如何防御針對(duì)基礎(chǔ)架構(gòu)的攻擊

在GARTNER的安全和風(fēng)險(xiǎn)管理峰會(huì)上，研究人員指出，現(xiàn)代企業(yè)日益依賴互聯(lián)網(wǎng)來實(shí)現(xiàn)其日常業(yè)務(wù)，而互聯(lián)網(wǎng)的脆弱的基礎(chǔ)架構(gòu)卻往往會(huì)使企業(yè)面臨潛在的攻擊。
 　　互聯(lián)網(wǎng)的基礎(chǔ)架構(gòu)，如BGP、DNS、SSL等，其設(shè)計(jì)目的都是保障通信的正常進(jìn)行，但此基礎(chǔ)架構(gòu)并非總是完全可信的。我們?nèi)钥梢钥吹揭恍┲卮蟮膯栴}需要解決。
 　　Gartner的研究人員John Pescatore指出有四大主要的攻擊可以利用互聯(lián)網(wǎng)的基礎(chǔ)架構(gòu)：DoS和DDoS、證書授權(quán)損害和欺詐、 域名服務(wù)攻擊、4G LTE。Gartner的研究人員Orans指出，互聯(lián)網(wǎng)從整體上說是穩(wěn)定的。但是如果你從其組成部分的層次上來看，就會(huì)發(fā)現(xiàn)存在一些不穩(wěn)定和不可靠的問題。
 　　下面就是Gartner的研究人員所發(fā)現(xiàn)的四大主要的基礎(chǔ)架構(gòu)攻擊，以及對(duì)付這些攻擊的主要策略。
 　　1、拒絕服務(wù)和分布式拒絕服務(wù)攻擊（即DoS和DDoS）
 　　根據(jù)Arbor Networks的消息，這兩種攻擊絕對(duì)不會(huì)絕跡，而且至少有一半的ISP每月遭受一到十次的這種攻擊，而且用免費(fèi)工具（如Low Orbit Ion Cannon（LOIC））這種廣受攻擊者歡迎的匿名DDoS武器，就可以更容易地發(fā)動(dòng)攻擊。Orans說，黑客主義是一個(gè)問題：如果某人不喜歡你的企業(yè)，他就可以對(duì)你發(fā)動(dòng)攻擊，且犯罪份子的攻擊也是一個(gè)問題。
 　　Neustar的副總裁和高級(jí)技術(shù)專家Rodney Joffe在Gartner會(huì)議期間展示了一段視頻，展示了犯罪者的攻擊往往用于掩飾更為陰險(xiǎn)的目標(biāo)攻擊。犯罪者越來越擅長于隱藏其操作，他們隱藏得越好，安全人員就越難以過濾和防御這種攻擊。
 　　Joffe說，這種攻擊的偽裝性越來越好，企業(yè)應(yīng)當(dāng)部署B(yǎng)CP 38（網(wǎng)絡(luò)入口過濾），以應(yīng)對(duì)源地址欺詐。在對(duì)付DDoS的過程中，這會(huì)帶來顯著的差異。
 　　Gartner對(duì)遏止DDoS攻擊的建議：首先，評(píng)估喪失企業(yè)的Web給企業(yè)帶來的經(jīng)濟(jì)影響，并提供在遭受攻擊后的事件響應(yīng)計(jì)劃。Orans說，企業(yè)的計(jì)劃應(yīng)當(dāng)以業(yè)務(wù)的連續(xù)性和災(zāi)難恢復(fù)策略為重點(diǎn)。
 　　其次，考慮減輕DDoS攻擊的服務(wù)。最廉價(jià)的方法是一種“管道清潔”服務(wù)，其成本超過帶寬服務(wù)價(jià)格的10%到15%。ISP可以檢測并減輕DDoS攻擊，因而犯罪者就無法完全占有你的信息通道，Oran說，這是一個(gè)富有成本效益的好方法。
 　　Orans說，一種更凈化型的版本是“凈化型”服務(wù)，即你在遭受攻擊時(shí)，你可以將通信發(fā)送給一個(gè)供應(yīng)商。這些供應(yīng)商可以充當(dāng)一個(gè)中間人，并對(duì)通信進(jìn)行“凈化”，取出DDoS通信，僅將善意通信發(fā)送給你。這種服務(wù)的每個(gè)站點(diǎn)的收費(fèi)標(biāo)準(zhǔn)為10000美元，當(dāng)然，你也可以根據(jù)帶寬來付費(fèi)。另外一種服務(wù)是DDoS設(shè)備，它位于DMZ中，并可以檢測DDoS通信，進(jìn)而改變其方向。
 　　2、證書授權(quán)
 　　數(shù)字證書遭到損害和攻擊的事實(shí)迫使許多專家尋求一種驗(yàn)證網(wǎng)站或軟件的新方法。Pescatore說，真正的問題是這個(gè)注冊(cè)過程。數(shù)字證書只能如同其注冊(cè)過程一樣強(qiáng)健：密鑰的交換并不自動(dòng)等同于認(rèn)證。
