擴(kuò)展企業(yè)的概念給IT安全組合帶來(lái)了越來(lái)越嚴(yán)重的問(wèn)題��,因?yàn)樗鼈兊拿舾袛?shù)據(jù)和有價(jià)值的數(shù)據(jù)往往流出傳統(tǒng)的網(wǎng)絡(luò)邊界�。為了保護(hù)企業(yè)部署各種新型網(wǎng)絡(luò)安全設(shè)備:下一代防火墻、IDS和IPS設(shè)備�����、安全信息事件管理(SIEM)系統(tǒng)和高級(jí)威脅檢測(cè)系統(tǒng)�����,以保護(hù)企業(yè)免受多元化和低端低速適應(yīng)性的持久威脅��。理想情況下,這些系統(tǒng)將集中管理��,遵循集中安全戰(zhàn)略�����,屬于一般保護(hù)戰(zhàn)略�����。
如何避免企業(yè)網(wǎng)絡(luò)安全設(shè)備部署失敗的解決方案。
然而�����,在部署這些設(shè)備時(shí)���,一些企業(yè)的常見(jiàn)錯(cuò)誤會(huì)嚴(yán)重影響其實(shí)現(xiàn)普遍保護(hù)的能力���。本文將介紹在規(guī)劃和部署新的網(wǎng)絡(luò)安全設(shè)備時(shí)應(yīng)注意的問(wèn)題�,以及如何避免可能導(dǎo)致深度防御失敗的問(wèn)題。
一,不要依賴安全設(shè)備�。
最大的錯(cuò)誤之一是假設(shè)安全設(shè)備本身是安全的�。表面上看����,這似乎很容易理解,但我們必須堅(jiān)持這個(gè)立足點(diǎn)����。所謂的“增強(qiáng)”操作系統(tǒng)有多安全���?它的最新狀態(tài)是什么?它運(yùn)行的“超穩(wěn)定”Web服務(wù)器有多安全?
在開始任何工作之前�,一定要制定一個(gè)測(cè)試計(jì)劃來(lái)驗(yàn)證所有的網(wǎng)絡(luò)安全設(shè)備都是真正安全的����。首先�,從一些基本測(cè)試開始:您是否在各設(shè)備及其支持的網(wǎng)絡(luò)、服務(wù)器和存儲(chǔ)基礎(chǔ)設(shè)施上及時(shí)升級(jí)、安裝補(bǔ)丁和修復(fù)錯(cuò)誤��?檢查當(dāng)前已知漏洞信息的數(shù)據(jù)交換中心(如國(guó)家漏洞數(shù)據(jù)庫(kù))��,必須定期升級(jí)和安裝設(shè)備補(bǔ)丁��。
然后,轉(zhuǎn)向一些更難處理的方面:定期評(píng)估多個(gè)設(shè)備配置的潛在弱點(diǎn)。即使每個(gè)設(shè)備本身都能正常工作�,加密系統(tǒng)和應(yīng)用交付優(yōu)化(ADO)設(shè)備的部署順序也會(huì)導(dǎo)致數(shù)據(jù)泄露����。該過(guò)程可與定期滲透試驗(yàn)一起進(jìn)行��。
二�����,評(píng)估網(wǎng)絡(luò)安全設(shè)備的使用方式。
對(duì)于任何安全設(shè)備�,管理/控制通道最容易出現(xiàn)漏洞���。因此�,一定要注意如何配置和修改安全設(shè)備���,以及誰(shuí)能執(zhí)行這些配置��。如果您準(zhǔn)備通過(guò)Web瀏覽器訪問(wèn)安全系統(tǒng)��,則安全設(shè)備將運(yùn)行Web服務(wù)器,并允許Web流量進(jìn)出。這些流量加密了嗎?是否使用標(biāo)準(zhǔn)端口��?是否所有設(shè)備都使用相同的端口(因此入侵者很容易猜測(cè))訪問(wèn)是通過(guò)普通網(wǎng)絡(luò)連接(編內(nèi))還是獨(dú)立管理網(wǎng)絡(luò)連接(編外)�����?如果屬于編內(nèi)連接,則任何通過(guò)該接口發(fā)送流量的主機(jī)都可能攻擊該設(shè)備��。如果它在管理網(wǎng)絡(luò)上,至少你只需要擔(dān)心網(wǎng)絡(luò)上的其他設(shè)備���。(如果它配置為使用串口連接和KVM,則更加好。)最佳場(chǎng)景如下:如果設(shè)備不能直接訪問(wèn)���,則必須使用加密和多因子身份驗(yàn)證來(lái)確保所有配置變化。此外���,還應(yīng)密切跟蹤和控制設(shè)備管理的身份信息,以確保只有授權(quán)用戶才能獲得管理權(quán)限���。
三,應(yīng)用標(biāo)準(zhǔn)滲透測(cè)試工具��。
