已经开展了专门针对MSN、QQ等应用的内容检测,通过网络抓取通信的内容,并派专人进行实时审计,从而也防止了泄密的发生。不过,广泛采用深度包检测确实会加重对安全系统性能的影响。宋汉斌表示,他们建议企业可以采用旁路模式的内容安全设备,一方面不用更改网络配置,另一方面以报告的方式取代直接干预的模式,可以降低对网络的性能影响。对于一些即时性要求不高的安全控制,这样部署较为便利。

  编看编想

  应用安全的擦边球:关注钓鱼

  网络钓鱼是从2004年开始泛滥的一个安全问题,从原理上分析,它介乎于企业的内外网之间的灰色地带。事实上,解决网络钓鱼的最好方法与出路,还是从应用系统的漏洞入手。网络钓鱼的核心就一条:引诱用户访问被黑客控制的站点,从而收集信息。通常的做法是,黑客控制网络上某个企业的一台Web Server,并把非法伪造的网页植入到这台Web Server上去。同时,黑客从控制的某个企业的邮件服务器上(可能就是拥有此Web Server的企业),发送大量的嵌入恶意代码的邮件,引导收到邮件的用户访问Web Server上的伪造网页。事实上,利用IPS就可以保证企业自己的Web Server没有被别人钓鱼;另一方面,别人的Web Server向某些企业发钓鱼信息的时候,IPS也可以挡住。

  这是因为,黑客之所以能够控制Web Server,是利用了其自身的漏洞植入非法程序。但是IPS的保护,可以确保黑客无法获取Web Server的权限,从而无法植入非法程序,无法进行上载过程; 而对于某些被控制的Web Server向受IPS保护的企业发送钓鱼信息,由于钓鱼邮件具有恶意代码嵌入,会被企业的IPS识别出来,从而阻止通信。

 

返回原文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