網(wǎng)絡設備安全打響“攻防戰(zhàn)”
發(fā)布時間:2017-01-18在全新的移動互聯(lián)和大數(shù)據(jù)時代,,網(wǎng)絡安全變得越來越重要。網(wǎng)絡設備作為互聯(lián)網(wǎng)中的關鍵網(wǎng)元,,其安全態(tài)勢從微觀的角度反映了整體的網(wǎng)絡安全態(tài)勢,沒有網(wǎng)絡設備的安全就沒有網(wǎng)絡安全,。
現(xiàn)狀:受攻擊者“青睞” 安全形勢嚴峻
近年來,網(wǎng)絡安全事件頻發(fā),,暴露出大量的網(wǎng)絡設備相關安全問題,,網(wǎng)絡設備的安全逐漸走入人們的視線。網(wǎng)絡設備的日益普及和其在網(wǎng)絡中的特殊地位,,導致其安全問題日益引人注目,。
——漏洞和后門帶來巨大威脅
網(wǎng)絡設備的漏洞和后門問題,是導致出現(xiàn)遠程控制,、拒絕服務,、流量劫持等安全問題的重要原因之一。CNCERT《2015年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告》顯示,,電信行業(yè)漏洞庫收錄漏洞數(shù)量為657個,,其中網(wǎng)絡設備(如路由器、交換機等)漏洞占54.3%,,可見網(wǎng)絡設備的漏洞風險較高,。2015年12月美國網(wǎng)絡設備制造商Juniper的路由器、交換機和防火墻暴露出遠程控制的后門,,攻擊者可通過SSH等方式以超級管理員身份遠程登錄設備,,獲得設備的完全控制權。網(wǎng)絡設備存在漏洞和后門可能導致嚴重后果,,包括攻擊者直接將設備下線使業(yè)務和網(wǎng)絡中斷,,或者將經(jīng)過設備的流量重定向到指定點,截獲流量中攜帶的用戶敏感信息等,。
——大型攻擊事件“青睞”網(wǎng)絡設備
從互聯(lián)網(wǎng)時代到移動互聯(lián)時代,,網(wǎng)絡接入方式移動化,配套的網(wǎng)絡設備越來越普及,。對于網(wǎng)絡攻擊者來說,,市場保有量越大的產(chǎn)品,攻擊獲得的收益越大,,數(shù)量巨大的網(wǎng)絡設備也因此逐漸走入了網(wǎng)絡攻擊者的視線,。2015年圣誕節(jié),黑客組織Lizard Squad發(fā)起大規(guī)模DDoS攻擊使得微軟的Xbox在線平臺和索尼PSN癱瘓,。該組織所使用的攻擊軟件名為Lizard Stresser,,它主要利用被感染的家用路由器的網(wǎng)絡帶寬流量發(fā)起對目標的攻擊。2016年10月,,美國網(wǎng)絡技術提供商Dyn遭受了超大規(guī)模DDoS攻擊(流量可能超過1000G/s)而無法提供DNS解析服務,,包括Twitter,、Netflix、亞馬遜,、Airbnb,、PayPal等主要的網(wǎng)絡服務中斷。調(diào)查發(fā)現(xiàn)此次攻擊是通過名為Mirai的惡意軟件控制了大量的安防攝像頭,、網(wǎng)絡路由器等設備,,并利用這些設備發(fā)起DDoS攻擊,。類似的攻擊事件表明基于網(wǎng)絡設備的大型網(wǎng)絡攻擊對網(wǎng)絡安全的威脅在日益增加,。
——網(wǎng)絡設備逐漸成為攻防“戰(zhàn)場”
網(wǎng)絡安全攻防大會是展示安全研究人員技術能力的重要平臺,從最近幾年的發(fā)展趨勢來看,,攻防技術的熱點逐漸從Windows操作系統(tǒng),、數(shù)據(jù)庫軟件系統(tǒng)、手機操作系統(tǒng)擴散到網(wǎng)絡設備上,。在2015年舉辦的極棒(GeekPwn)安全大會上,,獲得最高獎的9個項目中,有4個與網(wǎng)絡設備相關,,其中3個是針對智能路由器的攻擊技術,,1個是針對攝像頭的。路由器等網(wǎng)絡設備作為家庭用戶的網(wǎng)絡出入口和城域網(wǎng)的轉(zhuǎn)發(fā)設備,,在整個網(wǎng)絡中有著非常重要的地位,,大量的安全研究人員對相關攻防技術展開研究。
應對:三分靠技術 七分靠管理
