|
在絕大多數(shù)人看來(lái)�����,網(wǎng)絡(luò)安全似乎是一個(gè)較為深?yuàn)W的話(huà)題���,如何規(guī)劃組織的安全建設(shè)�����、制定安全策略�、洞悉安全問(wèn)題,都給IT管理者的工作增加幾分難度����。 很多用戶(hù)都會(huì)思考,為什么已經(jīng)部署了安全設(shè)備��,當(dāng)面對(duì)黑客發(fā)出攻擊時(shí)�,卻仍然束手無(wú)策呢?讓我們通過(guò)下面的案例來(lái)向您展示原因到底是什么�����。 部署了安全設(shè)備為什么還受攻擊����? 某單位信息中心的副主任是由其他部門(mén)調(diào)職過(guò)來(lái)��,主管信息化建設(shè)方面的工作����。任職不久便遇到一件非常棘手的事情,單位的網(wǎng)絡(luò)被攻擊癱瘓���,導(dǎo)致內(nèi)部辦公人員無(wú)法上網(wǎng)�,同時(shí)對(duì)外網(wǎng)站在公網(wǎng)用戶(hù)訪(fǎng)問(wèn)時(shí)也時(shí)斷時(shí)續(xù)。為了能夠盡早解決問(wèn)題�,該副主任率隊(duì)進(jìn)行了徹夜的排查。 傳統(tǒng)防火墻形同虛設(shè) 首先對(duì)主要的安全設(shè)備-傳統(tǒng)防火墻進(jìn)行了排查�,翻閱十幾頁(yè)日志后發(fā)現(xiàn)大部分都是對(duì)端口通信的記錄,很難從中發(fā)現(xiàn)什么問(wèn)題��。為什么有了防火墻�,還是會(huì)受到攻擊呢? IPS似乎沒(méi)有配置任何策略 防火墻作為訪(fǎng)問(wèn)控制設(shè)備���,沒(méi)有發(fā)現(xiàn)攻擊還可以理解����。接下來(lái)����,副主任率隊(duì)又對(duì)同期采購(gòu)的入侵防御系統(tǒng)(IPS)進(jìn)行了詳細(xì)的日志分析。令人意想不到的是����,入侵防御居然也沒(méi)有發(fā)現(xiàn)什么問(wèn)題。經(jīng)過(guò)排查�����,最終發(fā)現(xiàn)根本原因是對(duì)于剛購(gòu)買(mǎi)的入侵防御系統(tǒng),工程師沒(méi)有配置正確的策略���。比如���,添加了IIS系統(tǒng)漏洞的防護(hù),可是對(duì)外的服務(wù)器中根本就沒(méi)有使用IIS���。通常情況下�����,不熟悉業(yè)務(wù)的IT管理員無(wú)法根據(jù)業(yè)務(wù)情況來(lái)選擇適合的策略�,所以大多數(shù)選擇了策略全開(kāi)�,但這必然會(huì)導(dǎo)致效率下降�����。 網(wǎng)絡(luò)安全其實(shí)沒(méi)有那么復(fù)雜 遇到這種問(wèn)題�����,大部分用戶(hù)會(huì)思考�����,每年網(wǎng)絡(luò)安全建設(shè)的投入到底有沒(méi)有價(jià)值、為什么還會(huì)有攻擊��。其實(shí)���,網(wǎng)絡(luò)安全管理并沒(méi)有想象得那么復(fù)雜���。 該用戶(hù)之前已經(jīng)采購(gòu)過(guò)我們的上網(wǎng)行為管理和SSL VPN產(chǎn)品,偶然地了解到深信服的下一代防火墻產(chǎn)品(NGAF)防護(hù)效果較為明顯�,于是決定通過(guò)測(cè)試先看一下效果。 