如何防御針對基礎架構的攻擊

在GARTNER的安全和風險管理峰會上，研究人員指出，現(xiàn)代企業(yè)日益依賴互聯(lián)網(wǎng)來實現(xiàn)其日常業(yè)務，而互聯(lián)網(wǎng)的脆弱的基礎架構卻往往會使企業(yè)面臨潛在的攻擊。
 　　互聯(lián)網(wǎng)的基礎架構，如BGP、DNS、SSL等，其設計目的都是保障通信的正常進行，但此基礎架構并非總是完全可信的。我們仍可以看到一些重大的問題需要解決。
 　　Gartner的研究人員John Pescatore指出有四大主要的攻擊可以利用互聯(lián)網(wǎng)的基礎架構：DoS和DDoS、證書授權損害和欺詐、 域名服務攻擊、4G LTE。Gartner的研究人員Orans指出，互聯(lián)網(wǎng)從整體上說是穩(wěn)定的。但是如果你從其組成部分的層次上來看，就會發(fā)現(xiàn)存在一些不穩(wěn)定和不可靠的問題。
 　　下面就是Gartner的研究人員所發(fā)現(xiàn)的四大主要的基礎架構攻擊，以及對付這些攻擊的主要策略。
 　　1、拒絕服務和分布式拒絕服務攻擊（即DoS和DDoS）
 　　根據(jù)Arbor Networks的消息，這兩種攻擊絕對不會絕跡，而且至少有一半的ISP每月遭受一到十次的這種攻擊，而且用免費工具（如Low Orbit Ion Cannon（LOIC））這種廣受攻擊者歡迎的匿名DDoS武器，就可以更容易地發(fā)動攻擊。Orans說，黑客主義是一個問題：如果某人不喜歡你的企業(yè)，他就可以對你發(fā)動攻擊，且犯罪份子的攻擊也是一個問題。
 　　Neustar的副總裁和高級技術專家Rodney Joffe在Gartner會議期間展示了一段視頻，展示了犯罪者的攻擊往往用于掩飾更為陰險的目標攻擊。犯罪者越來越擅長于隱藏其操作，他們隱藏得越好，安全人員就越難以過濾和防御這種攻擊。
 　　Joffe說，這種攻擊的偽裝性越來越好，企業(yè)應當部署B(yǎng)CP 38（網(wǎng)絡入口過濾），以應對源地址欺詐。在對付DDoS的過程中，這會帶來顯著的差異。
 　　Gartner對遏止DDoS攻擊的建議：首先，評估喪失企業(yè)的Web給企業(yè)帶來的經(jīng)濟影響，并提供在遭受攻擊后的事件響應計劃。Orans說，企業(yè)的計劃應當以業(yè)務的連續(xù)性和災難恢復策略為重點。
 　　其次，考慮減輕DDoS攻擊的服務。最廉價的方法是一種“管道清潔”服務，其成本超過帶寬服務價格的10%到15%。ISP可以檢測并減輕DDoS攻擊，因而犯罪者就無法完全占有你的信息通道，Oran說，這是一個富有成本效益的好方法。
 　　Orans說，一種更凈化型的版本是“凈化型”服務，即你在遭受攻擊時，你可以將通信發(fā)送給一個供應商。這些供應商可以充當一個中間人，并對通信進行“凈化”，取出DDoS通信，僅將善意通信發(fā)送給你。這種服務的每個站點的收費標準為10000美元，當然，你也可以根據(jù)帶寬來付費。另外一種服務是DDoS設備，它位于DMZ中，并可以檢測DDoS通信，進而改變其方向。
 　　2、證書授權
 　　數(shù)字證書遭到損害和攻擊的事實迫使許多專家尋求一種驗證網(wǎng)站或軟件的新方法。Pescatore說，真正的問題是這個注冊過程。數(shù)字證書只能如同其注冊過程一樣強健：密鑰的交換并不自動等同于認證。
 　　SSL的發(fā)明者Taher Elgamal在Gartner的峰會上展示了一段視頻消息，他說，這純粹是一個過程問題而不是一個技術問題。在過去的幾年中，在證書授權遭到破壞后，就會出事，此時的用戶仍擁有證書授權，但他們并沒有占有其名字。此時，可信性已經(jīng)無從談起
 
 如何減輕證書授權的這種威脅？Gartner建議使用證書管理工具和強化的瀏覽器。Pescatore說，第一個問題是找到你在哪里使用證書，并知道自己是否有需要撤銷的證書。在一個典型的公司中，有大量的SSL證書。證書管理工具可以幫助你找出這些證書。
 　　另一個選擇強化用于敏感操作（如網(wǎng)絡銀行或b2b的交易等）的瀏覽器。一定要教育雇員，讓其知道SSL的局限性，SSL會話并不能保證網(wǎng)站自身的真實性。
 　　如果證書授權遭到破壞怎么辦？Pescatore說，準備一個事件響應計劃。要想防御這些威脅，現(xiàn)在需要大量的DIY工作，直至業(yè)界的努力（例如，DANE，即可以驗證用戶或證書的DNS）得以部署完成。
 　　Pescatore說，我認為我們所看到的事件僅僅是一個開始，部署某些減輕措施的時候已經(jīng)到了。在你正在允許移動設備在公司使用的時候，就應當與移動設備的管理廠商進行協(xié)商，研究解決SSL弱點的解決方案。
 　　3、域名服務
 　　互聯(lián)網(wǎng)名稱服務器的漏洞（從高速緩存投毒威脅到針對DNS根服務器的分布式拒絕服務攻擊）一直受到關注。雖然這些攻擊相對較少，但企業(yè)需要采取措施確保其DNS服務器受到保護。Paul Mockapetris是Nominum的首席科學家和DNS的發(fā)明人，他說多數(shù)DNS攻擊都是針對老版軟件實施的。因而，更新DNS軟件是第一道防線，用戶應該檢查其配置確保其不受損害。
 　　DNSSEC能夠對域進行數(shù)字簽名，以確保其合法性，所以服務供應商應當部署此安全認證機制。Orans說DNSSEC可以進入企業(yè)。企業(yè)可以采用其中一些相同的DDoS減輕措施來保護自己的Web服務器。此外，AnyCast可以將DNS通信分發(fā)給名稱服務器，可以將DNS請求轉發(fā)給最近的節(jié)點或名稱服務器。而AnyCast是一個可管理DNS服務的核心組件，它可以減輕DNS 遭受DDoS攻擊的影響。Orans說，我們不太容易減輕高速緩存投毒或DNS欺騙的威脅，除非遭受了廣受關注的高速緩存投毒攻擊，否則，任何措施都幾乎無濟于事。
 　　4、4G LTE
 　　Pescatore說，無線網(wǎng)絡的發(fā)展帶來了更多的設備，也帶來了數(shù)據(jù)、系統(tǒng)、網(wǎng)絡等被暴露的更多機會。從3G無線技術到更快速的4G 的轉換將會為更多漏洞打開大門。這種“混合環(huán)境”將會成為攻擊目標。而用于無線網(wǎng)絡的升級、更新只能達到和無線環(huán)境自身一樣的安全性。僵尸網(wǎng)絡的操縱者也會控制無線的僵尸系統(tǒng)。
 　　Gartner的研究人員建議，未來三年，對于運行在無線設備上的任何敏感應用，都要使用虛擬私有網(wǎng)絡（VPN）或應用層安全。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]