互聯(lián)網(wǎng)安全正處于危機中��。本文中����,我們將為您提供四項切實可行的解決方案建議——包括一套自上而下的改變互聯(lián)網(wǎng)運作的全方位的計劃�。
現(xiàn)如今�,互聯(lián)網(wǎng)可以說是無處不在�����。從我們手中的各種移動設(shè)備到我們工作所使用的電腦的互聯(lián)����,我們無時無刻不是生活和工作在其中的。但不幸的是����,我們在線工作生活在安全保障方面并不充分。任何堅定的黑客都可以竊聽到我們說過什么����,并通過模仿冒充我們,執(zhí)行各種網(wǎng)絡(luò)惡意活動�����。
很顯然�����,我們對于互聯(lián)網(wǎng)的安全亟待需要進行反思了。而通過對全球通信平臺進行翻新改造�,來加裝安全和隱私控制的確是不容易的,但卻很少有人會否認這是絕對必要的���。
為什么要這樣做?是我們的互聯(lián)網(wǎng)建設(shè)得不好嗎?然而并不是�����,僅僅只是因為互聯(lián)網(wǎng)是專為一個烏托邦的世界而設(shè)計建造的����,在這樣一個烏托邦的世界里面�����,您可以信任任何人�。當互聯(lián)網(wǎng)的發(fā)展剛剛起步時,其往往被用學(xué)術(shù)界和研究人員等可信方之間進行的溝通����,彼時,未實施很好的信任關(guān)系或者通信不安全并不重要�����。但到了今天�,互聯(lián)網(wǎng)的安全已經(jīng)很重要了,其會涉及到數(shù)據(jù)泄露�����,用戶身份被盜竊��,以及其他一些網(wǎng)絡(luò)安全事故�����,并且已經(jīng)達到了相當危機令人堪憂的地步了����。
而企業(yè)組織為了應(yīng)對當前的互聯(lián)網(wǎng)形勢、及網(wǎng)絡(luò)罪犯分子所帶來的各種挑戰(zhàn)����,往往采取了一系列的企業(yè)網(wǎng)絡(luò)安全管理措施,但他們所采取的管理措施往往是各種不完全措施的拼湊和大雜燴���,故而在實際運作中也不怎么奏效���。企業(yè)組織所真正需要的是新型的�、有效的信任和安全管理機制���。
如下����,是幾點或?qū)⒂兄谀髽I(yè)組織打造一套安全有效的企業(yè)互聯(lián)網(wǎng)安全管理措施的建議�。這些建議都不是一套完整的解決方案,但如果能夠在您所在的企業(yè)組織獲得充分的部署實施的話��,相信每一條建議都可以讓您企業(yè)的互聯(lián)網(wǎng)變得更安全�����。
1�����、獲得對于流量路由的真正了解
國際互聯(lián)網(wǎng)協(xié)會(Internet Society����,簡稱ISOC),是一家國際性的非盈利性組織�,該組織機構(gòu)專注于互聯(lián)網(wǎng)標準、教育和政策��,推出了一項名為MANRS的倡議(即,路由安全性的相互商定規(guī)范����,Mutually Agreed Norms for Routing Security)����。基于MANRS的倡議���,網(wǎng)絡(luò)運營商會員——主要的互聯(lián)網(wǎng)服務(wù)提供商(ISP)們將致力于實現(xiàn)互聯(lián)網(wǎng)安全控制�����,以確保不正確的路由器信息不會通過其網(wǎng)絡(luò)進行傳播�。該倡議是基于現(xiàn)有行業(yè)的最佳實踐方案�����,包括定義明確的路由策略��、源地址驗證��、并部署反欺騙過濾器���。在工作中遵循一套“當前最佳操作實踐方法”文檔�����。
“每一家簽署了MANRS倡議的ISP都從自身的網(wǎng)絡(luò)方面大大減少了互聯(lián)網(wǎng)危險��。”����,Micro Focus公司安全戰(zhàn)略高級總監(jiān)杰夫·韋伯表示說。
其網(wǎng)絡(luò)101:數(shù)據(jù)包必須到達其預(yù)定的目的地�,而數(shù)據(jù)包是通過怎樣的路徑達到該預(yù)定目的地的也同樣十分重要。例如���,如果加拿大的某個用戶正在試圖訪問Facebook�,那么他或她的通信流量在到達Facebook的服務(wù)器之前���,不應(yīng)該經(jīng)過中國�����。近日���,一個IP地址屬于美國的海軍陸戰(zhàn)隊的流量被臨時改道通過了委內(nèi)瑞拉的一家ISP�����。如果網(wǎng)站的流量沒有獲得HTTPS保護�,這些在意想不到的任何路徑的繞道會將用戶活動的細節(jié)暴露給任何人�。
