互聯(lián)網(wǎng)安全正處于危機(jī)中�����。本文中,我們將為您提供四項(xiàng)切實(shí)可行的解決方案建議——包括一套自上而下的改變互聯(lián)網(wǎng)運(yùn)作的全方位的計(jì)劃���。
現(xiàn)如今����,互聯(lián)網(wǎng)可以說(shuō)是無(wú)處不在���。從我們手中的各種移動(dòng)設(shè)備到我們工作所使用的電腦的互聯(lián)�����,我們無(wú)時(shí)無(wú)刻不是生活和工作在其中的����。但不幸的是,我們?cè)诰€工作生活在安全保障方面并不充分�。任何堅(jiān)定的黑客都可以竊聽到我們說(shuō)過(guò)什么,并通過(guò)模仿冒充我們�����,執(zhí)行各種網(wǎng)絡(luò)惡意活動(dòng)����。
很顯然,我們對(duì)于互聯(lián)網(wǎng)的安全亟待需要進(jìn)行反思了���。而通過(guò)對(duì)全球通信平臺(tái)進(jìn)行翻新改造���,來(lái)加裝安全和隱私控制的確是不容易的,但卻很少有人會(huì)否認(rèn)這是絕對(duì)必要的����。
為什么要這樣做?是我們的互聯(lián)網(wǎng)建設(shè)得不好嗎?然而并不是,僅僅只是因?yàn)榛ヂ?lián)網(wǎng)是專為一個(gè)烏托邦的世界而設(shè)計(jì)建造的����,在這樣一個(gè)烏托邦的世界里面,您可以信任任何人����。當(dāng)互聯(lián)網(wǎng)的發(fā)展剛剛起步時(shí),其往往被用學(xué)術(shù)界和研究人員等可信方之間進(jìn)行的溝通���,彼時(shí)��,未實(shí)施很好的信任關(guān)系或者通信不安全并不重要��。但到了今天����,互聯(lián)網(wǎng)的安全已經(jīng)很重要了�����,其會(huì)涉及到數(shù)據(jù)泄露����,用戶身份被盜竊,以及其他一些網(wǎng)絡(luò)安全事故����,并且已經(jīng)達(dá)到了相當(dāng)危機(jī)令人堪憂的地步了���。
而企業(yè)組織為了應(yīng)對(duì)當(dāng)前的互聯(lián)網(wǎng)形勢(shì)、及網(wǎng)絡(luò)罪犯分子所帶來(lái)的各種挑戰(zhàn)�,往往采取了一系列的企業(yè)網(wǎng)絡(luò)安全管理措施,但他們所采取的管理措施往往是各種不完全措施的拼湊和大雜燴����,故而在實(shí)際運(yùn)作中也不怎么奏效。企業(yè)組織所真正需要的是新型的���、有效的信任和安全管理機(jī)制��。
如下��,是幾點(diǎn)或?qū)⒂兄谀髽I(yè)組織打造一套安全有效的企業(yè)互聯(lián)網(wǎng)安全管理措施的建議����。這些建議都不是一套完整的解決方案����,但如果能夠在您所在的企業(yè)組織獲得充分的部署實(shí)施的話,相信每一條建議都可以讓您企業(yè)的互聯(lián)網(wǎng)變得更安全���。
1�����、獲得對(duì)于流量路由的真正了解
國(guó)際互聯(lián)網(wǎng)協(xié)會(huì)(Internet Society���,簡(jiǎn)稱ISOC),是一家國(guó)際性的非盈利性組織���,該組織機(jī)構(gòu)專注于互聯(lián)網(wǎng)標(biāo)準(zhǔn)���、教育和政策,推出了一項(xiàng)名為MANRS的倡議(即�����,路由安全性的相互商定規(guī)范����,Mutually Agreed Norms for Routing Security)?��;贛ANRS的倡議����,網(wǎng)絡(luò)運(yùn)營(yíng)商會(huì)員——主要的互聯(lián)網(wǎng)服務(wù)提供商(ISP)們將致力于實(shí)現(xiàn)互聯(lián)網(wǎng)安全控制,以確保不正確的路由器信息不會(huì)通過(guò)其網(wǎng)絡(luò)進(jìn)行傳播���。該倡議是基于現(xiàn)有行業(yè)的最佳實(shí)踐方案����,包括定義明確的路由策略�、源地址驗(yàn)證、并部署反欺騙過(guò)濾器�����。在工作中遵循一套“當(dāng)前最佳操作實(shí)踐方法”文檔����。
