网络安全的最高境界便是能预测黑客的下一个动作,让安全防护的机制能永远领先于黑客。不过在真实的世界里,常常事与愿违。黑客攻击事件依然层出不穷,网络系统还是经常受到不知名的电脑病毒的袭击,我们仍然需要依赖网络安全厂商花数天时间研究出来的方法,以此来应付新的威胁。可是,往往等到我们刚知道如何消灭新的病毒时,更新的变种病毒又开始在网络上蔓延了。
加尔斯伯电脑经济学者(Computer Economics of Carlsbad, Calif.)研究公司表示,2000年全球信息系统因为电脑病毒肆虐所造成的损失为171亿美元,并呈现逐年增长的趋势,原因无非是我们一直追着黑客跑,而黑客却总是先我们一步。
要在与黑客的战争中取得主动权,我们就必须先破除一些对网络安全方面的认识误区。
误区一:防火墙万能论
直到今日,仍有许多使用者认为,只要安装了防火墙便可以高枕无忧,或至少可以阻挡大部份的攻击行为。
防火墙固然是重要且必备的安全机制,而且随着技术的进步,防火墙的功能也越来越强大,但是防火墙仍有其缺陷。无论是那个品牌的防火墙,它主要的工作便是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边安全的防护。可是如果攻击行为不经过防火墙(例如自网络内部发动攻击),或是将应用层(Application Layer)的攻击程序隐藏于正常的封包内(例如暗藏于URL Unicode中的后门程序),防火墙便力不从心了。
前一阵子重创网络的Nimda病毒攻击事件中,很多受害者的网络都安装有防火墙,可是依然未能幸免,原因不在于防火墙无法发挥作用,而是Nimda同时运用了多种攻击手法,而其中几种攻击方式都属于应用层(Application Layer)的攻击,防火墙无法察觉。不只Nimda病毒,现在的黑客技术日新月异,多半会在一个攻击行动中同时结合多种攻击技术,所以说,防火墙并非无用,但绝非万能。
误区二:有需要,再建设
这是典型的追着黑客跑的心态,通常持有这类想法的网络管理员都知道网络安全不可能单靠防火墙,而必须有更完备的安全机制来保护网络系统。不过他们并不确切知道自己的网络需要什么样的安全机制,因此也不知如何进一步规划网络安全。就算规划某种安全机制,也未必会被主管及采购人员所接受,所以只好头痛医头,脚痛医脚,等受到黑客攻击了,才根据“需要”建设安全机制。
这种情形普遍存在于企业网络环境中,要解决这个问题,就必须建立完整而持续的网络安全稽核机制。黑客攻击手法极多,很难依据特定的攻击模式建立相对应的安全机制,更何况目前的攻击手法都会结合多种攻击模式。但不管攻击手法如何变化,攻击行为能够成功的前提不会改变,那就是网络有漏洞存在,一个被入侵的网络,一定有某个安全漏洞被黑客发现。反过来说,如果网络没有安全漏洞,无论黑客手法如何高明,也无法成功侵入网络。要成功地防堵黑客攻击,基本的工作便是找出网络上的安全漏洞。
想要有效率且完整地检查网络上的安全漏洞,就必须利用Scanner工具。黑客也会利用类似Scanner的工具收集攻击目标的网络环境信息,找到安全漏洞,再伺机攻击。而用户亦可利用Scanner收集自己网络环境的信息并检查潜在的漏洞,再根据Scanner所建议采取的方法来移除或保护所发现的漏洞,譬如安装某一特定的补丁(patch),或是建立其他安全机制。只有在利用Scanner了解自己网络的状态后,才能对症下药,明确知道是否需要建置某一特定的安全机制(例如入侵侦测系统)。
任凭黑客如何刁钻,其攻击行动的成功必须依赖其所要攻击的网络中的安全漏洞,以前不久的Code Red与Nimda电脑病毒为例,都是利用了微软IIS服务器的漏洞。但早在Code Red与Nimda分别被发现的前两个月,微软便已公布了补丁来修复安全漏洞,而从这两种病毒所造成的严重损失来看,仅有少数网络管理员及时下载补丁进行了修补漏洞的工作。
误区三:花费太大
网络安全机制的建立是从审视网络安全漏洞开始的,修补这些漏洞并不需要多少费用。美国联邦调查局与SANS组织会不定期发布二十大网络安全漏洞,这其中有许多漏洞只需下载原厂的补丁便可移除,而这些补丁通常是免费的。
另外一些安全漏洞的防止皆是网络管理的老生常谈,比如严格管理密码账户、建立系统备份等,都是平常管理网络就该注意的必要事项,并不需额外的花费。
最后,如依照全面检查的报告,确需建置防火墙或入侵侦测系统,其花费与其他系统(如服务器)建置所需的费用相比较,也并不昂贵。若考虑到因遭受攻击而需重建其他系统时会重复产生的费用,建置网络安全系统的成本便非常划算。
总之,一个完善的网络安全机制的建立,关键并不在于硬件的费用,而在于管理者的用心。