分层安全策略为什么不是万能的

2013-04-16 23:13jiangxun
计算机与网络 2013年23期
关键词:安全策略防火墙数据包

为了应对日益复杂的恶意行为和恶意软件,分层安全策略在不久之前变得相当受欢迎,而且现在已经深入人心,成为整个行业保护企业网络最好的实践方式。从直观的角度来看,它似乎在网络内部署了多台安全设备,每一台都有其自身的防御载体,提供一种具有重复性、在几个不同层次上都有意义的网络防御。

比如,如果一个组织部署了一个防火墙、入侵防御系统(IPS)和端点保护(EPP)系统,组织会认为这些产品可以通过其不同的功能组合提供更强大的保护:在网络外部,防火墙会检查恶意URL、IP地址和其他类似可以在访问控制列表中容易验证的指标传入的数据包。数据包如果通过防火墙,IPS系统会检查数据包的内容和头信息,如果任意数据包内容被视为符合IPS签名列表的恶意内容,这个数据包就会被丢弃或阻止。最后,在网络中EPP系统驻扎在每个终端设备上,作为防御恶意代码的最后一道防御线,对抗可能通过防火墙和IPS的恶意代码。

给定的数据包通过网络的每一个节点时,都需要接受为了保护网络而日益侵入性的检查。安全管理员都感到欣慰,觉得只有最复杂的恶意编码可以成功渗透安全设备的几层防御。然而,NSS实验室的独立安全测试人员发布的一份报告质疑部署分层安全方法会增强企业网络安全。

在报告中关于入侵侦测故障的部分,NSS实验室决定测试37种不同的安全设备,包括来自24家安全厂商提供的解决1711种已知漏洞的防火墙、下一代防火墙(NGFW)、IPS和EPP设备。所选择的攻击已知感染过超过200多种软件供应商,包括来自微软、苹果和思科的产品。NSS实验室为了确定对于检测漏洞的最佳配对,测试了各种设备的不同组合。对于分层安全策略的潜在故障,结果提供了一个有趣的答案。

测试的606种不同组合中,只有19种成功阻止了所有入侵企图,值得注意的是,没有一种单独进行测试的设备能够阻止所有的恶意企图。至于哪些产品一起工作是最佳搭配,NSS实验室发现NGFW 和IPS的组合比任意EPP系统组合都能更有效地阻止已知的攻击。例如,任意NGFW-IPS组合平均故障率约为0.8%,而任意EPP组合平均故障率是惊人的26%.单单这些结果表明,如果不将一些内嵌的安全设备搭配起来,仅仅只是部署端点防护是不够安全的方法。

那么,组织应该采取或计划采取怎样的分层安全方法来应对这个报告?首先,企业应该重视报告的具体内容。例如,应当注意到,没有任何安全装置可以仅仅凭借自身来检测到所有直接的微软相关攻击。以微软为中心的组织决定部署安全设备组合时,应该认识到这个事实。

该报告提供了大量关于各种设备组合的性能详情,我建议至少通读整个报告,然后采用其中关于您的组织所使用的产品或供应商的性能内容。苹果对苹果产品的比较可能并不太合适,但是数据可能会凸显你的产品表现不佳的状况以及怎样将产品和其他技术结合起来可以提高你的分层安全。例如,一个特别的组合:Sourcefire 3D 8250 IPS和Stonesoft 1301 NGFWs,在我心目中脱颖而出,因为它在测试过程中的阻拦表现非常好。尽管如此,某些产品可能适合一个组织,但不一定会适合另一个组织。

为此,每一个组织考虑或部署分层安全方式时,最好考虑到自身的威胁状况和安全要求,然后按照NSS实验室的方法自行进行测试。这将为每个组织提供特定的结果组合,并能产生一个更清晰的画面,告诉组织哪些产品可以提供最佳的性能。

最后,部署分层安全策略时如果不考虑到设备组合,其实很有可能导致灾难性的后果。虽然会有故障可能性,但是对于攻击者带来的许多问题,分层网络安全仍旧可以像当前任意方法一样提供极有说服力的解决方法。为了确保使用分层安全策略可以带来更好的效果,在部署设备之前,安全管理员应该深入研究不同厂商的设备组合,上述NSS实验室报告就是这个过程一个明智的开始。

猜你喜欢
安全策略防火墙数据包
基于飞行疲劳角度探究民航飞行员飞行安全策略
构建防控金融风险“防火墙”
SmartSniff
一种防火墙安全策略冲突检测方法*
浅析涉密信息系统安全策略
在舌尖上筑牢抵御“僵尸肉”的防火墙
如何加强农村食盐消费安全策略
下一代防火墙要做的十件事
视觉注意的数据包优先级排序策略研究
移动IPV6在改进数据包发送路径模型下性能分析