互聯(lián)網(wǎng)安全正處于危機(jī)中。本文中,我們將為您提供四項切實可行的解決方案建議——包括一套自上而下的改變互聯(lián)網(wǎng)運(yùn)作的全方位的計劃。
現(xiàn)如今,互聯(lián)網(wǎng)可以說是無處不在。從我們手中的各種移動設(shè)備到我們工作所使用的電腦的互聯(lián),我們無時無刻不是生活和工作在其中的。但不幸的是,我們在線工作生活在安全保障方面并不充分。任何堅定的黑客都可以竊聽到我們說過什么,并通過模仿冒充我們,執(zhí)行各種網(wǎng)絡(luò)惡意活動。
很顯然,我們對于互聯(lián)網(wǎng)的安全亟待需要進(jìn)行反思了。而通過對全球通信平臺進(jìn)行翻新改造,來加裝安全和隱私控制的確是不容易的,但卻很少有人會否認(rèn)這是絕對必要的。
為什么要這樣做?是我們的互聯(lián)網(wǎng)建設(shè)得不好嗎?然而并不是,僅僅只是因為互聯(lián)網(wǎng)是專為一個烏托邦的世界而設(shè)計建造的,在這樣一個烏托邦的世界里面,您可以信任任何人。當(dāng)互聯(lián)網(wǎng)的發(fā)展剛剛起步時,其往往被用學(xué)術(shù)界和研究人員等可信方之間進(jìn)行的溝通,彼時,未實施很好的信任關(guān)系或者通信不安全并不重要。但到了今天,互聯(lián)網(wǎng)的安全已經(jīng)很重要了,其會涉及到數(shù)據(jù)泄露,用戶身份被盜竊,以及其他一些網(wǎng)絡(luò)安全事故,并且已經(jīng)達(dá)到了相當(dāng)危機(jī)令人堪憂的地步了。
而企業(yè)組織為了應(yīng)對當(dāng)前的互聯(lián)網(wǎng)形勢、及網(wǎng)絡(luò)罪犯分子所帶來的各種挑戰(zhàn),往往采取了一系列的企業(yè)網(wǎng)絡(luò)安全管理措施,但他們所采取的管理措施往往是各種不完全措施的拼湊和大雜燴,故而在實際運(yùn)作中也不怎么奏效。企業(yè)組織所真正需要的是新型的、有效的信任和安全管理機(jī)制。
如下,是幾點或?qū)⒂兄谀髽I(yè)組織打造一套安全有效的企業(yè)互聯(lián)網(wǎng)安全管理措施的建議。這些建議都不是一套完整的解決方案,但如果能夠在您所在的企業(yè)組織獲得充分的部署實施的話,相信每一條建議都可以讓您企業(yè)的互聯(lián)網(wǎng)變得更安全。
1、獲得對于流量路由的真正了解
國際互聯(lián)網(wǎng)協(xié)會(Internet Society,簡稱ISOC),是一家國際性的非盈利性組織,該組織機(jī)構(gòu)專注于互聯(lián)網(wǎng)標(biāo)準(zhǔn)、教育和政策,推出了一項名為MANRS的倡議(即,路由安全性的相互商定規(guī)范,Mutually Agreed Norms for Routing Security)。基于MANRS的倡議,網(wǎng)絡(luò)運(yùn)營商會員——主要的互聯(lián)網(wǎng)服務(wù)提供商(ISP)們將致力于實現(xiàn)互聯(lián)網(wǎng)安全控制,以確保不正確的路由器信息不會通過其網(wǎng)絡(luò)進(jìn)行傳播。該倡議是基于現(xiàn)有行業(yè)的最佳實踐方案,包括定義明確的路由策略、源地址驗證、并部署反欺騙過濾器。在工作中遵循一套“當(dāng)前最佳操作實踐方法”文檔。
“每一家簽署了MANRS倡議的ISP都從自身的網(wǎng)絡(luò)方面大大減少了互聯(lián)網(wǎng)危險。”,Micro Focus公司安全戰(zhàn)略高級總監(jiān)杰夫·韋伯表示說。
其網(wǎng)絡(luò)101:數(shù)據(jù)包必須到達(dá)其預(yù)定的目的地,而數(shù)據(jù)包是通過怎樣的路徑達(dá)到該預(yù)定目的地的也同樣十分重要。例如,如果加拿大的某個用戶正在試圖訪問Facebook,那么他或她的通信流量在到達(dá)Facebook的服務(wù)器之前,不應(yīng)該經(jīng)過中國。近日,一個IP地址屬于美國的海軍陸戰(zhàn)隊的流量被臨時改道通過了委內(nèi)瑞拉的一家ISP。如果網(wǎng)站的流量沒有獲得HTTPS保護(hù),這些在意想不到的任何路徑的繞道會將用戶活動的細(xì)節(jié)暴露給任何人。
