上周,我们讨论了 完美的网络安全是不可能的。坚定而有足够资源的攻击者总能找到解决方法。因此,您的目标是用自己的预算覆盖尽可能多的风险领域。

在本文中,我们将探讨有效的方法来阻止大多数入站和出站网络攻击。

防御网络的入站攻击

所谓入站攻击,是指针对网络前端元素(例如Web服务器,Web应用程序,电子邮件系统和远程访问(VPN)系统)的传统黑客攻击。

防火墙

抵御入站攻击的第一个也是最明显的安全元素是防火墙。几乎所有商业防火墙都适用,但我通常建议使用更复杂的防火墙 下一代 要么 统一威胁管理 (UTM)防火墙。

防火墙是网络设备,而不是安全设备。它有助于您的内部网络和公共Internet之间的连接。由于这几天每个人都使用私有IP寻址,因此防火墙是正确的选择 地址翻译 内部和外部地址空间之间。

防火墙还具有根据数据包头中的简单第3层和第4层元素过滤传入或传出连接的功能。这些包括内部和外部IP地址以及TCP和UDP端口号。

防火墙还必须是有状态的,这意味着它会跟踪通过它的每个会话。您不应仅仅通过将数据包构造为看起来像已存在的会话的一部分来使其通过防火墙。

基本防火墙的问题在于它们假定所有看起来像鸭子的东西都必须是鸭子。如果是端口443上的TCP会话,则必须为HTTPS。但是这种假设完全忽略了有人将非法申请转移到合法港口的可能性。端口只是数字-易于更改。

防火墙砖墙网络基础设施安全装置

照片: 丹尼尔·金 在Flickr上

入侵检测和预防系统

要解决防火墙的基本缺陷,将防火墙与 入侵侦测系统 要么 入侵防御系统 (IDS / IPS)。 IDS / IPS是监视每个数据包和会话以查找恶意活动迹象的设备。通常,更严重的问题导致IDS / IPS使用 预防 模式,在其中删除会话。不太严重的问题和可疑但不一定坏的事情仅仅是 检测到,从而产生警报。

大多数IDS / IPS设备使用多种因素来检测恶意行为。他们监视可能被称为 正统应用,这表示他们拒绝似乎未遵循所使用协议的既定规则的会话。他们使用基于签名的检测来寻找已知的恶意行为模式。为了真正有效,您需要确保这些签名保持最新状态,这通常意味着某种订阅模型。

我之所以喜欢下一代防火墙或UTM防火墙,是因为它们在同一框中包含IDS / IPS,并在同一管理界面上显示IDS警报。这样的二合一设备具有成本效益,并简化了管理。一些UTM防火墙还会在文件传输过程中查找病毒签名之类的东西。

反向代理和Web应用程序防火墙

您可以在网络边缘部署的下一个重要的入站保护是 反向代理,伪装成网络服务器或类似的Internet访问服务器的设备。真实服务器位于网络内部的某个位置,反向代理将数据往返于该真实服务器之间传递。 (很明显,只有拥有可从Internet访问的某种服务器,才需要这种保护。)

在许多情况下,反向代理用于在不安全的协议(例如HTTP,可能是旧版应用程序服务器所支持的协议)和更安全的协议(例如,HTTPS)之间进行转换,该协议更适用于公共Internet上的任何内容。

反向代理的问题在于,它们不检查正在中继的流量的内容。对于基于协议的攻击很好,但对于基于应用程序的攻击则不行。例如,针对Web服务器的两种最危险和最常见的攻击类型是SQL注入和跨站点脚本。在这两种情况下,HTTP流量看起来都很好,但经过特殊构造可以触发网络服务器实现中的错误,从而使攻击者拥有他们不应该拥有的访问权限。

因此,除非反向代理也同样不喜欢反向代理 Web应用程序防火墙 (WAF)。 WAF还是位于Internet和Web服务器之间的设备,但是它明确地清除了来自远程用户的每个请求。至少,它将删除引号和其他SQL注入攻击的典型特殊字符。

还可以将某些WAF设备配置为确切知道接受输入的网页上特定字段中允许的数据类型。某些WAF甚至会监视Web服务器和数据库之间的连接,以确保原本看起来很天真的请求不会以某种方式导致巨大的表转储。

检查云网络监控安全

照片: 凯特·特·哈尔 在Flickr上

电子邮件扫描仪

经常暴露于公共Internet上的另一个设备是电子邮件服务器。我见过攻击者直接尝试对电子邮件服务器进行恶意处理,但更典型的是,他们尝试传递恶意软件或垃圾邮件。因此,我想在电子邮件服务器之前部署电子邮件扫描程序。 (请注意,如果您使用外包电子邮件服务,则可以完全避免这种防御。)

