刘小雄:这四座大山不除 企业安全恐将毫无宁日

  摘要:“2016年网络安全(中国)论坛”9月8日在上海举行,琵琶行安全创始人兼首席安全战略官刘小雄作了题为“网络边界与企业安全防护体系”的主题演讲,如何看待网络边界及怎样应对网络边界的变化两方面阐述网络边界与企业安全防护体系的关系。

  在9月8日召开的“2016年网络安全(中国)论坛”上,琵琶行安全创始人兼首席安全战略官刘小雄从如何看待网络边界、怎样应对网络边界的变化两方面阐述网络边界与企业安全防护体系的关系。网络边界是企业安全防护体系的基础,他认为企业必须积极寻求解决网络边界被打破这—问题的安全产品与技术。下为是演讲全文:

图片1.jpg

  琵琶行安全创始人兼首席安全战略官刘小雄

  现在有种说法,网络边界模糊了,网络安全没有边界了。普通老百姓可以有这种想法,但是做安全的绝对不可以。

  今天,我从安全防护的本质上,间接地驳斥这个想法。

  在构建企业安全防护体系中,如何看待网络边界,它们在整个安全防护体系中应当起到怎样的作用?

  在回答这个问题之前,让我们先从更大的视角开始。

  目前世界上共有224个国家和地区,其中国家为193个,地区为31个。国与国之间、地区与地区之间的边境是世界安全治理的基础。那些边境还没划定的区域,往往是那些纷争动乱频频发生的地方。

  我国有34个省级行政区,其中有4个直辖市、23个省、5个自治区、2个特别行政区。省与省之间、地区与地区之间的边界是我国安全治理的基础。历来边界发生动荡的时候,不是藩镇割据、军阀混战,就是战祸降临了。

  在互联网时代,当一家企业成立,只有等到网络边界的确定,这家企业才能够初步建立起自己专属的办公区、数据中心和实现移动办公。网络边界是企业安全治理的基础,缺少网络的围栏,企业将难以维持正常的生产与运营。

  不管是边境,边界,还是网络边界,每—次的变化,都意味着某种风险的到来,说明有事要发生了。但三者是有区别的,表现在变化的程度上。

  国与国之间的边境和一国之内省与省之间的边界,极少发生变化,而企业的网络边界会时常发生变化。下面我们来仔细探讨这个问题。

  当一个企业的网络创建完成,网络边界开始确立,以后完全不会发生变化是不可能的。就算在物理隔离的网络环境中,其内外网络边界可以维持长时间的隔离的稳定的状态,但是其内部网络之间的边界,那就难说了。而网络边界每天都极度频繁发生变化的情况也较少见。

  一般而言,企业的网络边界的变化程度,往往界于两者之间,即完全不会发生变化与极度频繁变化之间。网络边界的变化,常常带来网络边界的打破。

  什么是网络边界被打破?

  非正常的、非合规的、非安全的网络边界的变化,就是网络边界被打破。

  对一个企业而言,有三个因素会导致网络边界被打破,它们分别是业务网络需求,网络设备配置和网络设备漏洞。

  业务对网络需求是网络边界发生变化的源头。在企业里边,业务会经常提网络需求,比如申请开通新业务,新云接口,申请放开内部跨网段的资源共享,申请开通外部合作伙伴越过防火墙访问内部资源等。本来这些网络需求都是无可厚非,但遗憾的是没有经过严格审批。是不是业务需要,是不是附合公司安全规定,没有这样的审批过程,而是来者不拒,照开不误。这就导致了那些非业务正常需要、不附合安全规定的网络需求也会被开通,企业正常的网络边界因此被打破。

  一个正常的网络需求,水平不一的网络工程师或网络安全工程师处理的结果可能会不一样。有经验的工程师一般不会出错,但是经验欠缺的工程师存在操作配置不当的情况,致使网络权限超出正常需求而变大。当一个企业的网络设备不是几台,而是成百上千,甚至是上万台时,面对这样复杂的网络环境,即使经验丰富的工程师也难免有出错的时候。在网络设备的配置操作阶段,埋着好多坑,一不留神,企业正常的网络边界就会被打破。

  最后的因素是网络设备漏洞。首先要关注的是acl溢出,即网络访问控策略规则条数超出该设备所能支持的阈值,将导致该设备上网络访问控制策略全部失效,城门洞开。我们曾遇到这样的一件事。有一次有位同事去外地出差,他一打开电脑刚连上网,竟然就接收到了公司的邮件,他无比紧张,马上就给我们打电话。因为正常情况下,只有拔了vpn,才能使用公司的内部邮箱。后来我们一查,发现原来是公司内部邮件服务器前面的一台核心交换机的acl条数满了,导致该台设备上的网络访问控制策略全部失效,所以,他没有拔vpn也连上公司的内部邮箱。其次要注意的是,网络设备常规漏洞被黑客攻击利用。一旦黑客攻破控制网络设备,企业正常的网络边界必然被打破。在林林种种的APT攻击种类里,确实存在专门攻击网络设备来获得情报的。美国国家安全局NSA御用黑客攻击小组,方程式攻击小组,专门就干这个的。APT攻击,即高级持续攻击。这里提到的网络设备,指的是交换机、路由器和防火墙,以及构成网络的其它设备。

