石家庄蓝太平洋科技贸易有限公司

主动积极的保护信息资源系统
左耀龙

　　显然，在面对“瞬间攻击”引起的潜在代价和破坏时，商业组织无法容忍系统中继续存在安全漏洞——仅仅等待新的特征码的开发。时间和信息对于一个组织在与“瞬间攻击”的整体对抗中保持不败是非常重要的。因为黑客不断地开发新的攻击，逃避现有的安全防范体系，所以最有效的防御系统将直接瞄准新的攻击，找出延迟其破坏的方法。这就提出了对于主动网络安全保护系统的需求。
　　所谓主动保护系统是相对于传统的被动式保护系统而言的。传统的保护措施比如防火墙、入侵检测系统等，都是采用预先设定好的策略对网络安全性进行保护。防火墙的策略决定了它仅仅能够作为网络边界的屏障，而不能代替整个的安全系统的作用。传统的基于入侵特征库的检测系统，仅仅能够被动地检测已知的安全入侵方式，对于未知的入侵方式的效果微乎其微。即使具备了一定的所谓异常模式判断的入侵检测系统，对于新的攻击模式的实际应用效果也是不太明显的。
　　那么主动的安全保护系统是什么呢？经过考察目前所有网络系统的关键资源，可以发现最关键的资源实际上就是驻留在主机和服务器上的数据。如果我们对这些数据进行了强制性、全面的防护，并且对操作系统进行加固，对问题最多的超级用户的超级权力进行适当的限制，就可以达到相当好的效果。这样，不管攻击者采用什么样的攻击方法，我们的防范方式总是能够主动识别攻击者的企图，对于不合适的访问予以拒绝。例如，如果一个入侵者利用一个新的漏洞获取了操作系统超级用户的口令，那么下一步他希望采用这个账户和密码对服务器上的数据进行删除和篡改。这时，如果我们利用主动防范的方式首先限制了超级用户的权限，而且又通过访问地点、访问时间以及访问采用的应用程序等几方面的因素予以了限制，入侵者的攻击企图就很难得逞。同时，这样的系统会将访问企图记录下来。这样，采用这种主动的安全保护系统就达到了对未知攻击方式的成功防范，为管理员处理这种新型的入侵方式争取到了宝贵的响应时间。
　　增长的风险：经济损失和责任。责任对于一个组织的官员和董事长来说是一个重要的问题，因为他们“受委托有责任保护公司资源不受损失或损害。”Dan Langin，一位知识财产法律律师和专家如是说。“瞬间攻击”真正的危险是什么？近来的几个研究已经发现了Internet安全漏洞的数目正在增加，美国公司的经济损失也在增长。美国在2001年的前九个月经历的攻击和探测已由头年的22,000次增加到了35,000次；由计算机安全协会和FBI组织的2001计算机犯罪和安全调查发现85%的被调查者受到过入侵或利用，64%结果遭到损失。该调查还发现每个安全漏洞的平均损失超过了$2,000,000。
　　然而，这些数字还没有反映出其他严重的损失和风险-----如对公司的名声造成的损害，失去客户信任的后果，以及重要的机密数据泄露引起的潜在的责任。责任对于一个组织的官员和董事长来说是一个重要的问题，因为他们“受委托有责任保护公司资源不受损失或损害。”Dan Langin，一位知识财产法律律师和专家如是说。因此公司的管理者有责任向公司信息财产的已知威胁以及可“合理预言”的任何威胁做出响应。如果该责任接受了监督，则该公司和它的官员以及董事长对任何损失都负有责任。然而，很少有公司管理人员积极参与选择用于保护信息财产的网络安全产品和服务，大多数人对他们现有的系统在探测“瞬间攻击”方面的一无是处仍茫然不知。
　　有责任心的公司必须将他们的业务和客户的风险减少到最小。然而安全管理员在识别这些风险上存在困难，这归因于今日网络日益增加的复杂性。防火墙的使用曾被认为已足够保护组织的网络，而如今的攻击经常通过利用Internet赖以生存的应用程序的各种可利用的特点暗中破坏或利用防火墙。现在，没有一个单一的系统能够防御各种攻击，保证网络的安全。相反地，好的安全措施是多方利用为了防御威胁而设计的高级的和专门的工具。所以，我们要构建一个安全性足够保护信息财富的系统，必须要结合传统的保护模式，并且采用目前越来越重要的主动防范系统
　　处理“瞬间攻击”带出了大多数现存的入侵检测系统的一个最大的障碍。探测这些威胁的更有效的方法是使用户不再局限于依靠现有的知识对攻击进行探测的技术。主动安全防范系统是解决这种攻击方式的重要解决方法，为根本保障信息的安全性，为安全管理员争取到宝贵的响应时间提供了强大的手段。