电子邮件扫描程序涉及两个问题:他们希望消除或至少减少垃圾邮件,并且希望通过扫描病毒来减少恶意软件攻击。这些设备的新兴用途也可以减少网络钓鱼攻击。但是,结构合理的网络钓鱼攻击看起来很像合法的电子邮件,实际上只有消除恶意邮件才可行。

想象一下,传入的电子邮件附件中包含病毒。如果电子邮件扫描程序将其捕获,则将隔离该邮件,而最终用户将看不到该邮件。如果电子邮件扫描程序无法捕获它,那么您必须希望该用户工作站上安装的任何反恶意软件系统都能捕获它。因此,在电子邮件扫描仪和工作站上使用完全不同的恶意软件扫描系统是有意义的。我将在本文后面详细讨论恶意软件扫描系统。

防御网络的出站攻击

出站攻击包括源自网络内部并发往Internet的恶意流量。听起来好像优先级很低。您为什么要花特别的精力寻找证据来证明您的员工或公司客户正在入侵其他人?

尽管这是我们要寻找的东西之一,但远非最重要的。我们在这里还真正关心另外两件事:

  • 基础架构中的恶意软件试图联系其控制器
  • 敏感数据泄露给外部各方

域名解析

您可以采取的最简单,最便宜的措施来防御出站攻击,那就是使用强大的功能。 域名系统 (DNS)。恶意软件提供了三种致电回家进行指示的方式。它可以使用:

  • 硬编码的IP地址-但是一旦发现它们就很容易被阻止
  • 恶意软件按计划的时间表轮流使用的域名
  • 合法网站或广告服务遭到破坏

基于DNS的保护可以作为抵御第二种攻击的有用的第一道防线,而对于其他类型则不是。

但是,有趣的是,确实有一些恶意软件系统使用DNS查询与其他命令和控制通信进行通信。也就是说,DNS查询的结果可能会被恶意软件解释为IP地址以外的其他内容。这是好的DNS过滤系统可以帮助对抗恶意软件的另一种方式。

但是,依靠DNS来获取恶意软件的问题在于,恶意软件仍位于您的环境中。它尚未消除,只是暂时保持沉默。

IDS /入侵防御系统

抵御出站攻击的另一条有用的防御线是IDS / IPS,也许与用于入站保护的部署相同。但是这次我们对具有完全不同的签名集的不同类型的攻击感兴趣。现在,我们正在寻找网络中的恶意软件,因为它试图连接到命令和控制(C&C)互联网上的服务器。我们还在寻找未经授权的VPN或远程访问木马(RAT)的迹象。

日志

如果您使用 中央认证系统,例如LDAP或Active Directory,(我相信您应该),那么您基本上可以免费获得另一个出色的防御工具。只需监视LDAP或Active Directory日志。寻找重复的失败登录,这可能表明有人试图进行蛮力攻击。寻找不应该登录的人或不应该登录的系统,尤其是具有特殊特权的用户,例如系统管理员。

可能是最有效的 高级持续威胁 (APT)攻击是攻击者窃取合法用户凭据的一种。然后,他们不需要设计任何特别聪明的骇客,只需登录并四处寻找,直到找到有趣的东西为止。

网络日志文件木桩网络安全

照片: Wonderlane 在Flickr上

Web代理服务器

防御出站攻击的下一件事情是 Web代理服务器,该系统会拦截所有出站Web请求并尝试在本地服务。如果有人刚刚加载了特定的网页,则代理可以从其缓存中获取该页面并将其立即发送回用户。

代理服务器提供更好的性能,并提供集中扫描所有Web内容(包括加密的SSL内容)并拒绝看似恶意的内容的机会。

我不想将代理人作为第一道防线。它可能会掩盖并限制其他一些工具的有效性。例如,如果您看到DNS请求或到已知恶意软件域的出站连接,则将其追溯到特定工作站是一个多步骤过程。

而且我还没有发现大多数代理的扫描功能都不会比最好的UTM防火墙上的扫描功能更好。 Web代理购买给您的重要内容是能够解密和检查HTTPS(SSL)内容的能力。

法医包捕获

最后,如果我已经讨论了所有安全工具,并且确实需要更多东西来帮助我应对攻击后的事件响应,那么我将看一下取证数据包捕获工具。这些是经过仔细优化和针对性的网络协议分析器,可以记录有趣的会话。然后,它们使您可以搜索这些会话的庞大历史数据库。

