智能安防新時(shí)代：用戶、SI、設(shè)備制造商要做什么？

隨著網(wǎng)絡(luò)邊界模糊化，網(wǎng)絡(luò)安全不再局限于PC端，移動(dòng)端、服務(wù)器端、云端等安全終端日益成為個(gè)人、組織、企業(yè)關(guān)注的方面，使用優(yōu)質(zhì)的安全產(chǎn)品做好防護(hù)才能使我們處于一個(gè)相對(duì)安全的網(wǎng)絡(luò)環(huán)境中。軟件工程師正努力完成主要的代碼塊，但他的老板卻要砍掉相當(dāng)一大部分內(nèi)容，其中包括一些從網(wǎng)絡(luò)上下載的開源程序。替換這些程序?qū)⒃黾禹?xiàng)目開發(fā)時(shí)間。他跑到老板辦公室懇求：“我需要在系統(tǒng)中使用這些軟件！”

“你不能使用它。它是開源的，不可靠。”老板說(shuō)道。

工程師點(diǎn)點(diǎn)頭，對(duì)老板的回答早有所料。“是的，它是開源的，來(lái)自網(wǎng)絡(luò)，但我們有使用經(jīng)驗(yàn)。我已經(jīng)和軟件工程師交流過(guò)，他們會(huì)逐行審查源代碼和目標(biāo)代碼。”

老板抬頭，看了看角落里的多年服務(wù)獎(jiǎng)，堅(jiān)定的說(shuō)：“你永遠(yuǎn)不能確定，程序里沒(méi)有瑕疵。”

上述簡(jiǎn)短場(chǎng)景，聽起來(lái)有點(diǎn)像懸疑電影，但鑒于近年發(fā)生的安全事件，在網(wǎng)絡(luò)安全領(lǐng)域里，這些情況可能是非常真實(shí)的。大多數(shù)人認(rèn)為：軟件就是做那些“在大部分時(shí)間里按照期望做事的東西”，因此有時(shí)會(huì)忽視潛在的危險(xiǎn)。

正在為設(shè)備和工業(yè)系統(tǒng)寫代碼的軟件工程師，不希望做重復(fù)性的工作。如果有人已經(jīng)為某項(xiàng)任務(wù)編寫了可用的代碼，那么他們就不想再重新寫一次。他們寧愿從網(wǎng)上下載免費(fèi)軟件和開源代碼，以便節(jié)省時(shí)間?；蛘?，他們可以從早期有據(jù)可查的產(chǎn)品中提取已有代碼。將所有這一切組合起來(lái)，安裝到新裝置中。只要它能夠按照預(yù)期執(zhí)行任務(wù)，沒(méi)有人想知道或關(guān)心它來(lái)自何處。

相當(dāng)長(zhǎng)一段時(shí)間，都是這么做的，但現(xiàn)在這一切正在發(fā)生變化。由于很多黑客和網(wǎng)絡(luò)犯罪分子都在刷存在感，因此網(wǎng)絡(luò)安全領(lǐng)域正變得越來(lái)越混亂。黑客及其所作所為，所反應(yīng)的技能水平千差萬(wàn)別。有些比較笨拙，非常容易被發(fā)現(xiàn)。而另外一些則更為隱蔽，只有最有名的網(wǎng)絡(luò)安全專家才能探測(cè)到。

盡管工程師精簡(jiǎn)項(xiàng)目的初衷是好的，但老板說(shuō)的也沒(méi)錯(cuò)：不安全的代碼可能會(huì)潛伏在這些軟件中。有時(shí)可以發(fā)現(xiàn)和并將其清除，但最近的網(wǎng)絡(luò)安全泄露案例表明這種威脅可以被很好的偽裝起來(lái)。