网络攻击趋势分析

　　以下讨论几种最新的网络黑客入侵者的攻击方式趋势，供大家阅读参考。

　　趋势一：攻击过程的自动化、攻击工具的快速更新
　　攻击工具的自动化程度继续不断增强。自动化攻击涉及到的四个阶段都发生了变化。
　　1．扫描潜在的受害者。从1997年起大量的扫描活动就开始了。目前，新的扫描工具利用了更先进的扫描技术，变得更加有威力，并且提高了速度。
　　2．入侵具有漏洞的系统。以前，对具有漏洞的系统的攻击是发生在大范围的扫描之后的。现在，攻击工具已经将对漏洞的入侵设计成为了扫描活动的一部分，这样大大加快了入侵的速度。
　　3．攻击扩散。2000年之前，攻击工具需要一个人来发起其余的攻击过程。现在，攻击工具能够自动发起新的攻击过程。例如红色代码和Nimda病毒这些工具就在18个小时之内传遍了全球。
　　4．攻击工具的协同管理。自从1999年起，随着分布式攻击工具的产生，攻击者能够管理大量分布在Internet之上的攻击工具发起攻击。现在，攻击者能够更加有效地发起一个分布式拒绝服务攻击。协同功能利用了大量大众化的协议如IRC（Internet Relay Chat）、IR（Instant Message）等的功能。

　　趋势二：攻击工具的不断复杂化
　　攻击工具的编写者采用了比以前更加先进的技术。攻击工具的特征码越来越难以通过分析来发现，并且越来越难以通过基于特征码的系统发现，例如防病毒软件和入侵检测系统。其中三个重要的特点是反检测功能，动态行为特点以及攻击工具的模块化。
　　1．反检测。攻击者采用了能够隐藏攻击工具的技术。这使得安全专家想要通过各种分析方法来判断新的攻击的过程变得更加困难和耗时。
　　2．动态行为。以前的攻击工具按照预定的单一步骤发起进攻。现在的自动攻击工具能够按照不同的方法更改它们的特征，如随机选择、预定的决策路径或者通过入侵者直接的控制。
　　3．攻击工具的模块化。和以前攻击工具仅仅实现一种攻击相比，新的攻击工具能够通过升级或者对部分模块的替换完成快速更改。而且，攻击工具能够在越来越多的平台上运行。例如，许多攻击工具采用了标准的协议如IRC和HTTP进行数据和命令的传输，这样，想要从正常的网络流量中分析出攻击特征就更加困难了。

　　趋势三：漏洞发现得更快
　　每一年报告给CERT/CC的漏洞数量都成倍增长。对于管理员来说想要跟上补丁的步伐是很困难的。另外，每年都会发现新的类型的漏洞。对于新的漏洞类型的代码实例分析常常导致数以百计的其它不同软件漏洞的发现。而且，入侵者往往能够在软件厂商更正这些漏洞之前首先发现这些漏洞。
　　随着发现漏洞的工具的自动化趋势，留给用户打补丁的时间越来越短。尤其是缓冲区溢出类型的漏洞，其危害性非常大而又无处不在，是计算机安全的最大的威胁。在CERT和其它国际性网络安全机构的调查中，这种类型的漏洞是对服务器造成后果最严重的。本白皮书附有UNIX十大安全漏洞一篇文章，从中也能够看出这一特点。实际上对于Windows服务器系统也存在同样的情况。

