弥补边界安全和主机安全之间的漏洞

日期: 2008-01-29 作者:Mike Chapple 来源:TechTarget中国 英文

大多数机构都认识到信息安全的重要性,并且以充分的技术控制把资源用于信息安全计划中。在许多情况下,这种控制在网络接入控制(边界保护)和加强网络中的单个系统的保护(主机保护)方面是很严密的。现在,我们开始看到用基于网络的安全机制弥补这两个方面之间的漏洞的重要性。   在本文中,我们将研究你可以在企业中用来弥补这个安全漏洞的三种技术控制方法:入侵检测系统、蜜罐/蜜网以及暗网。

这三种技术中的每一种技术都有从简单到复杂的应用。   入侵检测系统   入侵检测有两种基本的方法:   基于签名的入侵检测系统以与现代抗病毒技术相似的方式进行工作。它们不断地更新解释各种已知的恶意行为的攻击定义文件(签名)。然后……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

大多数机构都认识到信息安全的重要性,并且以充分的技术控制把资源用于信息安全计划中。在许多情况下,这种控制在网络接入控制(边界保护)和加强网络中的单个系统的保护(主机保护)方面是很严密的。现在,我们开始看到用基于网络的安全机制弥补这两个方面之间的漏洞的重要性。

  在本文中,我们将研究你可以在企业中用来弥补这个安全漏洞的三种技术控制方法:入侵检测系统、蜜罐/蜜网以及暗网。这三种技术中的每一种技术都有从简单到复杂的应用。

  入侵检测系统

  入侵检测有两种基本的方法:

  基于签名的入侵检测系统以与现代抗病毒技术相似的方式进行工作。它们不断地更新解释各种已知的恶意行为的攻击定义文件(签名)。然后,基于签名的入侵检测系统便扫描网络,查找与签名匹配的数据包,接下来就是向安全管理员报警。

  基于异常状况的入侵检测系统以不同的原则工作。这种入侵检测系统通过不间断地监视网络了解“正常”网络活动的状况,然后向管理员报警任何不正常的状况。基于异常状况的入侵检测系统的优点在于它能够识别出以前出现过的攻击。遗憾的是,基于异常状况的入侵检测系统还不能成为信息安全的主流产品,它们的成熟程度还不可靠,不能用于生产网络中。

  如果你要使用入侵检测系统,你可以考虑两种不同的方式,根据你可以在这个项目中使用的时间和金融资源做出选择。第一个选择是开源软件。Snort入侵检测系统是Snort.org免费提供的软件,并且得到了信息安全团体的大力支持。如果不愿意耗费大量的时间安装和运行Snort软件,你可以购买商业性的入侵检测软件。目前,思科和Enterasys等厂商提供了许多这样的产品。你还可以考虑 Sourcefire公司提供的商业版本的Snort设备。

  蜜罐和蜜网

  蜜罐和蜜网是安全从业人员加强网络安全的另一个选择。不管你信不信,这些工具就是为了吸引恶意攻击者的。蜜罐设计成吸引黑客攻击的目标,对于观察和监视黑客的攻击行为和学习新的黑客工具和技术是非常有用的。从蜜罐系统中学到的知识可用来保护整个网络。

  蜜网是用许多蜜罐系统组成的网络,一般都以不同的配置运行不同的操作系统和应用程序。许多学术团体都在研究一种所谓能够自我修复的蜜网。这些蜜网旨在吸引和监视恶意的行为,然后快速把网络恢复到原来的状态,等待应付未来的攻击。这可以节省许多网络管理时间。如果你要进一步了解有关建立蜜罐或者蜜网的信息,请咨询Honeynet.org网站的蜜网计划。

  暗网

  你在你的网络中可以使用的最简单的工具之一就是暗网。你要做的一切就是把不使用的IP地址空间放在一边,并把这些IP地址区域指定为暗网。接下来,配置你的入侵检测系统或者其它网络监视系统设备以便检测任何指向暗网地址的通信。由于在暗网中没有运行合法的系统,你可以安全地推测任何指向暗网IP地址的通信都是恶意系统或者配置错误的系统所为。暗网对于检测你的网络中的系统是非常有用的。它可以检测出你的网络中的电脑是否受到蠕虫或者恶意软件的感染,正在随机地向你的网络地址传播。

作者

Mike Chapple
Mike Chapple

Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。

相关推荐

  • 雾里看花 勿让“NG“迷惑了双眼

    2014年,产品革新的风潮逐渐回归理性,概念与本质的纷争也渐趋平静,我们开始重新思考,用户该如何在概念满天飞的年代,正确的选择一款NGFW呢?

  • 电信网上营业厅安全不容忽视

    针对网上营业厅常见的安全问题,山石网科从网络、主机和应用三个层面提出了相关方案,重点在于网络安全层面,适当兼顾了主机安全和应用安全。

  • 网康专家上海信息安全周解读网络边界安全

    网康科技全程参与了上海信息安全活动周,网康科技产品经理杜斟进行了《解析边界安全》的主题演讲。

  • 企业终端安全管理概要

    企业当前面临的网络威胁众多,除了加强其服务器和应用服务的安全外,还需要审慎地对待其内部的终端安全管理,它包括两个层面:主机安全层面和数据安全层面。