 　　SSL的發(fā)明者Taher Elgamal在Gartner的峰會(huì)上展示了一段視頻消息，他說，這純粹是一個(gè)過程問題而不是一個(gè)技術(shù)問題。在過去的幾年中，在證書授權(quán)遭到破壞后，就會(huì)出事，此時(shí)的用戶仍擁有證書授權(quán)，但他們并沒有占有其名字。此時(shí)，可信性已經(jīng)無從談起
 
 如何減輕證書授權(quán)的這種威脅？Gartner建議使用證書管理工具和強(qiáng)化的瀏覽器。Pescatore說，第一個(gè)問題是找到你在哪里使用證書，并知道自己是否有需要撤銷的證書。在一個(gè)典型的公司中，有大量的SSL證書。證書管理工具可以幫助你找出這些證書。
 　　另一個(gè)選擇強(qiáng)化用于敏感操作（如網(wǎng)絡(luò)銀行或b2b的交易等）的瀏覽器。一定要教育雇員，讓其知道SSL的局限性，SSL會(huì)話并不能保證網(wǎng)站自身的真實(shí)性。
 　　如果證書授權(quán)遭到破壞怎么辦？Pescatore說，準(zhǔn)備一個(gè)事件響應(yīng)計(jì)劃。要想防御這些威脅，現(xiàn)在需要大量的DIY工作，直至業(yè)界的努力（例如，DANE，即可以驗(yàn)證用戶或證書的DNS）得以部署完成。
 　　Pescatore說，我認(rèn)為我們所看到的事件僅僅是一個(gè)開始，部署某些減輕措施的時(shí)候已經(jīng)到了。在你正在允許移動(dòng)設(shè)備在公司使用的時(shí)候，就應(yīng)當(dāng)與移動(dòng)設(shè)備的管理廠商進(jìn)行協(xié)商，研究解決SSL弱點(diǎn)的解決方案。
 　　3、域名服務(wù)
 　　互聯(lián)網(wǎng)名稱服務(wù)器的漏洞（從高速緩存投毒威脅到針對(duì)DNS根服務(wù)器的分布式拒絕服務(wù)攻擊）一直受到關(guān)注。雖然這些攻擊相對(duì)較少，但企業(yè)需要采取措施確保其DNS服務(wù)器受到保護(hù)。Paul Mockapetris是Nominum的首席科學(xué)家和DNS的發(fā)明人，他說多數(shù)DNS攻擊都是針對(duì)老版軟件實(shí)施的。因而，更新DNS軟件是第一道防線，用戶應(yīng)該檢查其配置確保其不受損害。
 　　DNSSEC能夠?qū)τ蜻M(jìn)行數(shù)字簽名，以確保其合法性，所以服務(wù)供應(yīng)商應(yīng)當(dāng)部署此安全認(rèn)證機(jī)制。Orans說DNSSEC可以進(jìn)入企業(yè)。企業(yè)可以采用其中一些相同的DDoS減輕措施來保護(hù)自己的Web服務(wù)器。此外，AnyCast可以將DNS通信分發(fā)給名稱服務(wù)器，可以將DNS請(qǐng)求轉(zhuǎn)發(fā)給最近的節(jié)點(diǎn)或名稱服務(wù)器。而AnyCast是一個(gè)可管理DNS服務(wù)的核心組件，它可以減輕DNS 遭受DDoS攻擊的影響。Orans說，我們不太容易減輕高速緩存投毒或DNS欺騙的威脅，除非遭受了廣受關(guān)注的高速緩存投毒攻擊，否則，任何措施都幾乎無濟(jì)于事。
 　　4、4G LTE
 　　Pescatore說，無線網(wǎng)絡(luò)的發(fā)展帶來了更多的設(shè)備，也帶來了數(shù)據(jù)、系統(tǒng)、網(wǎng)絡(luò)等被暴露的更多機(jī)會(huì)。從3G無線技術(shù)到更快速的4G 的轉(zhuǎn)換將會(huì)為更多漏洞打開大門。這種“混合環(huán)境”將會(huì)成為攻擊目標(biāo)。而用于無線網(wǎng)絡(luò)的升級(jí)、更新只能達(dá)到和無線環(huán)境自身一樣的安全性。僵尸網(wǎng)絡(luò)的操縱者也會(huì)控制無線的僵尸系統(tǒng)。
 　　Gartner的研究人員建議，未來三年，對(duì)于運(yùn)行在無線設(shè)備上的任何敏感應(yīng)用，都要使用虛擬私有網(wǎng)絡(luò)（VPN）或應(yīng)用層安全。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]