　　趋势四：渗透防火墙
　　我们常常依赖防火墙提供一个安全的主要边界保护。但是情况是：
　　1、已经存在一些绕过典型防火墙配置的技术，如IPP（the Internet Printing Protocol）和WebDAV（Web-based Distributed Authoring and Versioning）
　　2、一些标榜是“防火墙适用”的协议实际上设计为能够绕过典型防火墙的配置。
特定特征的“移动代码”（如ActiveX控件，Java和JavaScript）使得保护存在漏洞的系统以及发现恶意的软件更加困难。
　　另外，随着Internet网络上计算机的不断增长，所有计算机之间存在很强的依存性。一旦某些计算机遭到了入侵，它就有可能成为入侵者的栖息地和跳板，作为进一步攻击的工具。对于网络基础架构如DNS系统、路由器的攻击也越来越成为严重的安全威胁。

瞬时网络攻击

　　“红色代码”蠕虫病毒在因特网上传播的最初九小时内就感染了超过250，000的计算机系统。该感染导致的代价以每天2亿美圆飞速增长，最终损失估计高达26亿美圆。现在，如“红色代码”，“红色代码II”，及“尼姆达”、“求职信”快速传播的威胁显示出现有的网络防御的严重的局限性。市场上大多数的入侵检测系统是简单的，对网络中新出现的，未知的，通常称做“瞬时攻击”的威胁没有防御手段。
　　目前大多数的入侵检测系统是有局限性的，因为它们使用特征码去进行辨别是否有攻击行为。这些系统采用这种方式对特定的攻击模式进行监视。它们基于贮存在其数据库里的识别信息——类似于防病毒软件检查已知病毒的方式。这意味着这些系统只能检测他们已经编入识别程序的特定的攻击。因为“瞬时攻击”是新出现的，尚未被广泛认识，所以在新的特征码被开发出来，并且进行了安装和配置等这些过程之前，它们都能绕过这些安全系统。实际上，仅仅需要对已知的攻击方式进行稍微的修改，这些系统就不会认识这些攻击方式了，从而给入侵者提供了避开基于特征码的防御系统的手段。
　　从新的攻击的发动到开发新的特征码的这段时间，是一个危险的“机会之窗”，许多的网络会被攻破。这时候许多快速的入侵工具会被设计开发出来，网络很容易受到攻击。下图举例说明了为什么大多数的安全产品在该时期内实际上是无效的。由卡内基.梅隆大学（Carnegie Mellon）的CERT组织研制的这个图表说明了一个网络攻击的典型的生命周期。该曲线的波峰就在攻击的首次袭击之后，这是大多数安全产品最终开始提供保护的时候。然而“瞬间攻击”是那些最老练的黑客在最早期阶段重点展开的。

　　同时，现在那些快速进行的攻击利用了广泛使用的计算机软件中的安全漏洞来造成分布甚广的破坏。仅仅使用几行代码，他们就能编写一个蠕虫渗透到计算机网络中，通过共享帐号的克隆自己，然后开始攻击你的同伴和用户的网络。使用这种方式，在厂商开发出特征码并将其分发到用户的这段时间内，“尼姆达蠕虫”仅仅在美国就传播到了超过100,000的网络站点。这些分发机制使“瞬间攻击”象SirCam和Love Bug这些计算机病毒一样有破坏性，这两种病毒分别席卷了230万和4000万的计算机，而不需要多少人为干预。其中有些攻击甚至还通过安装一个后门来为以后的破坏建立基础，该后门允许对手，黑客和其他未获授权的用户访问一个组织重要的数据和网络资源。