網(wǎng)絡(luò)攻擊者還會借助簡單的路由技巧來隱藏他們原始的網(wǎng)絡(luò)IP地址。廣泛實施的用戶數(shù)據(jù)報協(xié)議(UDP)特別容易受到源地址欺騙,讓攻擊者發(fā)送似乎來自另一個IP地址的數(shù)據(jù)包。 分布式拒絕服務(wù)攻擊和其他惡意攻擊很難被發(fā)現(xiàn)追查到,因為攻擊者發(fā)送請求是采用的欺騙性的地址,并且轉(zhuǎn)至偽造的地址,而不是實際的起始地址,進(jìn)行響應(yīng)。
當(dāng)網(wǎng)絡(luò)攻擊是針對基于UDP的服務(wù)器,如DNS、組播DNS(multicast DNS)、網(wǎng)絡(luò)時間協(xié)議、簡單服務(wù)器發(fā)現(xiàn)協(xié)議,或簡單網(wǎng)絡(luò)管理協(xié)議時,其影響將被放大。
許多ISP都沒有意識到不同的攻擊正在利用常見的路由問題。盡管一些路由問題可以被歸咎于人為操作錯誤,但其他的都是來自于直接的攻擊,而ISP們需要學(xué)習(xí)如何識別潛在問題,并采取措施進(jìn)行解決。“互聯(lián)網(wǎng)服務(wù)供應(yīng)商必須對它們的路由流量負(fù)擔(dān)起更多的責(zé)任。”韋伯說。“很多用戶都很容易受到網(wǎng)絡(luò)攻擊。”
當(dāng)國際互聯(lián)網(wǎng)協(xié)會于2014年剛剛推出該項MANRS倡議時,有九家自愿參與該倡議計劃的網(wǎng)絡(luò)運(yùn)營商;而到了現(xiàn)在,其會員數(shù)量已經(jīng)超過40家了。而MANRS這一倡議想要有所作為的話,需要進(jìn)一步擴(kuò)大規(guī)模,以便可以影響市場。而那些因為怕麻煩決定不遵循該安全建議的互聯(lián)網(wǎng)服務(wù)供應(yīng)商可能會發(fā)現(xiàn)他們會丟掉生意,因為客戶將與那些兼容MANRS倡議的互聯(lián)網(wǎng)服務(wù)供應(yīng)商簽署合作協(xié)議。或者更小規(guī)模的ISP們可能面臨來自上游的較大型的供應(yīng)商拒絕執(zhí)行他們的流量的壓力,除非他們能夠證明他們已經(jīng)采取適當(dāng)?shù)陌踩胧?/p>
如果MANRS能夠成為所有互聯(lián)網(wǎng)服務(wù)供應(yīng)商和網(wǎng)絡(luò)運(yùn)營商事實上的標(biāo)準(zhǔn),那將是極好的。但分散的安全社區(qū)仍然不夠好。 “如果您要求每家企業(yè)組織都這樣做,這是永遠(yuǎn)也不會發(fā)生的。”韋伯說。
2、加強(qiáng)數(shù)字證書的審核和監(jiān)控
曾經(jīng),人們?yōu)榱四軌蚪柚鶶SL來解決這些問題,已經(jīng)進(jìn)行過了許多嘗試,其當(dāng)然也保護(hù)了大多數(shù)的網(wǎng)絡(luò)通信。SSL能夠幫助確定一處網(wǎng)站是否是其所宣稱的網(wǎng)站,但是,如果有人采用欺騙手段獲得了證書頒發(fā)機(jī)構(gòu)(CA)為一處網(wǎng)站頒發(fā)的數(shù)字證書,那么信任系統(tǒng)就會崩潰。
早在2011年,一名伊朗的網(wǎng)絡(luò)攻擊者攻破了荷蘭CA供應(yīng)商DigiNotar的服務(wù)器和頒發(fā)的相關(guān)證書,包括那些谷歌,微軟和Facebook的證書。攻擊者能夠借助這些證書建立“中間人攻擊(man-in-the-middle attack)”和攔截網(wǎng)站的流量。這種網(wǎng)絡(luò)攻擊能夠獲得成功,是因為瀏覽器將來自DigiNotar的流量作為有效的流量,盡管事實上該網(wǎng)站已經(jīng)由不同CA的簽名認(rèn)證。
谷歌的證書透明度項目,是一款用于監(jiān)控和審計SSL證書的一個開放的、公共的框架,是解決中間人攻擊問題的最新嘗試。
