银行的威胁情况与汽车经销商的不同。因为银行与货币和资金打交道,你可以(作为一个攻击者)通过获取资金而跳过大量的风险,而不是进行痛苦和劳动密集型的活动,如出售或分割一辆偷来的汽车。
如果你有一家银行,而且银行在很大程度上依赖互联网进行账户转账或资金管理,那么你就有了一个远程目标。再次,我们的汽车经销商将依靠互联网进行车队订单、客户咨询和偶尔的汽车销售。真正伟大的思想家将会找到一些方法来操纵这个系统,让汽车被送到某个虚构的企业,在那里它们可以“消失”。然而,即便如此,也无法与金融机构相提并论。不同的生意,不同的威胁,不同的回报,邪恶的投资。
当你的团队中有人正在寻找商业档案时,你团队中的其他人已经做了一些研究,并发现目标已经被分配了一个网络。那么,下一步是什么呢?当然是扫描!让我们把那些唾手可得的果实拿开,看看它们是否有任何我们可以从互联网上接触到的端点。这意味着扫描。这和VA扫描过程中一个组织要做的扫描是一样的。
现在我们得出的结论是,没有唾手可得的果实,直接攻击这项技术是行不通的。那么你会怎么做呢?你攻击员工和他们完成工作所依赖的流程。与一些员工聊天,获得帮助台号码。稍微聪明一点,再找一些垃圾桶,你就能对少数员工有所了解了。人们通常会对自己所做的事情感到骄傲,或者对别人的“内心”感到愤怒,而这两种情绪都可以用来对付他们。
如果你真的很厉害,你也可以恐吓他们。我们利用从公司通讯中了解到的信息和一些恐吓手段,让一名服务台工程师更改了《财富》100强公司首席信息官的虚拟专用网(VPN)密码通过电话。然后我们就可以通过CIO的VPN连接访问网络了。这是怎么发生的?帮助台人员没有遵循程序。
本讨论的目的是强调一个事实,即并非所有的漏洞都与技术有关。当技术促使攻击者尝试其他方法时,人工驱动的流程将成为下一个目标。因为人工驱动的流程可能会花费更多的时间,所以它们已经被渗透的事实也会花费更多的时间。一些漏洞只是让攻击者可以利用这项技术。
承包商和参观者
如果一个解决方案不能满足你的现实需求,那它还有什么用呢?对我们很多人来说,其中一个需求就是要求承包商和访客必须有某种互联网接入。在某些情况下(如果不是很多的话),承包商和访问者将不愿意在他们的系统上安装基于客户的解决方案。我知道在我的私人笔记本上安装远程管理客户端会让我感到心痛!
好消息是,基于clpc的解决方案(如本章中讨论的那些解决方案)支持这种情况。当您配置您的流程时,您可以说,如果无法通过补救流程,不符合规定的系统将被降级为只允许访问internet的网络。系统有机会参与,那些选择不参与的系统不能访问内部资源,但仍然可以访问Internet。
要点
了解你的架构
在决定CLPC路径之前,您必须敏锐地了解您的网络基础设施及其所代表的功能。如果您有较旧的网络基础设施,那么您可能必须转向其他技术来实现CLPC解决方案。如果没有足够的预算,较旧的基础设施可能无法支持802.1x,因此在此期间您可能需要转向DHCP或其他形式的分区。
你还必须记住,那里将是您的网络上的设备将无法正常工作,如果他们被隔离,如打印机,所以你必须计划他们在你的解决方案。考虑到这一点,其他的网络飞地也必须当你开始强迫他们进入一个新的访问控制模型中考虑。不同的安全控件可能必须放置在这些系统上。
三个基本NAC模式
这三个基本的NAC模型是802.1X,DHCP和条块分割。802.1x的具有作为标准和形成漂亮的比例控制是难以旁路的益处。然而,一些必要的工具,主要是主机完整性检查,只由少数供应商提供。此外,支持802.1x的功能的设备可能没有完全部署在您的网络,创建可用于获得进入“攻击漏洞”。
DHCP的优点是易于实现,同时部署成本相对低廉。所有企业端点都有一个可以轻松配置和管理的DHCP客户端。DHCP实施的缺点是它很容易被熟练的攻击者绕过。