客觀來看,,網(wǎng)絡設備相關安全事件頻出,,背后有著復雜的原因。技術上的缺陷固然不可忽視,,但更多的還是由于管理方面的不足所致,。
從技術上來看,缺陷主要是指漏洞,、后門,、安全功能缺失等問題。對于安全漏洞等技術上的問題,,業(yè)界通常會有相應的解決方案,,例如通過關閉服務規(guī)避或升級軟件修復漏洞等,但現(xiàn)實卻是大量的設備使用方并沒有及時采用這些方案和措施,,因而導致網(wǎng)絡設備被利用和攻擊,。
從管理上來看,不足則包括多個方面:一是網(wǎng)絡設備安全防護意識不足,,認為網(wǎng)絡設備不易出現(xiàn)安全問題或不會產(chǎn)生嚴重后果,;二是配套制度的制定和實施有待完善,在人員配備、安全培訓,、權限分配等方面需要出臺針對性的制度和措施,;三是不夠重視配置安全,設備常以默認配置或弱安全配置上線,。
為了快速有效地提升網(wǎng)絡設備安全,,除了完善網(wǎng)絡設備在安全管理方面存在的不足外,還可以同時在一定程度上規(guī)避技術上的缺陷,,有效提升設備運行安全性,。為降低網(wǎng)絡設備的安全風險,針對漏洞,、后門,、DDoS攻擊等安全問題實現(xiàn)動態(tài)、持續(xù),、有效防護,,需要從安全意識、安全制度和安全配置等方面進行針對性的完善和提升,。
——增強網(wǎng)絡設備安全防護意識是基礎
針對網(wǎng)絡設備的安全防護,,首先要增強安全防護意識,充分認識到網(wǎng)絡設備的安全重要性,。例如,,設備使用方需要了解如果發(fā)生攻擊事件,可能導致的嚴重后果是什么,;可能的攻擊路徑有哪些,,如何防范和監(jiān)測;出現(xiàn)安全問題時如何快速響應,。增強安全防護意識還要求設備使用方持續(xù)關注所用網(wǎng)絡設備的安全威脅情報,,出現(xiàn)新的漏洞時要及時跟進,了解臨時防護措施,,實現(xiàn)動態(tài)的,、持續(xù)的安全防護。
——制定并實施合理的網(wǎng)絡設備安全管理制度是關鍵
俗話說“安全三分靠技術,,七分靠管理”,,網(wǎng)絡設備也不例外。制定并實施合理的網(wǎng)絡設備安全管理制度,,是實現(xiàn)網(wǎng)絡設備安全防護的有效手段,。在設備使用方的安全管理制度中,不可忽視對網(wǎng)絡設備的安全管理,。例如在人員方面,,需要配置專業(yè)的管理人員,,對相關人員定期進行安全意識和技能培訓;在設備管理權限方面,,嚴格限制配置修改權限,,實現(xiàn)分級分權管理,具備差異化的口令要求以及口令嚴格保密要求等,。
——持續(xù)保障配置安全是核心
網(wǎng)絡設備的安全問題大部分源于安全配置的缺乏,。對政府部門網(wǎng)站系統(tǒng)的漏洞跟蹤監(jiān)測的結(jié)果顯示,2015年12月政府部門網(wǎng)站系統(tǒng)漏洞隔月修復率僅為52.7%,,而涉及網(wǎng)絡基礎設施的漏洞隔月修復率為81.3%,,漏洞修復這類配置安全問題仍然是導致網(wǎng)絡安全風險的重要原因。網(wǎng)絡設備的安全配置可重點從以下四個方面入手:一是配置嚴格的遠程訪問控制,,限制訪問路徑,;二是關閉無用的對外服務,,遵循“最小夠用”原則,;三是配置日志審計和日志備份,實現(xiàn)有效審計和溯源,;四是定期檢查軟件版本,,及時修復已知漏洞,安全升級,。
* * *
《網(wǎng)絡安全法》指出國家要對關鍵信息基礎設施實行重點保護,,網(wǎng)絡設備作為關鍵信息基礎設施中的基本組成單元,其重要地位自然不言而喻,。攻擊者早已意識到對網(wǎng)絡設備發(fā)起攻擊能夠起到“四兩撥千斤”的作用,,因而相關的攻擊事件愈演愈烈。在全新的移動互聯(lián)網(wǎng)和大數(shù)據(jù)時代,,每一個參與者都應當對網(wǎng)絡設備的安全建立全面的認識和足夠的重視,,及時了解網(wǎng)絡設備安全的新態(tài)勢,共同創(chuàng)造和維護安全的網(wǎng)絡環(huán)境,。(來源:人民郵電報)
