【TechTarget中国原创】2008年新兴安全威胁将主要集中在两大非传统威胁领域:虚拟化和VoIP(互联网语音传输协议)。去年,这两项技术都出现了安全问题的初步迹象,包括一些重要的安全漏洞。尽管如此,VoIP和虚拟化还是成功地快速增长,以致于即使VoIP和虚拟化安全引起相当的关注,也不足为奇。
虚拟化成为攻击目标
2007年,由于组织希望减少物理数据中心的占用空间,增加硬件资源的利用率,虚拟化市场急速增长。同样,虚拟化也引发了一些不怀好意的人的兴趣。
前,黑客急于发现虚拟化的漏洞。他们的一个主要目标就是避开虚拟机:破坏客户操作系统,以访问底层主机。Burton Group研究公司高级分析师Pete Lindstrom很好地概括了这样的紧张竞争气氛----“攻击者和企业架构师在虚拟化安全道路上齐头并进”。
2007年,Intelguardians 公司的Ed Skoudis和他的咨询团队演示了针对VMware Workstation通过escape字符进行攻击。如果2008年再看到类似的针对企业级虚拟技术的攻击,不必感到惊讶。
如何在企业部署虚拟化的同时实现自我保护?以下提供一些观点:
隔离的程度取决于你的财政预算及抗复杂能力,但是把不同敏感级别的数据保存在各自的虚拟环境中,将是明智的选择。例如,采用某个虚拟例程控制你的公共Web服务器,而用另外的例程控制内部数据库服务器,但两个例程寄存在相同的虚拟环境中,这就不是一个好主意了。
你以前学到的关于操作系统安全的知识在虚拟服务器中依然适用。卸除不必要的设备,加强主机防火墙,安装安全补丁,从而加固你的系统。如果你减少了,令不怀好意的人无法寻找到进入你的系统的入口,你就能降低受攻击的可能性。
有些企业很倒霉,受到“零天虚拟化攻击”。但是从统计学角度讲,这基本上轮不到你的企业。但是,一旦新闻涉及到这一点,那些坏家伙就会和你一样迅速地去阅览相关信息。随时留心,并且要反应迅速,避免成为第二波受害者中的成员。
VoIP威胁浮出水面
爱它或者恨它,VoIP依然存在。2006年,Juniper研究公司预测,到2010年为止,VoIP市场的年收入将达到180亿美元。即使你尚未准备在公司中使用VoIP,还是有可能某人坐在会议室讨论可能发生的迁移。
在几个月之前,VoIP安全还是个理论问题。世界欣然接受了一项新技术,但是并没有及时对其安全问题引起注意,许多人对这一现实哀哭切齿。(如果这个故事听起来隐约有些熟悉,也就是与我们大概在十几年前听说互联网相类似!)
SearchSecurity.com网站的高级新闻编辑Bill Brenner借用了Malcolm Gladwell在2007黑帽会议上讨论VoIP时使用的一个短语。Brenner认为,随着许多极易受到攻击的协议广泛得到采用,VoIP安全正接近一个引爆点。如果在2008年看到VoIP“倾覆”,也不必吃惊。
几个月前,一次重要的VoIP攻击公布于众:一位名叫Joffrey Czarny的研究员演示如何针对思科的统一IP电话,成功实现远程窃听。思科公司承认该项漏洞,并发布应急方案。
以下是一些简单的技巧,可以保护组织免受VoIP风险。
例如,考虑将所有VoIP电话放在一个隔离的、安全的VLAN(虚拟局域网)中,以防止未授权设备通过内网的声音通讯设备进行窃听。保护VLAN,防止未授权设备。一旦你隔离了VoIP设备,对其进入和传出的通讯加以限制,这样它们就只能与呼叫人联系。
在这点上,加密技术并不完善,并不是所有提供VoIP系统的供应商都能实现该技术。不如花点时间研究一下部署VoIP时可供选择的技术。
听起来熟悉吗?你刚才在阅读虚拟化时,也是同样的建议,这与VoIP和其它相关技术都一样。
这不是一份指导今年需要注意哪些新型兴威胁的综合入门指导,不过毫无疑问,VoIP和虚拟化安全问题迟早会影响到企业的信息安全专家。请记住,2008年要时刻保持警惕,根据威胁情况做好反应准备。