最后一种方法是分区,即将您的网络划分为安全区域。许多网络已经使用这种设计哲学来分离生产、开发、内部网和外联网。尽管它确实需要对网络结构进行修改,但它确实降低了病毒和蠕虫通过acl等阻塞点传播的速度。
您需要牢记隔离的阴暗面:当您拥有一个安全的隔离网络时,您需要解决这样一个现实:出于业务目的,不同用户和不同应用程序将需要访问隔离之间的访问。您将不得不构建一个异常流程,该流程基于安全和业务需求之间的平衡来评估这些请求。
当你意识到在某些时候你的安全架构的复杂性将创造一个例外的处理成为一个需要小军管理的一项重大任务的情况下它变得更暗。此时,能见度的复杂性和缺乏已经完全侵蚀你正在寻求安全。您将有手艺,只是管理的例外处理的解决方案,我说的时候例外成为惯例,数以千计的防火墙规则,要准确。
您还必须考虑,过度划分将破坏您的网络的一些基本功能。例如,大型网络的一个基本元素是它们有一个监视服务的组。我们大多数人都必须遵守服务水平协议(sla),这些协议规定了我们的响应速度或服务提供的频率。在一个由许多防火墙分隔的大量应用程序的大型网络中,您可能会发现自己存在服务监视问题。
仔细选择供应商
南汽还很年轻,供应商还在为“模式”而挣扎。所谓的“模式”,我指的是营销和信息传递模式。在考虑供应商时,要确保他们销售的组件能够在您的网络中正常运行。建议的解决方案是否适用于您的RADIUS服务器?您需要构建一个代理吗?请求者和主机完整性模块如何到达端点?
不要相信未来
想法很多从来没有从营销到工程做出来。我知道,因为我已经被他们一直刺痛以及一直是一个推动他们。出于这个原因,你需要坚持在你面前今天有什么。作出这样可以将提出的功能,但没有股权设计上期货的安全计划。
允许控制的访问是非常重要的
在某些情况下,你将不得不提供访问承包商和访客。最好是提供减少或消除您的网络具有未知威胁曝光的方式这种访问。通过有效地使用NAC解决方案的自动化功能,不可信系统可允许连接到您的网络,并获得有限制地访问服务,如互联网。
VM在进程中占有一席之地
要让VM解决方案正常工作,它必须有一些控制,以确保实现了正确的决策,而且实现是正确的。简单的发现和补丁方法可能会给现有的应用程序带来问题,甚至引入新的漏洞。他们也不能确保关键的补丁已经在关键系统上得到了评审和实现。通过在您的VM过程中集成构建和回归过程的控制过程分层,您可以确保补丁和修复程序是以可审核和可重复的方式实现的。
渗透测试也可以是一种有用的工具,用于验证过程是否被遵循,并发现过程中的漏洞。请记住,我们的许多过程是由人驱动的,而人的记忆力很差。然而,这些记忆可以“更新”,通过训练和定期锻炼,如渗透测试提供的。
技术、流程和闭环
关闭循环意味着不仅仅是投入一些技术来解决问题。NAC确实有一席之地,但是如果您不了解您的漏洞在哪里(技术上和非技术上),那么您就会在这个循环中留下一个非常关键的部分。
了解您的漏洞在哪里,并了解它们如何影响您的整体安全流程,对于准确地了解需要关闭的所有循环的位置至关重要。有些方法比其他方法更快,更接近实时,而有些操作的频率要低得多,如漏洞扫描。有些过程,特别是那些有人类参与的过程,非常缓慢,而且可能是最薄弱的环节。
然而,通过有效地合并端点安全关联到一个精心设计的,自我管理,基于信任的CLPC解决方案的技术,可以减轻许多这类问题,他们成为债务之前。
脚注
赛门铁克在2005年收购了Sygate。SEP, Sygate企业保护,更名为赛门铁克企业保护。
D. Bell和L. LaPadula,安全计算机系统:数学基础。技术报告ESD-TR-73-278, MITRE公司,贝德福德,MA, 1973年
http://en.wikipedia.org/wiki/Bell-LaPadula_model(在MITRE公司的原始论文是很难得到的。)
RFC 2131
http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
版权所有©2007培生教育。版权所有。