客服中心
售前咨詢
技術支持技術支持
渠道加盟渠道加盟
投訴建議投訴建議

咨詢熱線一:0514-84742979
微信/手機:18752551418

新聞中心
局域網管理軟件提醒安全管理面臨的4大挑戰
作者:Mc 【字體:

隨著網絡應用的發達與普及,企業互聯網化的環境與應用也更加的廣泛與成熟,網絡已是各企業最重要的基礎建設與營運溝通命脈。在復雜的網絡環境中,大多數企業已建置防火墻等相關網絡安全系統,其重點為防御外部使用者的攻擊,然而對于內部使用者的行為則較少著墨。但是傳統的資安思維在近幾年中已有所改變,因為依據統計調查資料,企業資安事件只有5%是來自外面的攻擊,而有80%是由內部產生,因此新型網安系統的行銷重點慢慢趨向于如何防御與監控內部使用者的上網行為,并從而了解是否有攻擊或非法行為隱藏其中。

若企業憂慮的只是內部使用者是否上了不該上的網站,倒還有部份解決辦法,透過如超級眼局域網監控軟件等,即可做到很好的管理。然而若內部使用者的異常行為不是存取Internet上的資源,而是攻擊企業內部的設備或其他內部使用者,現階段幾乎所有的網絡布建方式都無法阻擋,此時網絡管理人員唯一能做的就是持續觀察網絡相關設備與線路,收集不同的網絡事件與告警,視其是否異常來判別是否可能有問題發生,例如觀察主機、路由器、交換器的CPU與記憶體的使用率與線路流量,察看IPS、IDS、Firewall、VirusWall、SecureGateway等設備的告警事件。然而在開放的網絡架構下,企業內部充斥著許多不同廠牌與不同類型的網絡設備,使得網管人員每天需要操作各種的網管與監控軟件、審視數萬封各種的告警。然而即便網管人員努力地堅守崗位,還是常常在接到使用者反應后才知道問題發生了,因為太多未經關聯整理過的資訊等于沒有資訊,網管人員也不可能全天候都坐在電腦前持續操作監看各種網管與監控軟件,所以網絡管理人員若想確實做好網絡安全的管理工作并不容易!(注二:但是現今3G上網普及,可能因此產生控管漏洞)當問題發生時才是網管人員的挑戰開始。每種設備的告警訊息格式不相同,操作指令也各不相同,因此如何從網管軟件或告警訊息中找出有問題的“點"就考驗網管人員的功力了,尤其在解決問題的時間壓力下,容易使人亂了手腳;最常看到的情況是—網管人員桌前都有一堆流程或小抄,將每種可能的問題SOP寫下,若遇到較復雜的問題可能就需要同時整合4~5種流程來研判問題并加以解決。

然而解決問題的時間壓力有時不僅僅是來自于公司或上級長官而是問題本身。我們以Slammer蠕蟲為例,其在短短30分鐘內在全世界感染了74855臺電腦,因此若類似狀況在企業內部發生,假設某種攻擊或感染的擴散情形是每10分鐘會由一個人擴散至十個人,那30分鐘后,受感染的人數將達10^3=1000人!到此狀況下對許多的管理人員而言,大概也不用太心急的去處理問題了,先將整個網絡停擺以避免持續惡化擴大,再慢慢將正常與修復好的節點連回網絡可能是較好的做法。

既然攻擊或蠕蟲傳播等的擴散速度如此之快,是否就真的束手無策?是否有較好的防御方式?答案當然是有的。其實大部份的攻擊都有一個特性,在攻擊準備期間由于需確定那些是攻擊目標,因此攻擊或蠕蟲會先做些掃瞄偵測的動作,此期間是不會攻擊感染其他使用者的,但當準備動作完成后,其攻擊感染的速度就非常驚人。我們以蠕蟲傳播模型為例,在啟始準備階段其攻擊力為零,這階段的期間到底多長依不同蠕蟲或攻擊而有所不同,大多在150到300秒之間,所以這3到5分鐘的時間就是決勝關鍵了。火云邪神曾說過“天下武功,無堅不摧,唯快不破。"同樣適用在網絡攻防之中。攻擊或蠕蟲的傳播速度非常快,確實很難破解防御,唯一能破解防御的方式就是比攻擊或蠕蟲更快,若能在蠕蟲或攻擊3到5分鐘的啟始階段就將其偵測出來并進而將其排除隔離出網絡,就能確保網絡與設關設備安全無虞。