網(wǎng)絡(luò)攻擊者還會借助簡單的路由技巧來隱藏他們原始的網(wǎng)絡(luò)IP地址��。廣泛實施的用戶數(shù)據(jù)報協(xié)議(UDP)特別容易受到源地址欺騙��,讓攻擊者發(fā)送似乎來自另一個IP地址的數(shù)據(jù)包�����。 分布式拒絕服務(wù)攻擊和其他惡意攻擊很難被發(fā)現(xiàn)追查到�,因為攻擊者發(fā)送請求是采用的欺騙性的地址,并且轉(zhuǎn)至偽造的地址��,而不是實際的起始地址��,進行響應(yīng)�����。
當網(wǎng)絡(luò)攻擊是針對基于UDP的服務(wù)器��,如DNS、組播DNS(multicast DNS)����、網(wǎng)絡(luò)時間協(xié)議、簡單服務(wù)器發(fā)現(xiàn)協(xié)議��,或簡單網(wǎng)絡(luò)管理協(xié)議時���,其影響將被放大�����。
許多ISP都沒有意識到不同的攻擊正在利用常見的路由問題���。盡管一些路由問題可以被歸咎于人為操作錯誤,但其他的都是來自于直接的攻擊����,而ISP們需要學(xué)習(xí)如何識別潛在問題,并采取措施進行解決�。“互聯(lián)網(wǎng)服務(wù)供應(yīng)商必須對它們的路由流量負擔(dān)起更多的責(zé)任。”韋伯說�����。“很多用戶都很容易受到網(wǎng)絡(luò)攻擊。”
當國際互聯(lián)網(wǎng)協(xié)會于2014年剛剛推出該項MANRS倡議時�,有九家自愿參與該倡議計劃的網(wǎng)絡(luò)運營商;而到了現(xiàn)在,其會員數(shù)量已經(jīng)超過40家了�。而MANRS這一倡議想要有所作為的話,需要進一步擴大規(guī)模���,以便可以影響市場�。而那些因為怕麻煩決定不遵循該安全建議的互聯(lián)網(wǎng)服務(wù)供應(yīng)商可能會發(fā)現(xiàn)他們會丟掉生意�,因為客戶將與那些兼容MANRS倡議的互聯(lián)網(wǎng)服務(wù)供應(yīng)商簽署合作協(xié)議?���;蛘吒∫?guī)模的ISP們可能面臨來自上游的較大型的供應(yīng)商拒絕執(zhí)行他們的流量的壓力���,除非他們能夠證明他們已經(jīng)采取適當?shù)陌踩胧?/p>
如果MANRS能夠成為所有互聯(lián)網(wǎng)服務(wù)供應(yīng)商和網(wǎng)絡(luò)運營商事實上的標準����,那將是極好的��。但分散的安全社區(qū)仍然不夠好�����。 “如果您要求每家企業(yè)組織都這樣做,這是永遠也不會發(fā)生的�����。”韋伯說�。
2、加強數(shù)字證書的審核和監(jiān)控
曾經(jīng)��,人們?yōu)榱四軌蚪柚鶶SL來解決這些問題��,已經(jīng)進行過了許多嘗試���,其當然也保護了大多數(shù)的網(wǎng)絡(luò)通信���。SSL能夠幫助確定一處網(wǎng)站是否是其所宣稱的網(wǎng)站,但是����,如果有人采用欺騙手段獲得了證書頒發(fā)機構(gòu)(CA)為一處網(wǎng)站頒發(fā)的數(shù)字證書,那么信任系統(tǒng)就會崩潰�。
早在2011年,一名伊朗的網(wǎng)絡(luò)攻擊者攻破了荷蘭CA供應(yīng)商DigiNotar的服務(wù)器和頒發(fā)的相關(guān)證書���,包括那些谷歌���,微軟和Facebook的證書�。攻擊者能夠借助這些證書建立“中間人攻擊(man-in-the-middle attack)”和攔截網(wǎng)站的流量�����。這種網(wǎng)絡(luò)攻擊能夠獲得成功��,是因為瀏覽器將來自DigiNotar的流量作為有效的流量�,盡管事實上該網(wǎng)站已經(jīng)由不同CA的簽名認證。
谷歌的證書透明度項目�,是一款用于監(jiān)控和審計SSL證書的一個開放的、公共的框架��,是解決中間人攻擊問題的最新嘗試����。
當一家CA頒發(fā)證書時���,其將被記錄在公共證書日志上����,任何人都可以查詢加密證據(jù),以驗證一個特定的證書�����。服務(wù)器上的監(jiān)視器定期檢查是否有可疑的證書����,包括誤發(fā)的非法認證域和那些不尋常的證書擴展。