如果你采取了前兩步���,現(xiàn)在就有了一個(gè)很好的開始——但是工作還沒(méi)有完成�。黑客、攻擊和威脅載體仍在增長(zhǎng)和發(fā)展,你必須定期測(cè)試系統(tǒng),以確保它們能夠抵抗發(fā)現(xiàn)的攻擊�����,除了修復(fù)漏洞�����。
那么��,攻擊和漏洞有什么區(qū)別呢?攻擊是一種專門攻破漏洞的有意行為���。系統(tǒng)漏洞造成攻擊的可能性�����,但攻擊的存在增加了其危害性——從理論到現(xiàn)實(shí)的漏洞暴露���。
網(wǎng)絡(luò)安全設(shè)備是否容易受到攻擊����,可以使用檢查滲透測(cè)試工具和服務(wù)����。一些開源工具和框架已經(jīng)出現(xiàn)了很長(zhǎng)時(shí)間,包括NetworkMaper(Nmap)����、Nikto����、開放漏洞評(píng)估系統(tǒng)(OpenvulnerabilityAssssstem���、Openvas)和Metasploit����。當(dāng)然,也有很多商業(yè)工具����,比如Mcafee(可以掃描軟件組件)和Qualys產(chǎn)品�����。
這些工具廣泛用于識(shí)別網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量的端口�����;記錄其對(duì)標(biāo)準(zhǔn)測(cè)試數(shù)據(jù)包的響應(yīng)�;并通過(guò)使用Openvas和Metasploit來(lái)測(cè)試它面臨的一些常見(jiàn)攻擊漏洞(更多出現(xiàn)在商業(yè)版本中)��。
其他滲透測(cè)試工具主要關(guān)注Web服務(wù)器和應(yīng)用程序�,如OWASPZedAttackProxy(ZAP)和Arachni����。通過(guò)使用標(biāo)準(zhǔn)工具和技術(shù)來(lái)確定安全設(shè)備的漏洞——例如���,通過(guò)Web管理界面進(jìn)行SQL注入攻擊�����,您可以更清楚地了解如何保護(hù)網(wǎng)絡(luò)安全設(shè)備本身。
四�,在部署網(wǎng)絡(luò)安全設(shè)備時(shí)的風(fēng)險(xiǎn)�。
沒(méi)有什么是完美的���,所以沒(méi)有系統(tǒng)是沒(méi)有漏洞的����。在部署和配置新的網(wǎng)絡(luò)安全設(shè)備時(shí),如果不采取適當(dāng)?shù)念A(yù)防措施����,可能會(huì)給環(huán)境帶來(lái)風(fēng)險(xiǎn)����。采取正確措施保護(hù)設(shè)備��,保護(hù)基礎(chǔ)設(shè)施的其他部分,包括以下常見(jiàn)的預(yù)防措施:
修改默認(rèn)密碼和帳號(hào)名�。
禁用不必要的服務(wù)和帳號(hào)�。
確保底層操作系統(tǒng)和系統(tǒng)軟件按廠家要求更新����。
限制管理網(wǎng)絡(luò)的管理接口訪問(wèn);如果不能這樣做�,ACL應(yīng)用于上游設(shè)備(交換機(jī)和路由器)��,以限制管理會(huì)話的來(lái)源。由于攻擊也在進(jìn)化,滲透測(cè)試應(yīng)定期檢查�����。Openvas和Metasploit等工具應(yīng)保持更新����,其可用攻擊庫(kù)也在穩(wěn)步增長(zhǎng)。
什么是基線?制定一個(gè)普遍的保護(hù)策略只是開始����。為了保護(hù)設(shè)備和數(shù)據(jù)的無(wú)限增長(zhǎng)���,你需要三件事:一個(gè)普遍的保護(hù)策略���、實(shí)現(xiàn)策略的工具和技術(shù)���,以及政策和過(guò)程�����,以確保這些工具和技術(shù)能夠達(dá)到最大的保護(hù)效果。所有的政策和過(guò)程不僅要考慮網(wǎng)絡(luò)安全設(shè)備本身(個(gè)人和整體)的漏洞�����,還要考慮攻擊和威脅載體的不斷發(fā)展和變化����。
以上信息來(lái)源于網(wǎng)上��,由廣州軒轅宏邁編輯��,如有侵權(quán),請(qǐng)聯(lián)系刪除����,如需了解更多網(wǎng)絡(luò)工程方案的�����,可在線客服或者來(lái)電咨詢���,廣州軒轅宏邁為您提供一站式網(wǎng)絡(luò)工程/安防監(jiān)控工程/綜合布線工程/弱電智能化解決方案����,期待您的咨詢與合作?�?����!
手機(jī)端網(wǎng)站