因此防御的第一步就是建立早期的偵測預警機制,否則等到終端使用者打電話通知網絡出現問題時,大都已到攻擊或蠕蟲第二階段末尾了。為何早期的偵測預警機制能偵測到攻擊或蠕蟲?如之前所說,攻擊或蠕蟲需先掃瞄網絡以確定攻擊或感染目標,因此這些特定的掃描封包有可能會散布到各個網段之中,透由IDS、IPS、FlowAnalyzer、SecureGateway等就有可能偵測到,但就算偵測到又能怎么辦?以email或syslog通知網管人員?網管人員會隨時待到電腦旁接收訊息?就算看到訊息,其通知格式可能只是告知某一IP可能有某種攻擊行為,網管人員還要再依據此IP再找到所接相關設備再決定是否需要使用ACL阻隔或將交換器埠直接關閉?所以單純只是依靠人力是不可能達成3到5分鐘隔離攻擊者這個目標的。唯有依靠系統自動化功能,從收集訊息到關聯分析以確定攻擊來源(可能是一個IP或MAC地址),并自動下指令將攻擊來源隔離,才有可能實現。然而原理簡單,但實做上卻面臨許多困難。訊息數百種,如何做關聯分析以確定攻擊來源是第一個挑戰;知道攻擊來源,是否需將其隔離是第二個挑戰;就算要隔離,如何將其隔離是第三個挑戰;如何讓管理人員清楚了解相關狀況是第四個挑戰!

我們以隔離方式為例,現行隔離機制可使用IPACL、MACACL、SwitchPortShutdown、QuarantineVLAN、ARPSpoofing、IPSpoofing等,而攻擊方式百百種,不同的攻擊方式適用的隔離方式不同,因此系統支援那些隔離方式,如何判斷該使用何種隔離方式就非常重要。

NetAxle公司推出的JetFish2系列中的NetIRS設備就是一款全功能型的資安管理設備,可收集syslog與trap做關聯分析,其隔離機制支援IPACL、MACACL、SwitchPortShutdown、QuarantineVLAN、ARPSpoofing、IPSpoofing等并可自動判斷以對攻擊來源采取最佳隔離機制。

網管人員其實更關心的是第四個挑戰,如何將無形的網絡與資安相關狀況清楚呈現出來。傳統網管提供了部份功能,但只能針對網絡設備。NetIRS將此功能更進一步擴充,使用全圖形資訊化方式將所有關鍵資訊利用網頁方式呈現。很難想像,網絡安全管理居然就是移移滑鼠,點點左右鍵就完成了。更特別的是,由于是全網頁式的管理平臺,使用iPhone、iPad也可隨時隨地輕松控管!

 

广东11选五 天水市 永康市 成都市 商洛市 大庆市 镇江市 临夏市 阜新市 巴中市 萍乡市 崇州市 邓州市 平度市 河津市 台中市 衡水市 明光市 凤城市 吉林省 石首市 龙海市 黄石市 叶城市 都匀市 武穴市 朝阳市 青岛市 凤城市 葫芦岛市 仙桃市 合肥市 孝感市 邢台市 兴城市 平度市 利川市 洮南市 信阳市 常州市 宁国市 南阳市 徐州市 北宁市 邢台市 鹿泉市 池州市 北宁市 台中市 华阴市 延吉市 铁力市 兴城市 淮安市 汉川市 东阳市 焦作市 西安市 佛山市 潍坊市 甘肃省