顯示器類似于信用報告服務(wù)����,他們會就惡意證書的使用發(fā)出警報。審計人員確保日志是否正常工作���,并驗證出現(xiàn)在日志中的特定證書����。對于瀏覽器而言�,在日志中沒有發(fā)現(xiàn)的證書是一個明確的信號,說明該網(wǎng)站是有問題的����。
借助證書透明度項目,谷歌希望能夠解決錯誤頒發(fā)的認證證書��、惡意收購認證,流氓CA和其他網(wǎng)絡(luò)威脅等問題����。谷歌當然有其自有的技術(shù),但他們必須說服用戶��,這才是正確的做法�。
基于DNS的命名實體身份驗證(DANE)是借助SSL解決中間人攻擊問題的另一項嘗試。DANE協(xié)議證實了成熟的技術(shù)解決方案并不會自動贏得用戶這一點����。DANE牽制SSL會話到域名系統(tǒng)的安全層DNSSEC。
雖然DANE協(xié)議成功地阻止了中間人攻擊對于SSL和其他協(xié)議的攻擊�����,但其受到狀態(tài)監(jiān)測的困擾���。DANE依靠DNSSEC�,而且由于政府機構(gòu)通常擁有頂級的DNS域名���,故而引發(fā)了對于是否信任聯(lián)邦當局運行安全層的關(guān)注。采用DANE意味著政府機構(gòu)目前執(zhí)掌了對于證書頒發(fā)機構(gòu)的訪問權(quán)限——這使得用戶產(chǎn)生不安是可以理解的���。
盡管有任何疑慮的用戶可能會對谷歌公司存在信任��,但該公司的證書透明度項目已經(jīng)向前邁進�。而他們最近甚至推出了類似的服務(wù),谷歌Submariner�,其中列出了不再信任的證書頒發(fā)機構(gòu)。
3�、一勞永逸的解決惡意軟件問題
差不多大約十年前,哈佛大學(xué)的伯克曼互聯(lián)網(wǎng)與社會研究中心推出了StopBadware項目����,這是一個與包括谷歌、Mozilla基金會和PayPal等高科技公司共同打造的實驗策略����,希望能夠聯(lián)合共同打擊惡意軟件。
2010年��,哈佛分拆該項目作為一個獨立的非營利項目�。StopBadware提供對于惡意軟件的分析,包括惡意軟件和間諜軟件�����,提供信息刪除服務(wù)�,并教育用戶如何防止反復(fù)網(wǎng)絡(luò)病毒感染�����。用戶和網(wǎng)站管理員可以通過查詢URL����、IP地址和ASN����,以及惡意URL報告?���?萍脊尽ⅹ毩⒌陌踩芯咳藛T和學(xué)術(shù)研究人員與StopBadware團隊合作�,分享關(guān)于不同網(wǎng)絡(luò)安全威脅的數(shù)據(jù)。
運行一個非營利性項目的間接費用成本造成了大量損失�����,該項目被轉(zhuǎn)移到塔爾薩大學(xué)�,交由Tyler Moore博士負責(zé)主持,助理教授負責(zé)網(wǎng)絡(luò)與信息安全保障����。該項目還提供對于感染惡意軟件網(wǎng)站的獨立的測試和審查,并運行一個數(shù)據(jù)共享計劃�,作出貢獻的公司將接收基于Web的惡意軟件的實時數(shù)據(jù)。該項目正在開發(fā)一款工具�,來根據(jù)他們所經(jīng)歷的網(wǎng)絡(luò)攻擊為網(wǎng)站的管理員提供更有針對性的建議。一款測試beta版的工具有望在今年秋天推出����。
但是,即使一個項目成功解決了安全問題����,但仍然要面對實際運作所需的業(yè)務(wù)資金的問題。
4����、重塑互聯(lián)網(wǎng)
然后,有了一個關(guān)于互聯(lián)網(wǎng)應(yīng)該被一個更好的���,更安全的方案所替換的想法���。
Doug Crockford目前是PayPal公司高級JavaScript架構(gòu)師,JSON語句背后的重要推動之一��,提出了Seif:這是一個開源項目�����,或?qū)氐赘淖兓ヂ?lián)網(wǎng)的所有方面。他想重新打造傳輸協(xié)議�����,重新設(shè)計用戶界面���,并拋棄密碼�����?��?傊珻rockford希望創(chuàng)建一個以安全為重點的應(yīng)用程序平臺以傳遞互聯(lián)網(wǎng)����。