  如果企业正常的网络边界被打破,企业安全防护者将不知道白己防护的对象的网络边界在哪里,无法对网络进行有效控制,企业安全治理的基础动摇了。。。。。。后果很严重。

  让我们结合APT攻击的过程来说明这个问题。

图片2.jpg

  重复,APT攻击,指高级持续攻击,具体有10个步骤。

  第一步,目标选择。

  黑客想攻击谁,我们无从干涉。

  第二歩,信息收集。

  网络边界被打破,攻击面扩大,黑客获得信息更容易。

  第三步,确定了入侵点。

  第四步,将恶意软件植到被控制的机器上。

  第五步,提升特权。

  第六步,命令与控制通信。

  第七步,横向迁移。

  网络边界被打破,黑客横向攻击扩大战果,必畅通无阻。

  第八步,资源的发现和保持。

  第九步,数据偷运。

  第十歩,消灭罪证。

  网络边界被打破,内部资源外露,使黑客更容易完成从第三步到第六步的攻击。通常而言,人们更注意外部的安全,而忽视内部的安全。所以,相比较而言,内部资源往往存在漏洞,一旦暴露在外,攻破很容易。而网络边界被打破,将形成一个大的网络通道,黑客可能黑掉的机器不止几台几十台,可能达百台千台上万台,甚至更多,在这样的情况之下,安全事件应急响应处理恐怕难以完成,或者说,短时间内根本无法完成,因此,就算已被发现,黑客仍能坦然地长时间持续不断地重复完成第八步到第十步的攻击过程。

  为什么说,在这种情况下,难以进行安全事件应急处理?

  处理被黑事件,离不开查找漏洞和清查后门这俩件事。漏洞沒查全,黑客仍有机会再攻进来。遗漏一个后门,黑客仍能来去自如。面对如此众多的涉黑机器,这两件事什么时间能处理完毕?

  举一个真实发生的案例。国内某知名企业曾发生一起内网被黑客入侵的安全事件。

图片3.jpg

  经查,他们的内部票务管理系统,不慎有天暴露在外,黑客利用SQL注入漏洞攻破该系统,控制了这台服务器,然后发起横向攻击。该系统所在网段能够直达办公网络,于是黑客先后黑掉了该办公网和黑掉数据中心的机器。等他们发现被黑的迹象时,黑客可能已经几乎黑掉了他们办公网大多数的机器和相当数量的数据中心的机器,被黑的机器数量可能已达到成千上万台。面对如此庞大的机器数量,如何查找漏洞?如何清查后门?如何界定哪台机器被黑了?解决这些问题,是个庞大的系统工程,恐怕短时间内难以完成。事实也是这样的,时至今日,此次安全事件的余波仍未结束,他们还没摆脱被虐的命运。

  类似这样的真实案例不少,以国内企业目前的安全状况,也许每天都会发生这样的入侵事件,只是没有发现罢了。

  当企业正常的网络边界被打破,企业安全防护体系不得不背着4座大山上路。这4座大山是,攻击面大,内部资源外露易受攻击,无法阻止横向攻击,难以进行安全事件应急响应处理。

  为什么要建立企业安全防护体系?

  企业安全防护体系是用来保护企业的安全,旨在防守,简单的说,它有两大用途。

  第1.防止出现漏洞,被黑客攻击利用。但当网络边界被打破,造成攻击面大、内部资源外露、无法阻止横向攻击等安全问题时,企业安全防护体系的这一防护作用已大大削弱,甚至丧失。

  第2.当发生入侵时,能够第一时间发现,将危害降至最低。但当网络边界被打破,使得安全事件应急响应处理无法在短时间内处理完毕,造成的后果,只能是知道自己被黑,却只能眼睁睁地看着自己继续被黑。这时候再谈最低程度降低危害减少损失,恐怕是—厢情愿。

  企业正常的网络边界被打破这一问题得不到解决,这4座大山不除,企业安全恐将毫无宁日,企业安全防护体糸也只能蹒跚踉跄,坡脚前行。正如过去人们常说的,三座大山不倒,人们就无法翻身当家作主一样。边境不稳,国将不国。

  网络边界在整个安全防护体系中应当起到怎样的作用?

  现在我们来回答前面的问题,网络边界是企业安全防护体系的基础。基础不牢,地动山摇。企业必须积极寻求解决网络边界被打破这—问题的安全产品与技术。

 

 

来源:株洲在线
作者:株洲在线
发布时间:2016-09-09 14:42:28
>更多相关文章
网友评论


关于株洲在线 - 广告服务 - 免责申明 - 网站地图 - 联系我们
建议您使用1024×768 分辨率、Microsoft Internet Explorer 8.0浏览器以获得本站的最佳浏览效果
免责声明:站内言论仅代表个人观点,并不代表本站同意其观点,本站不承担由此引起的法律责任。若无意中侵犯你的权利请来信说明,本站查明后将及时删除!
Powered by 湘ICP备020126889号  版权所有,未经书面授权禁止使用  © 2002-2013 zzlvwang.com.