弥补边界安全和主机安全之间的漏洞
2008-09-10 13:23:58 来源:WEB开发网大多数机构都认识到信息安全的重要性,并且以充分的技术控制把资源用于信息安全计划中。在许多情况下,这种控制在网络接入控制(边界保护)和加强网络中的单个系统的保护(主机保护)方面是很严密的。现在,我们开始看到用基于网络的安全机制弥补这两个方面之间的漏洞的重要性。
在本文中,我们将研究你可以在企业中用来弥补这个安全漏洞的三种技术控制方法:入侵检测系统、蜜罐/蜜网以及暗网。这三种技术中的每一种技术都有从简单到复杂的应用。
入侵检测系统
入侵检测有两种基本的方法:
基于签名的入侵检测系统以与现代抗病毒技术相似的方式进行工作。它们不断地更新解释各种已知的恶意行为的攻击定义文件(签名)。然后,基于签名的入侵检测系统便扫描网络,查找与签名匹配的数据包,接下来就是向安全管理员报警。
基于异常状况的入侵检测系统以不同的原则工作。这种入侵检测系统通过不间断地监视网络了解“正常”网络活动的状况,然后向管理员报警任何不正常的状况。基于异常状况的入侵检测系统的优点在于它能够识别出以前出现过的攻击。遗憾的是,基于异常状况的入侵检测系统还不能成为信息安全的主流产品,它们的成熟程度还不可靠,不能用于生产网络中。
如果你要使用入侵检测系统,你可以考虑两种不同的方式,根据你可以在这个项目中使用的时间和金融资源做出选择。第一个选择是开源软件。Snort入侵检测系统是Snort.org免费提供的软件,并且得到了信息安全团体的大力支持。如果不愿意耗费大量的时间安装和运行Snort软件,你可以购买商业性的入侵检测软件。目前,思科和Enterasys等厂商提供了许多这样的产品。你还可以考虑 Sourcefire公司提供的商业版本的Snort设备。
蜜罐和蜜网
蜜罐和蜜网是安全从业人员加强网络安全的另一个选择。不管你信不信,这些工具就是为了吸引恶意攻击者的。蜜罐设计成吸引黑客攻击的目标,对于观察和监视黑客的攻击行为和学习新的黑客工具和技术是非常有用的。从蜜罐系统中学到的知识可用来保护整个网络。
蜜网是用许多蜜罐系统组成的网络,一般都以不同的配置运行不同的操作系统和应用程序。许多学术团体都在研究一种所谓能够自我修复的蜜网。这些蜜网旨在吸引和监视恶意的行为,然后快速把网络恢复到原来的状态,等待应付未来的攻击。这可以节省许多网络管理时间。如果你要进一步了解有关建立蜜罐或者蜜网的信息,请咨询Honeynet.org网站的蜜网计划。
暗网
你在你的网络中可以使用的最简单的工具之一就是暗网。你要做的一切就是把不使用的IP地址空间放在一边,并把这些IP地址区域指定为暗网。接下来,配置你的入侵检测系统或者其它网络监视系统设备以便检测任何指向暗网地址的通信。由于在暗网中没有运行合法的系统,你可以安全地推测任何指向暗网IP地址的通信都是恶意系统或者配置错误的系统所为。暗网对于检测你的网络中的系统是非常有用的。它可以检测出你的网络中的电脑是否受到蠕虫或者恶意软件的感染,正在随机地向你的网络地址传播。
更多精彩
赞助商链接