Seif項目提出利用加密密鑰和IP地址更換DNS、TCP上的安全JSON替換HTTP���、以及基于JavaScript的應(yīng)用程序交付系統(tǒng)替換HTML���、基于Node.js和Qt. CSS�、及DOM也將在Seif中運行��。而在JavaScript的這一部分�����,其將繼續(xù)成為建設(shè)更簡單的�����、更安全的Web應(yīng)用程序的關(guān)鍵角色�����。
對于SSL對證書頒發(fā)機構(gòu)的依賴����,Crockford也有一個解決方案:采用一個基于公鑰加密方案的雙向認證方案�。該方案的細節(jié)還不多,但這個想法取決于搜索和信任的組織的公共密鑰����,而不是信任一個特定的CA正確地頒發(fā)證書。
Seif將基于ECC 521(Elyptic Curve Cryptography)、AES256(高級加密標準)和SHA(Secure Hash Algorithm)3-256具備密碼服務(wù)功能�����。ECC 521公共密鑰將提供唯一的標識符����。
Seif將通過輔助應(yīng)用程序部署在瀏覽器中,類似于在舊電視機上安裝機頂盒讓觀眾可以接收高清信號�����。一旦瀏覽器廠商集成了Seif�����,輔助應(yīng)用程序就將沒有必要了���。
Seif項目有很多有趣的元素���,但其仍然處在初期階段。其節(jié)點的部署實現(xiàn)����,將運行Seif的會話協(xié)議���,目前正在開發(fā)中。即使我們尚不知道很多細節(jié)���,但很明顯���,這項雄心勃勃的計劃在被呈現(xiàn)給用戶之前還需要有挑大梁的大機構(gòu)的支持。
例如��,需要獲得一家主要的瀏覽器廠商的支持——比如Mozilla基金會�����,其將需要整合其輔助程序���,同時還需要有一家主流的大型的網(wǎng)站要求所有用戶使用該瀏覽器。而由于競爭壓力��,其他網(wǎng)站和瀏覽器才會跟隨�����,但問題在于:具備這種影響力的供應(yīng)商是否會選擇Seif����。
未來何去何從
而拋棄一切��,重新開始幾乎是不可能的���,所以唯一的選擇就是使現(xiàn)有網(wǎng)絡(luò)更難攻擊,韋伯說�。不要試圖一次性就能解決所有的問題,應(yīng)該從較小的修正開始��,使其更難被特定的部分所濫用�。
“當您的房子著火了,而您正在等待消防車前來救火時�����,您會盡您的所能進行搶救�,而不是走開尋找新的房子,”韋伯說�。
沒有人能夠控制整個互聯(lián)網(wǎng),而更重要的是����,其還有大量的內(nèi)置冗余和彈性?;ヂ?lián)網(wǎng)的安全修復(fù)并不只是某一家實體的任務(wù)����,其涉及到我們每個人��,每家企業(yè)和每家政府機構(gòu)多方利益�����?�;ヂ?lián)網(wǎng)服務(wù)供應(yīng)商應(yīng)負責(zé)修復(fù)潛在的路由問題���,但他們不是唯一對此負有責(zé)任的。而對于DNS問題���,我們可以通過部署加密服務(wù)�,并加強對于連接到服務(wù)的硬件設(shè)備的管理�。
各國的政府機構(gòu)一直在努力嘗試,特別是最近在試圖對于安全隱私保護方面進行著努力和嘗試��。他們中的大多數(shù)都沒有太多的動作�,因為他們太復(fù)雜或優(yōu)先級別不夠高。但是立法的缺失并不意味著政府機構(gòu)不應(yīng)該參與進來��。
“我們必須解決這一切,但其并不是任何一個人可以修復(fù)解決的���。”韋伯說����。“如果您盡力了���,我也會盡力的���。”
通過一個更加安全的互聯(lián)網(wǎng)的道路鋪上了很多偉大的想法,但卻都以失敗告終�,或者由于人們?nèi)狈εd趣而逐漸消失。宏偉計劃聽起來總是有希望的�,但如果他們沒有考慮到技術(shù)水平的限制,以及現(xiàn)實實際的部署成本的話�,就不會走得很遠。困難的部分是爭取支持���,獲得良好的發(fā)展勢頭�����,并為用戶帶來持續(xù)的安全承諾�����。
“如果有人能夠搞定網(wǎng)絡(luò)安全的話�,我們的子子孫孫都會感謝他的。”韋伯說���。
文章來源:機房專用空調(diào) http://m.keenjuche.com.cn
加入收藏
設(shè)為首頁
熱線:010-62104284 
在線咨詢
電話咨詢