當(dāng)一家CA頒發(fā)證書時,其將被記錄在公共證書日志上,任何人都可以查詢加密證據(jù),以驗證一個特定的證書。服務(wù)器上的監(jiān)視器定期檢查是否有可疑的證書,包括誤發(fā)的非法認(rèn)證域和那些不尋常的證書擴(kuò)展。
顯示器類似于信用報告服務(wù),他們會就惡意證書的使用發(fā)出警報。審計人員確保日志是否正常工作,并驗證出現(xiàn)在日志中的特定證書。對于瀏覽器而言,在日志中沒有發(fā)現(xiàn)的證書是一個明確的信號,說明該網(wǎng)站是有問題的。
借助證書透明度項目,谷歌希望能夠解決錯誤頒發(fā)的認(rèn)證證書、惡意收購認(rèn)證,流氓CA和其他網(wǎng)絡(luò)威脅等問題。谷歌當(dāng)然有其自有的技術(shù),但他們必須說服用戶,這才是正確的做法。
基于DNS的命名實體身份驗證(DANE)是借助SSL解決中間人攻擊問題的另一項嘗試。DANE協(xié)議證實了成熟的技術(shù)解決方案并不會自動贏得用戶這一點。DANE牽制SSL會話到域名系統(tǒng)的安全層DNSSEC。
雖然DANE協(xié)議成功地阻止了中間人攻擊對于SSL和其他協(xié)議的攻擊,但其受到狀態(tài)監(jiān)測的困擾。DANE依靠DNSSEC,而且由于政府機(jī)構(gòu)通常擁有頂級的DNS域名,故而引發(fā)了對于是否信任聯(lián)邦當(dāng)局運(yùn)行安全層的關(guān)注。采用DANE意味著政府機(jī)構(gòu)目前執(zhí)掌了對于證書頒發(fā)機(jī)構(gòu)的訪問權(quán)限——這使得用戶產(chǎn)生不安是可以理解的。
盡管有任何疑慮的用戶可能會對谷歌公司存在信任,但該公司的證書透明度項目已經(jīng)向前邁進(jìn)。而他們最近甚至推出了類似的服務(wù),谷歌Submariner,其中列出了不再信任的證書頒發(fā)機(jī)構(gòu)。
3、一勞永逸的解決惡意軟件問題
差不多大約十年前,哈佛大學(xué)的伯克曼互聯(lián)網(wǎng)與社會研究中心推出了StopBadware項目,這是一個與包括谷歌、Mozilla基金會和PayPal等高科技公司共同打造的實驗策略,希望能夠聯(lián)合共同打擊惡意軟件。
2010年,哈佛分拆該項目作為一個獨立的非營利項目。StopBadware提供對于惡意軟件的分析,包括惡意軟件和間諜軟件,提供信息刪除服務(wù),并教育用戶如何防止反復(fù)網(wǎng)絡(luò)病毒感染。用戶和網(wǎng)站管理員可以通過查詢URL、IP地址和ASN,以及惡意URL報告。科技公司、獨立的安全研究人員和學(xué)術(shù)研究人員與StopBadware團(tuán)隊合作,分享關(guān)于不同網(wǎng)絡(luò)安全威脅的數(shù)據(jù)。
運(yùn)行一個非營利性項目的間接費(fèi)用成本造成了大量損失,該項目被轉(zhuǎn)移到塔爾薩大學(xué),交由Tyler Moore博士負(fù)責(zé)主持,助理教授負(fù)責(zé)網(wǎng)絡(luò)與信息安全保障。該項目還提供對于感染惡意軟件網(wǎng)站的獨立的測試和審查,并運(yùn)行一個數(shù)據(jù)共享計劃,作出貢獻(xiàn)的公司將接收基于Web的惡意軟件的實時數(shù)據(jù)。該項目正在開發(fā)一款工具,來根據(jù)他們所經(jīng)歷的網(wǎng)絡(luò)攻擊為網(wǎng)站的管理員提供更有針對性的建議。一款測試beta版的工具有望在今年秋天推出。
但是,即使一個項目成功解決了安全問題,但仍然要面對實際運(yùn)作所需的業(yè)務(wù)資金的問題。
4、重塑互聯(lián)網(wǎng)
然后,有了一個關(guān)于互聯(lián)網(wǎng)應(yīng)該被一個更好的,更安全的方案所替換的想法。
Doug Crockford目前是PayPal公司高級JavaScript架構(gòu)師,JSON語句背后的重要推動之一,提出了Seif:這是一個開源項目,或?qū)氐赘淖兓ヂ?lián)網(wǎng)的所有方面。他想重新打造傳輸協(xié)議,重新設(shè)計用戶界面,并拋棄密碼??傊?,Crockford希望創(chuàng)建一個以安全為重點的應(yīng)用程序平臺以傳遞互聯(lián)網(wǎng)。