“每一家簽署了MANRS倡議的ISP都從自身的網(wǎng)絡(luò)方面大大減少了互聯(lián)網(wǎng)危險(xiǎn)。”��,Micro Focus公司安全戰(zhàn)略高級(jí)總監(jiān)杰夫·韋伯表示說(shuō)���。
其網(wǎng)絡(luò)101:數(shù)據(jù)包必須到達(dá)其預(yù)定的目的地����,而數(shù)據(jù)包是通過(guò)怎樣的路徑達(dá)到該預(yù)定目的地的也同樣十分重要。例如����,如果加拿大的某個(gè)用戶正在試圖訪問(wèn)Facebook,那么他或她的通信流量在到達(dá)Facebook的服務(wù)器之前��,不應(yīng)該經(jīng)過(guò)中國(guó)��。近日�,一個(gè)IP地址屬于美國(guó)的海軍陸戰(zhàn)隊(duì)的流量被臨時(shí)改道通過(guò)了委內(nèi)瑞拉的一家ISP���。如果網(wǎng)站的流量沒有獲得HTTPS保護(hù)���,這些在意想不到的任何路徑的繞道會(huì)將用戶活動(dòng)的細(xì)節(jié)暴露給任何人。
網(wǎng)絡(luò)攻擊者還會(huì)借助簡(jiǎn)單的路由技巧來(lái)隱藏他們?cè)嫉木W(wǎng)絡(luò)IP地址��。廣泛實(shí)施的用戶數(shù)據(jù)報(bào)協(xié)議(UDP)特別容易受到源地址欺騙����,讓攻擊者發(fā)送似乎來(lái)自另一個(gè)IP地址的數(shù)據(jù)包。 分布式拒絕服務(wù)攻擊和其他惡意攻擊很難被發(fā)現(xiàn)追查到�����,因?yàn)楣粽甙l(fā)送請(qǐng)求是采用的欺騙性的地址,并且轉(zhuǎn)至偽造的地址��,而不是實(shí)際的起始地址�����,進(jìn)行響應(yīng)����。
當(dāng)網(wǎng)絡(luò)攻擊是針對(duì)基于UDP的服務(wù)器,如DNS��、組播DNS(multicast DNS)��、網(wǎng)絡(luò)時(shí)間協(xié)議���、簡(jiǎn)單服務(wù)器發(fā)現(xiàn)協(xié)議��,或簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議時(shí)���,其影響將被放大。
許多ISP都沒有意識(shí)到不同的攻擊正在利用常見的路由問(wèn)題�����。盡管一些路由問(wèn)題可以被歸咎于人為操作錯(cuò)誤,但其他的都是來(lái)自于直接的攻擊�����,而ISP們需要學(xué)習(xí)如何識(shí)別潛在問(wèn)題�����,并采取措施進(jìn)行解決����。“互聯(lián)網(wǎng)服務(wù)供應(yīng)商必須對(duì)它們的路由流量負(fù)擔(dān)起更多的責(zé)任�。”韋伯說(shuō)。“很多用戶都很容易受到網(wǎng)絡(luò)攻擊�。”
當(dāng)國(guó)際互聯(lián)網(wǎng)協(xié)會(huì)于2014年剛剛推出該項(xiàng)MANRS倡議時(shí),有九家自愿參與該倡議計(jì)劃的網(wǎng)絡(luò)運(yùn)營(yíng)商;而到了現(xiàn)在�,其會(huì)員數(shù)量已經(jīng)超過(guò)40家了。而MANRS這一倡議想要有所作為的話��,需要進(jìn)一步擴(kuò)大規(guī)模��,以便可以影響市場(chǎng)����。而那些因?yàn)榕侣闊Q定不遵循該安全建議的互聯(lián)網(wǎng)服務(wù)供應(yīng)商可能會(huì)發(fā)現(xiàn)他們會(huì)丟掉生意�����,因?yàn)榭蛻魧⑴c那些兼容MANRS倡議的互聯(lián)網(wǎng)服務(wù)供應(yīng)商簽署合作協(xié)議����?;蛘吒∫?guī)模的ISP們可能面臨來(lái)自上游的較大型的供應(yīng)商拒絕執(zhí)行他們的流量的壓力,除非他們能夠證明他們已經(jīng)采取適當(dāng)?shù)陌踩胧?/p>