了解自身業(yè)務(wù)部署的對(duì)應(yīng)策略 針對(duì)用戶(hù)在此次事件中的遭遇進(jìn)行分析�����,我們認(rèn)為用戶(hù)需要更簡(jiǎn)單��、容易操控的安全防護(hù)策略�,依據(jù)自身業(yè)務(wù)系統(tǒng)及應(yīng)用的情況進(jìn)行有針對(duì)性的策略配置。但事實(shí)上�,很多IT管理員并不會(huì)耗費(fèi)過(guò)多精力去了解業(yè)務(wù)部署。在此���,我們建議用戶(hù)使用下一代防火墻的“一鍵部署”功能��。 通過(guò)主動(dòng)對(duì)網(wǎng)絡(luò)狀況進(jìn)行安全評(píng)估��,生成策略和報(bào)表����,再通過(guò)“一鍵部署”功能,自動(dòng)生成針對(duì)性的安全策略���,這樣便可避免管理員由于不熟悉業(yè)務(wù)而導(dǎo)致的安全策略錯(cuò)配��、漏配問(wèn)題�����。 通過(guò)對(duì)服務(wù)器����、Web系統(tǒng)進(jìn)行漏洞掃描�����,可以自動(dòng)生成針對(duì)性的策略�����,簡(jiǎn)化了用戶(hù)的運(yùn)維��。 了解網(wǎng)絡(luò)中的流量,實(shí)時(shí)掌控安全狀況 借助下一代防火墻��,IT管理員可以清晰看到經(jīng)過(guò)防火墻的流量都有哪些����、哪些吞噬了較大的帶寬,以此為依據(jù)來(lái)決定禁用哪些高帶寬消耗或可能帶來(lái)威脅的應(yīng)用����。 通過(guò)整體分析來(lái)找尋攻擊的蛛絲馬跡 各類(lèi)攻擊間往往有必然聯(lián)系,如小偷入室盜竊一般���,也必然要經(jīng)過(guò)踩點(diǎn)����、試探���、入室盜竊�。黑客發(fā)起攻擊也大抵如此�,首先踩點(diǎn)����、然后進(jìn)行漏洞掃描分析���、再進(jìn)行提權(quán)以及攻擊破壞�、最后走之前還要留下后門(mén)���。所以只有通過(guò)完整的分析�����,才可以真正了解攻擊本身�����。 從整體威脅中找到受攻擊的目標(biāo)����,再進(jìn)行分析來(lái)探究攻擊者的目的��。如下圖所示�����,這臺(tái)服務(wù)器遭受了大約42.7%的攻擊�,主要是SQL注入和DoS攻擊。 智能聯(lián)動(dòng)讓您高枕無(wú)憂(yōu) 在幫助用戶(hù)分析和測(cè)試的過(guò)程中��,我們也使用到了下一代防火墻的智能聯(lián)動(dòng)功能��。通過(guò)防火墻與IPS�����、WAF的模塊間智能聯(lián)動(dòng)����,可以自動(dòng)生成臨時(shí)的控制策略。大幅提高了黑客的攻擊成本���,是針對(duì)APT攻擊的有效防御手段之一���。 綜上所述,網(wǎng)絡(luò)安全并沒(méi)有這么復(fù)雜�����,恐懼心理往往來(lái)源于對(duì)未知事物的不確定��,例如:不了解業(yè)務(wù)及風(fēng)險(xiǎn)不知道如何制定策略、發(fā)現(xiàn)攻擊無(wú)法對(duì)其進(jìn)行鑒別等�����。通過(guò)下一代防火墻的體驗(yàn)�,用戶(hù)可以主動(dòng)評(píng)估網(wǎng)絡(luò)及系統(tǒng)的風(fēng)險(xiǎn),一鍵生成針對(duì)性的策略���、簡(jiǎn)化運(yùn)維�?��?梢詮腖2-7層宏觀的角度分析黑客的攻擊行為��,通過(guò)智能防御手段自動(dòng)生成策略�,提高黑客攻擊成本�����。
|