2015年12月，Ars Technica發(fā)表了一份令人震驚的報(bào)告：12月17日，瞻博網(wǎng)絡(luò)發(fā)出緊急安全公告：在一些公司的NetScreen防火墻和安全服務(wù)網(wǎng)關(guān)（SSG）的操作系統(tǒng)（OS）中，發(fā)現(xiàn)了“未經(jīng)授權(quán)的代碼”。該報(bào)告說(shuō)，商家針對(duì)該漏洞發(fā)布了緊急補(bǔ)丁包，以便修補(bǔ)受影響的設(shè)備操作系統(tǒng)，網(wǎng)絡(luò)安全專家確認(rèn)未經(jīng)授權(quán)的代碼就是后門程序。

網(wǎng)絡(luò)安全專家確認(rèn)，被用于逃避正常認(rèn)證的管理員密碼是“＜＜＜ ％s（un＝’％s’） ＝ ％u．” 調(diào)查這堆亂碼的安全研究人員認(rèn)為，它可能是軟件源代碼文件中出現(xiàn)的調(diào)試或測(cè)試代碼。據(jù)此可以得出兩個(gè)結(jié)論：

1、故意設(shè)置未經(jīng)授權(quán)的后門。

2、專門為逃避檢測(cè)而精心設(shè)計(jì)。

我們似乎正在進(jìn)入這樣一個(gè)時(shí)代：黑客在軟件中精心設(shè)計(jì)漏洞，并仔細(xì)隱藏起來(lái)。知道這些隱藏代碼功能的攻擊者，只要他們?cè)敢猓S時(shí)可以利用這些漏洞。最終用戶、系統(tǒng)集成商和設(shè)備制造商需要做適當(dāng)?shù)臏?zhǔn)備，以便應(yīng)對(duì)新的安全挑戰(zhàn)。

審查裝置補(bǔ)丁狀態(tài)。很明顯，任何組織要做的第一件事，就是開始評(píng)估整個(gè)組織范圍內(nèi)的網(wǎng)絡(luò)，以便確定漏洞或潛在易受攻擊的網(wǎng)絡(luò)設(shè)備。 不僅是瞻博網(wǎng)絡(luò)硬件，還有其它網(wǎng)絡(luò)設(shè)備供應(yīng)商都應(yīng)做此審查。首先假設(shè)所有供應(yīng)商提供的設(shè)備都是不安全的。

嘗試為所有網(wǎng)絡(luò)設(shè)備打補(bǔ)丁。評(píng)估之后，應(yīng)給所有適用設(shè)備，甚至是經(jīng)事先批準(zhǔn)的非瞻博設(shè)備都打上補(bǔ)丁。步驟有二：一是確定哪些設(shè)備用于特別關(guān)鍵領(lǐng)域（如工業(yè)控制系統(tǒng)），二是識(shí)別那些因使用時(shí)間太久而需要更新的設(shè)備。

創(chuàng)建風(fēng)險(xiǎn)矩陣。前兩個(gè)步驟所得到的信息，可以幫助確定攻擊面。該矩陣應(yīng)該有兩個(gè)軸：第一是打補(bǔ)丁功能，從由于時(shí)間久遠(yuǎn)導(dǎo)致無(wú)法打補(bǔ)丁，到由于供應(yīng)商的合作而非常容易打補(bǔ)丁。第二個(gè)是功能重要性，從高關(guān)鍵性（需要24 ／ 7運(yùn)行的工業(yè)網(wǎng)絡(luò)）到低關(guān)鍵性（辦公室分支的小網(wǎng)關(guān)）。在關(guān)鍵運(yùn)行環(huán)境中不能打補(bǔ)丁的設(shè)備應(yīng)被更換。遵循這種分析，將幫助您的組織，在其它網(wǎng)絡(luò)設(shè)備被黑客攻破等這類不可避免的事件中，領(lǐng)先一步。

制定計(jì)劃，改變你的攻擊面漏洞。矩陣應(yīng)指導(dǎo)修補(bǔ)計(jì)劃的制定。有了這些信息，安全人員可以提供一個(gè)基于百分比的指標(biāo)，顯示由于新網(wǎng)絡(luò)環(huán)節(jié)漏洞的出現(xiàn)所帶來(lái)的風(fēng)險(xiǎn)。在最壞情況發(fā)生時(shí)，矩陣也可以提供一個(gè)好的行動(dòng)計(jì)劃：新的網(wǎng)絡(luò)漏洞被及時(shí)發(fā)現(xiàn)。