如果MANRS能夠成為所有互聯(lián)網(wǎng)服務(wù)供應(yīng)商和網(wǎng)絡(luò)運(yùn)營(yíng)商事實(shí)上的標(biāo)準(zhǔn)����,那將是極好的。但分散的安全社區(qū)仍然不夠好����。 “如果您要求每家企業(yè)組織都這樣做,這是永遠(yuǎn)也不會(huì)發(fā)生的�����。”韋伯說(shuō)����。
2、加強(qiáng)數(shù)字證書的審核和監(jiān)控
曾經(jīng),人們?yōu)榱四軌蚪柚鶶SL來(lái)解決這些問(wèn)題�����,已經(jīng)進(jìn)行過(guò)了許多嘗試����,其當(dāng)然也保護(hù)了大多數(shù)的網(wǎng)絡(luò)通信。SSL能夠幫助確定一處網(wǎng)站是否是其所宣稱的網(wǎng)站��,但是����,如果有人采用欺騙手段獲得了證書頒發(fā)機(jī)構(gòu)(CA)為一處網(wǎng)站頒發(fā)的數(shù)字證書,那么信任系統(tǒng)就會(huì)崩潰�����。
早在2011年�,一名伊朗的網(wǎng)絡(luò)攻擊者攻破了荷蘭CA供應(yīng)商DigiNotar的服務(wù)器和頒發(fā)的相關(guān)證書���,包括那些谷歌��,微軟和Facebook的證書�。攻擊者能夠借助這些證書建立“中間人攻擊(man-in-the-middle attack)”和攔截網(wǎng)站的流量。這種網(wǎng)絡(luò)攻擊能夠獲得成功�����,是因?yàn)闉g覽器將來(lái)自DigiNotar的流量作為有效的流量����,盡管事實(shí)上該網(wǎng)站已經(jīng)由不同CA的簽名認(rèn)證。
谷歌的證書透明度項(xiàng)目��,是一款用于監(jiān)控和審計(jì)SSL證書的一個(gè)開放的����、公共的框架,是解決中間人攻擊問(wèn)題的最新嘗試�。
當(dāng)一家CA頒發(fā)證書時(shí),其將被記錄在公共證書日志上����,任何人都可以查詢加密證據(jù),以驗(yàn)證一個(gè)特定的證書���。服務(wù)器上的監(jiān)視器定期檢查是否有可疑的證書����,包括誤發(fā)的非法認(rèn)證域和那些不尋常的證書擴(kuò)展。
顯示器類似于信用報(bào)告服務(wù)��,他們會(huì)就惡意證書的使用發(fā)出警報(bào)�。審計(jì)人員確保日志是否正常工作,并驗(yàn)證出現(xiàn)在日志中的特定證書����。對(duì)于瀏覽器而言,在日志中沒有發(fā)現(xiàn)的證書是一個(gè)明確的信號(hào)��,說(shuō)明該網(wǎng)站是有問(wèn)題的�。
借助證書透明度項(xiàng)目,谷歌希望能夠解決錯(cuò)誤頒發(fā)的認(rèn)證證書�����、惡意收購(gòu)認(rèn)證��,流氓CA和其他網(wǎng)絡(luò)威脅等問(wèn)題���。谷歌當(dāng)然有其自有的技術(shù),但他們必須說(shuō)服用戶�,這才是正確的做法。
基于DNS的命名實(shí)體身份驗(yàn)證(DANE)是借助SSL解決中間人攻擊問(wèn)題的另一項(xiàng)嘗試����。DANE協(xié)議證實(shí)了成熟的技術(shù)解決方案并不會(huì)自動(dòng)贏得用戶這一點(diǎn)�。DANE牽制SSL會(huì)話到域名系統(tǒng)的安全層DNSSEC����。
雖然DANE協(xié)議成功地阻止了中間人攻擊對(duì)于SSL和其他協(xié)議的攻擊,但其受到狀態(tài)監(jiān)測(cè)的困擾�。DANE依靠DNSSEC,而且由于政府機(jī)構(gòu)通常擁有頂級(jí)的DNS域名�����,故而引發(fā)了對(duì)于是否信任聯(lián)邦當(dāng)局運(yùn)行安全層的關(guān)注�。采用DANE意味著政府機(jī)構(gòu)目前執(zhí)掌了對(duì)于證書頒發(fā)機(jī)構(gòu)的訪問(wèn)權(quán)限——這使得用戶產(chǎn)生不安是可以理解的。
盡管有任何疑慮的用戶可能會(huì)對(duì)谷歌公司存在信任����,但該公司的證書透明度項(xiàng)目已經(jīng)向前邁進(jìn)。而他們最近甚至推出了類似的服務(wù)����,谷歌Submariner,其中列出了不再信任的證書頒發(fā)機(jī)構(gòu)��。
