分層安全策略為什么不是萬能的

2013-04-16 23:13:30jiangxun

計算機與網(wǎng)絡(luò) 2013年23期

為了應(yīng)對日益復(fù)雜的惡意行為和惡意軟件，分層安全策略在不久之前變得相當受歡迎，而且現(xiàn)在已經(jīng)深入人心，成為整個行業(yè)保護企業(yè)網(wǎng)絡(luò)最好的實踐方式。從直觀的角度來看，它似乎在網(wǎng)絡(luò)內(nèi)部署了多臺安全設(shè)備，每一臺都有其自身的防御載體，提供一種具有重復(fù)性、在幾個不同層次上都有意義的網(wǎng)絡(luò)防御。

比如，如果一個組織部署了一個防火墻、入侵防御系統(tǒng)(IPS)和端點保護(EPP)系統(tǒng)，組織會認為這些產(chǎn)品可以通過其不同的功能組合提供更強大的保護：在網(wǎng)絡(luò)外部，防火墻會檢查惡意URL、IP地址和其他類似可以在訪問控制列表中容易驗證的指標傳入的數(shù)據(jù)包。數(shù)據(jù)包如果通過防火墻，IPS系統(tǒng)會檢查數(shù)據(jù)包的內(nèi)容和頭信息，如果任意數(shù)據(jù)包內(nèi)容被視為符合IPS簽名列表的惡意內(nèi)容，這個數(shù)據(jù)包就會被丟棄或阻止。最后，在網(wǎng)絡(luò)中EPP系統(tǒng)駐扎在每個終端設(shè)備上，作為防御惡意代碼的最后一道防御線，對抗可能通過防火墻和IPS的惡意代碼。

給定的數(shù)據(jù)包通過網(wǎng)絡(luò)的每一個節(jié)點時，都需要接受為了保護網(wǎng)絡(luò)而日益侵入性的檢查。安全管理員都感到欣慰，覺得只有最復(fù)雜的惡意編碼可以成功滲透安全設(shè)備的幾層防御。然而，NSS實驗室的獨立安全測試人員發(fā)布的一份報告質(zhì)疑部署分層安全方法會增強企業(yè)網(wǎng)絡(luò)安全。

在報告中關(guān)于入侵偵測故障的部分，NSS實驗室決定測試37種不同的安全設(shè)備，包括來自24家安全廠商提供的解決1711種已知漏洞的防火墻、下一代防火墻(NGFW)、IPS和EPP設(shè)備。所選擇的攻擊已知感染過超過200多種軟件供應(yīng)商，包括來自微軟、蘋果和思科的產(chǎn)品。NSS實驗室為了確定對于檢測漏洞的最佳配對，測試了各種設(shè)備的不同組合。對于分層安全策略的潛在故障，結(jié)果提供了一個有趣的答案。

測試的606種不同組合中，只有19種成功阻止了所有入侵企圖，值得注意的是，沒有一種單獨進行測試的設(shè)備能夠阻止所有的惡意企圖。至于哪些產(chǎn)品一起工作是最佳搭配，NSS實驗室發(fā)現(xiàn)NGFW 和IPS的組合比任意EPP系統(tǒng)組合都能更有效地阻止已知的攻擊。例如，任意NGFW-IPS組合平均故障率約為0.8%，而任意EPP組合平均故障率是驚人的26%.單單這些結(jié)果表明，如果不將一些內(nèi)嵌的安全設(shè)備搭配起來，僅僅只是部署端點防護是不夠安全的方法。

那么，組織應(yīng)該采取或計劃采取怎樣的分層安全方法來應(yīng)對這個報告？首先，企業(yè)應(yīng)該重視報告的具體內(nèi)容。例如，應(yīng)當注意到，沒有任何安全裝置可以僅僅憑借自身來檢測到所有直接的微軟相關(guān)攻擊。以微軟為中心的組織決定部署安全設(shè)備組合時，應(yīng)該認識到這個事實。

該報告提供了大量關(guān)于各種設(shè)備組合的性能詳情，我建議至少通讀整個報告，然后采用其中關(guān)于您的組織所使用的產(chǎn)品或供應(yīng)商的性能內(nèi)容。蘋果對蘋果產(chǎn)品的比較可能并不太合適，但是數(shù)據(jù)可能會凸顯你的產(chǎn)品表現(xiàn)不佳的狀況以及怎樣將產(chǎn)品和其他技術(shù)結(jié)合起來可以提高你的分層安全。例如，一個特別的組合：Sourcefire 3D 8250 IPS和Stonesoft 1301 NGFWs，在我心目中脫穎而出，因為它在測試過程中的阻攔表現(xiàn)非常好。盡管如此，某些產(chǎn)品可能適合一個組織，但不一定會適合另一個組織。

為此，每一個組織考慮或部署分層安全方式時，最好考慮到自身的威脅狀況和安全要求，然后按照NSS實驗室的方法自行進行測試。這將為每個組織提供特定的結(jié)果組合，并能產(chǎn)生一個更清晰的畫面，告訴組織哪些產(chǎn)品可以提供最佳的性能。

最后，部署分層安全策略時如果不考慮到設(shè)備組合，其實很有可能導(dǎo)致災(zāi)難性的后果。雖然會有故障可能性，但是對于攻擊者帶來的許多問題，分層網(wǎng)絡(luò)安全仍舊可以像當前任意方法一樣提供極有說服力的解決方法。為了確保使用分層安全策略可以帶來更好的效果，在部署設(shè)備之前，安全管理員應(yīng)該深入研究不同廠商的設(shè)備組合，上述NSS實驗室報告就是這個過程一個明智的開始。