Seif項目提出利用加密密鑰和IP地址更換DNS、TCP上的安全JSON替換HTTP、以及基于JavaScript的應(yīng)用程序交付系統(tǒng)替換HTML、基于Node.js和Qt. CSS、及DOM也將在Seif中運(yùn)行。而在JavaScript的這一部分,其將繼續(xù)成為建設(shè)更簡單的、更安全的Web應(yīng)用程序的關(guān)鍵角色。
對于SSL對證書頒發(fā)機(jī)構(gòu)的依賴,Crockford也有一個解決方案:采用一個基于公鑰加密方案的雙向認(rèn)證方案。該方案的細(xì)節(jié)還不多,但這個想法取決于搜索和信任的組織的公共密鑰,而不是信任一個特定的CA正確地頒發(fā)證書。
Seif將基于ECC 521(Elyptic Curve Cryptography)、AES256(高級加密標(biāo)準(zhǔn))和SHA(Secure Hash Algorithm)3-256具備密碼服務(wù)功能。ECC 521公共密鑰將提供唯一的標(biāo)識符。
Seif將通過輔助應(yīng)用程序部署在瀏覽器中,類似于在舊電視機(jī)上安裝機(jī)頂盒讓觀眾可以接收高清信號。一旦瀏覽器廠商集成了Seif,輔助應(yīng)用程序就將沒有必要了。
Seif項目有很多有趣的元素,但其仍然處在初期階段。其節(jié)點的部署實現(xiàn),將運(yùn)行Seif的會話協(xié)議,目前正在開發(fā)中。即使我們尚不知道很多細(xì)節(jié),但很明顯,這項雄心勃勃的計劃在被呈現(xiàn)給用戶之前還需要有挑大梁的大機(jī)構(gòu)的支持。
例如,需要獲得一家主要的瀏覽器廠商的支持——比如Mozilla基金會,其將需要整合其輔助程序,同時還需要有一家主流的大型的網(wǎng)站要求所有用戶使用該瀏覽器。而由于競爭壓力,其他網(wǎng)站和瀏覽器才會跟隨,但問題在于:具備這種影響力的供應(yīng)商是否會選擇Seif。
未來何去何從
而拋棄一切,重新開始幾乎是不可能的,所以唯一的選擇就是使現(xiàn)有網(wǎng)絡(luò)更難攻擊,韋伯說。不要試圖一次性就能解決所有的問題,應(yīng)該從較小的修正開始,使其更難被特定的部分所濫用。
“當(dāng)您的房子著火了,而您正在等待消防車前來救火時,您會盡您的所能進(jìn)行搶救,而不是走開尋找新的房子,”韋伯說。
沒有人能夠控制整個互聯(lián)網(wǎng),而更重要的是,其還有大量的內(nèi)置冗余和彈性。互聯(lián)網(wǎng)的安全修復(fù)并不只是某一家實體的任務(wù),其涉及到我們每個人,每家企業(yè)和每家政府機(jī)構(gòu)多方利益?;ヂ?lián)網(wǎng)服務(wù)供應(yīng)商應(yīng)負(fù)責(zé)修復(fù)潛在的路由問題,但他們不是唯一對此負(fù)有責(zé)任的。而對于DNS問題,我們可以通過部署加密服務(wù),并加強(qiáng)對于連接到服務(wù)的硬件設(shè)備的管理。
各國的政府機(jī)構(gòu)一直在努力嘗試,特別是最近在試圖對于安全隱私保護(hù)方面進(jìn)行著努力和嘗試。他們中的大多數(shù)都沒有太多的動作,因為他們太復(fù)雜或優(yōu)先級別不夠高。但是立法的缺失并不意味著政府機(jī)構(gòu)不應(yīng)該參與進(jìn)來。
“我們必須解決這一切,但其并不是任何一個人可以修復(fù)解決的。”韋伯說。“如果您盡力了,我也會盡力的。”
通過一個更加安全的互聯(lián)網(wǎng)的道路鋪上了很多偉大的想法,但卻都以失敗告終,或者由于人們?nèi)狈εd趣而逐漸消失。宏偉計劃聽起來總是有希望的,但如果他們沒有考慮到技術(shù)水平的限制,以及現(xiàn)實實際的部署成本的話,就不會走得很遠(yuǎn)。困難的部分是爭取支持,獲得良好的發(fā)展勢頭,并為用戶帶來持續(xù)的安全承諾。
“如果有人能夠搞定網(wǎng)絡(luò)安全的話,我們的子子孫孫都會感謝他的。”韋伯說。
文章來源:機(jī)房專用空調(diào) http://www.dafa983.cn
ot articles