3�、一勞永逸的解決惡意軟件問(wèn)題
差不多大約十年前���,哈佛大學(xué)的伯克曼互聯(lián)網(wǎng)與社會(huì)研究中心推出了StopBadware項(xiàng)目,這是一個(gè)與包括谷歌�����、Mozilla基金會(huì)和PayPal等高科技公司共同打造的實(shí)驗(yàn)策略�����,希望能夠聯(lián)合共同打擊惡意軟件����。
2010年,哈佛分拆該項(xiàng)目作為一個(gè)獨(dú)立的非營(yíng)利項(xiàng)目�����。StopBadware提供對(duì)于惡意軟件的分析�,包括惡意軟件和間諜軟件,提供信息刪除服務(wù)�,并教育用戶如何防止反復(fù)網(wǎng)絡(luò)病毒感染。用戶和網(wǎng)站管理員可以通過(guò)查詢URL�、IP地址和ASN,以及惡意URL報(bào)告��??萍脊尽ⅹ?dú)立的安全研究人員和學(xué)術(shù)研究人員與StopBadware團(tuán)隊(duì)合作��,分享關(guān)于不同網(wǎng)絡(luò)安全威脅的數(shù)據(jù)��。
運(yùn)行一個(gè)非營(yíng)利性項(xiàng)目的間接費(fèi)用成本造成了大量損失���,該項(xiàng)目被轉(zhuǎn)移到塔爾薩大學(xué)�����,交由Tyler Moore博士負(fù)責(zé)主持�,助理教授負(fù)責(zé)網(wǎng)絡(luò)與信息安全保障�。該項(xiàng)目還提供對(duì)于感染惡意軟件網(wǎng)站的獨(dú)立的測(cè)試和審查,并運(yùn)行一個(gè)數(shù)據(jù)共享計(jì)劃��,作出貢獻(xiàn)的公司將接收基于Web的惡意軟件的實(shí)時(shí)數(shù)據(jù)��。該項(xiàng)目正在開發(fā)一款工具����,來(lái)根據(jù)他們所經(jīng)歷的網(wǎng)絡(luò)攻擊為網(wǎng)站的管理員提供更有針對(duì)性的建議。一款測(cè)試beta版的工具有望在今年秋天推出��。
但是,即使一個(gè)項(xiàng)目成功解決了安全問(wèn)題�����,但仍然要面對(duì)實(shí)際運(yùn)作所需的業(yè)務(wù)資金的問(wèn)題��。
4���、重塑互聯(lián)網(wǎng)
然后���,有了一個(gè)關(guān)于互聯(lián)網(wǎng)應(yīng)該被一個(gè)更好的,更安全的方案所替換的想法���。
Doug Crockford目前是PayPal公司高級(jí)JavaScript架構(gòu)師����,JSON語(yǔ)句背后的重要推動(dòng)之一���,提出了Seif:這是一個(gè)開源項(xiàng)目����,或?qū)氐赘淖兓ヂ?lián)網(wǎng)的所有方面。他想重新打造傳輸協(xié)議����,重新設(shè)計(jì)用戶界面,并拋棄密碼�?����?傊?�,Crockford希望創(chuàng)建一個(gè)以安全為重點(diǎn)的應(yīng)用程序平臺(tái)以傳遞互聯(lián)網(wǎng)���。
Seif項(xiàng)目提出利用加密密鑰和IP地址更換DNS���、TCP上的安全JSON替換HTTP、以及基于JavaScript的應(yīng)用程序交付系統(tǒng)替換HTML���、基于Node.js和Qt. CSS���、及DOM也將在Seif中運(yùn)行。而在JavaScript的這一部分��,其將繼續(xù)成為建設(shè)更簡(jiǎn)單的、更安全的Web應(yīng)用程序的關(guān)鍵角色���。
對(duì)于SSL對(duì)證書頒發(fā)機(jī)構(gòu)的依賴�,Crockford也有一個(gè)解決方案:采用一個(gè)基于公鑰加密方案的雙向認(rèn)證方案�����。該方案的細(xì)節(jié)還不多�����,但這個(gè)想法取決于搜索和信任的組織的公共密鑰�,而不是信任一個(gè)特定的CA正確地頒發(fā)證書。