在事件响应过程中,当您试图弄清哪些系统可能受到攻击,哪些凭据可能已受到破坏以及哪些数据被盗或更改时,取证工具最有用。那是有用的信息,但这显然不是起点。

网络证据取证安全性分析

照片: 原子能机构图片库 在Flickr上

端点安全

恶意软件以许多不同的方式潜入系统。典型的恶意软件攻击始于某种 滴管 下载。删除程序是一小段代码,其主要功能是自行安装(以某种方式安装),然后再与C&C网络的进一步说明。通常,这些说明将涉及下载其他恶意软件模块,安装它们,运行它们,并可能再次与您联系以获取更多说明。

大多数恶意软件的拖放访问方法为我们提供了许多捕获攻击的机会。首先,我们尝试检测并阻止可疑域。然后,我们尝试检测并阻止Dropper下载。然后,我们尝试检测并隔离滴管软件。然后我们尝试检测并阻止C&C流量。然后,我们尝试检测并隔离其他恶意软件模块。

UTM防火墙和我们已经提到的其他工具已经涵盖了该列表中的前几项。因此,防御工具箱中最关键的,特定于恶意软件的工具是良好的端点安全性。

端点安全工具是传统防病毒软件和基于行为的恶意软件检测的结合。不再为简单的反病毒系统而烦恼。传统的防病毒程序会扫描文件并使用签名来发现看起来像已知病毒的所有内容。但是现代恶意软件并不总是基于文件的,并且通常能够通过反复加密和重新加密自身来改变其外观。因此,单独使用签名不是很有用。

但是,基于签名的检测可以补充基于行为的检测 妥协指标 (IOC)。恶意软件会执行恶意操作,例如加密文件,在Windows注册表中创建奇怪的条目或修改系统文件。一个好的端点安全程序将监视这些类型的操作以及传统的文件签名。

沙箱

另一种极为有用的现代反恶意软件防御是 沙盒,它将获取任何设备正在下载的任何内容的副本。这可能是电子邮件附件,JavaScript代码,Windows可执行文件,Flash动画等。

沙箱尝试解压缩文件,然后在特殊的隔离虚拟机中运行它们。这样,它会仔细监视是否有恶意行为的迹象。希望是防止恶意软件到达工作站,这对于像加密病毒这样的恶意软件而言尤其重要,这些恶意软件在下载后立即部署并立即开始销毁文件。

沙盒检测通常可以如此快速地完成,以至于最终用户甚至都不知道其下载被拦截了。但是,有时恶意软件可以逃避沙箱中的检测。沙盒在检测恶意软件方面不断变得更好。恶意软件在检测沙箱方面一直变得越来越好。因此,沙盒绝不应被视为良好端点安全性的替代品。

沙盒网络基础结构安全隔离

照片: 德尔文塔尔 在Flickr上

汇集网络防御

一旦具备了网络安全的几个基本要素并开始运行,您会很快发现没有足够的资源来研究所有这些要素。即使经过过滤,防火墙和IDS日志也仅以每秒千位的速率累积。 Active Directory和DNS日志通常同样糟糕。人们无法实时监控这些系统。相反,您需要一种将消息存储,过滤和关联成有意义的东西的方法。

最初,使用设备随附的管理工具可能就足够了。好的UTM防火墙通常具有管理GUI。您始终可以使用域控制器上的GUI查看Active Directory日志。而且大多数端点安全系统还具有中央控制台。但是在某个时候,控制台太多了,它们之间没有共享信息。

这是一个 安全事件事件管理 (SIEM)系统变得有用。 SIEM通常兼作日志消息的可搜索长期存储系统。一些组织分别部署这些功能,但理想情况下,我希望它们能够在一起。

SIEM是一个单一的窗格,可将其从已部署的各种安全系统接收的信息关联起来,并为您提供有关每个事件的所有相关信息。

例如,如果有人攻击Web服务器,则您可能会从防火墙,IDS / IPS,WAF以及Active Directory服务器接收有关攻击的相关数据。 SIEM会将所有这些信息汇总在一起,因此您不必手动搜索每个不同的数据源即可准确了解正在发生的事情。

有效的安全性需要许多工具协同工作。您会经常听到“纵深防御”一词,这就是它的意思。最重要的任务之一就是确定您的风险区域。然后仔细分配预算和时间,以首先承担最高风险。

我要特别强调的另一点是,仅工具本身就不是安全性。您无法锁上门,并期望它将阻止所有的盗贼。必须有人来研究工具,调查每个异常并消除威胁的出现。即使风险也会随着时间而变化,因此您需要不断重新评估最高风险领域,以确保它们’重新适当覆盖。