增加網(wǎng)絡(luò)和配置監(jiān)控。如果一個(gè)組織正在使用Snort，F(xiàn)oxIT已經(jīng)具有入侵檢測(cè)簽名來(lái)檢測(cè)這種攻擊。應(yīng)在組織范圍內(nèi)，將所有網(wǎng)絡(luò)設(shè)備的配置置于控制之下。定期安全審計(jì)，不僅要驗(yàn)證網(wǎng)絡(luò)設(shè)備的配置，還應(yīng)通過(guò)測(cè)試流量模式評(píng)估實(shí)際的網(wǎng)絡(luò)配置。

檢查實(shí)驗(yàn)室設(shè)備補(bǔ)丁狀態(tài)和實(shí)施指南。提供網(wǎng)絡(luò)設(shè)備的系統(tǒng)集成商，應(yīng)為任何實(shí)驗(yàn)室系統(tǒng)打補(bǔ)丁，然后更新實(shí)施指南，以反映網(wǎng)絡(luò)設(shè)備配置的變化。例如，對(duì)于瞻博設(shè)備，在進(jìn)行固件更新時(shí)，有代碼簽名步驟。當(dāng)其它網(wǎng)絡(luò)設(shè)備供應(yīng)商被發(fā)現(xiàn)有類似問(wèn)題時(shí)， 實(shí)施人員應(yīng)做相應(yīng)準(zhǔn)備。

圖表基于可實(shí)現(xiàn)性以及關(guān)鍵程度高低，介紹了什么時(shí)候需要給安全網(wǎng)絡(luò)打補(bǔ)丁。圖片來(lái)源：橫河

嘗試為所有網(wǎng)絡(luò)設(shè)備打補(bǔ)丁。系統(tǒng)集成商應(yīng)與它們的客戶和最終用戶一起，盡快為所有設(shè)備打補(bǔ)丁。也應(yīng)該坦率的與客戶討論，解釋新一代攻擊的危害，強(qiáng)調(diào)長(zhǎng)期為更多補(bǔ)丁和監(jiān)測(cè)做準(zhǔn)備的重要性。將其視為另一種Stuxnet類型的事件，并不十分夸張。

系統(tǒng)集成商可以提供解決方案和服務(wù)，以增加設(shè)備監(jiān)控。系統(tǒng)集成商應(yīng)做適當(dāng)?shù)囊龑?dǎo)，通知客戶新的威脅，并提供解決方案和服務(wù)，以增加對(duì)安全和網(wǎng)絡(luò)設(shè)備的監(jiān)控。這也有助于促使客戶考慮旨在確定網(wǎng)絡(luò)配置控制和網(wǎng)絡(luò)補(bǔ)丁管理層次的服務(wù)。

審查開發(fā)和實(shí)驗(yàn)室設(shè)備補(bǔ)丁的狀態(tài)。設(shè)備制造商（包括工業(yè)控制設(shè)備制造商）應(yīng)立即修補(bǔ)任何開發(fā)和實(shí)驗(yàn)室系統(tǒng)。應(yīng)更新安全策略和程序，以反映網(wǎng)絡(luò)設(shè)備配置的更改，并加強(qiáng)對(duì)遷移到開發(fā)環(huán)境中的設(shè)備及軟件的控制。

重新審視開發(fā)實(shí)驗(yàn)室和辦公網(wǎng)絡(luò)架構(gòu)。在開發(fā)網(wǎng)絡(luò)連接到其它網(wǎng)絡(luò)的方式上面，設(shè)備制造商需更加謹(jǐn)慎。瞻博可能會(huì)花費(fèi)很多的資源，來(lái)找出出現(xiàn)在其設(shè)備軟件上的后門。你也可以相信，瞻博將投資更多的開發(fā)配置控制軟件，并反思其開發(fā)網(wǎng)絡(luò)的安全性能，以便加入更多的審計(jì)和監(jiān)控。