Seif將基于ECC 521(Elyptic Curve Cryptography)�����、AES256(高級(jí)加密標(biāo)準(zhǔn))和SHA(Secure Hash Algorithm)3-256具備密碼服務(wù)功能�。ECC 521公共密鑰將提供唯一的標(biāo)識(shí)符。
Seif將通過(guò)輔助應(yīng)用程序部署在瀏覽器中����,類似于在舊電視機(jī)上安裝機(jī)頂盒讓觀眾可以接收高清信號(hào)。一旦瀏覽器廠商集成了Seif�,輔助應(yīng)用程序就將沒有必要了����。
Seif項(xiàng)目有很多有趣的元素�����,但其仍然處在初期階段�。其節(jié)點(diǎn)的部署實(shí)現(xiàn),將運(yùn)行Seif的會(huì)話協(xié)議����,目前正在開發(fā)中����。即使我們尚不知道很多細(xì)節(jié),但很明顯���,這項(xiàng)雄心勃勃的計(jì)劃在被呈現(xiàn)給用戶之前還需要有挑大梁的大機(jī)構(gòu)的支持���。
例如,需要獲得一家主要的瀏覽器廠商的支持——比如Mozilla基金會(huì)�����,其將需要整合其輔助程序,同時(shí)還需要有一家主流的大型的網(wǎng)站要求所有用戶使用該瀏覽器�。而由于競(jìng)爭(zhēng)壓力,其他網(wǎng)站和瀏覽器才會(huì)跟隨���,但問(wèn)題在于:具備這種影響力的供應(yīng)商是否會(huì)選擇Seif���。
未來(lái)何去何從
而拋棄一切,重新開始幾乎是不可能的����,所以唯一的選擇就是使現(xiàn)有網(wǎng)絡(luò)更難攻擊,韋伯說(shuō)��。不要試圖一次性就能解決所有的問(wèn)題��,應(yīng)該從較小的修正開始��,使其更難被特定的部分所濫用���。
“當(dāng)您的房子著火了�����,而您正在等待消防車前來(lái)救火時(shí)���,您會(huì)盡您的所能進(jìn)行搶救����,而不是走開尋找新的房子�����,”韋伯說(shuō)�。
沒有人能夠控制整個(gè)互聯(lián)網(wǎng),而更重要的是�����,其還有大量的內(nèi)置冗余和彈性�����?���;ヂ?lián)網(wǎng)的安全修復(fù)并不只是某一家實(shí)體的任務(wù)���,其涉及到我們每個(gè)人�,每家企業(yè)和每家政府機(jī)構(gòu)多方利益?����;ヂ?lián)網(wǎng)服務(wù)供應(yīng)商應(yīng)負(fù)責(zé)修復(fù)潛在的路由問(wèn)題�����,但他們不是唯一對(duì)此負(fù)有責(zé)任的���。而對(duì)于DNS問(wèn)題�����,我們可以通過(guò)部署加密服務(wù)��,并加強(qiáng)對(duì)于連接到服務(wù)的硬件設(shè)備的管理�����。
各國(guó)的政府機(jī)構(gòu)一直在努力嘗試����,特別是最近在試圖對(duì)于安全隱私保護(hù)方面進(jìn)行著努力和嘗試��。他們中的大多數(shù)都沒有太多的動(dòng)作,因?yàn)樗麄兲珡?fù)雜或優(yōu)先級(jí)別不夠高����。但是立法的缺失并不意味著政府機(jī)構(gòu)不應(yīng)該參與進(jìn)來(lái)。
“我們必須解決這一切����,但其并不是任何一個(gè)人可以修復(fù)解決的。”韋伯說(shuō)����。“如果您盡力了,我也會(huì)盡力的�。”
通過(guò)一個(gè)更加安全的互聯(lián)網(wǎng)的道路鋪上了很多偉大的想法,但卻都以失敗告終����,或者由于人們?nèi)狈εd趣而逐漸消失�。宏偉計(jì)劃聽起來(lái)總是有希望的,但如果他們沒有考慮到技術(shù)水平的限制����,以及現(xiàn)實(shí)實(shí)際的部署成本的話,就不會(huì)走得很遠(yuǎn)�。困難的部分是爭(zhēng)取支持���,獲得良好的發(fā)展勢(shì)頭,并為用戶帶來(lái)持續(xù)的安全承諾���。
“如果有人能夠搞定網(wǎng)絡(luò)安全的話��,我們的子子孫孫都會(huì)感謝他的����。”韋伯說(shuō)���。
文章來(lái)源:機(jī)房專用空調(diào) http://www.rongguina.cn
加入收藏
設(shè)為首頁(yè)
熱線:010-62104284 
在線咨詢
電話咨詢