综述:主动安全
控制和安全
网络体系结构在抵御内部和外部攻击方面起着非常重要的
作用。
根据Verizon的美国特工泄露调查
报告最近发表的数据
显示,在过去的一年内发作事故的数量增加了一倍,但是外部的攻击仍然是攻击的主要来源,这意味着该
公司仍然没有得到很好的
保护网络和数据安全。
主动安全控制和安全网络体系结构在抵御内部和外部攻击方面起着非常重要的作用。但是,如果没有合适的网络分割和访问控制,一旦攻击者进入内部网络访问受害者,全部完成:敏感
服务器在内部网络中
等待攻击者。
然而,一个安全漏洞的结果并不总是很糟糕。首席信息安全官先进数字卡说:网络接入控制(NAC)属于哲学的范畴,而不是技术的范畴。Rdquo,网络分割和访问控制采用纵深防御的
方法,这将减缓恶意软件传播
速度和防止敏感
系统泄漏。
漏洞的
发现嵌入式
操作系统如在过去的几周,VxWorks和QNX强调保护这些设备和隔离他们尽可能不
影响生产力。然而,从多
功能设备和类似系统的总体部署,也缺乏对这些系统的滥用所带来的安全问题影响的认识。
例如,一个新的模块发布metasploit框架允许
内存是从一个脆弱的VxWorks设备
卸载。在内存信息转储,你可以找到
密码和内部IP
地址,允许攻击者
登录到网络交换机,将VLAN为装置,或通过暴露的服务帐户登录到服务器。
由于
打印机和流媒体设备不仅是哑设备,它们完全是客户机和服务器,因此必须
创建一个网段来隔离这些设备,并为业务需求提供足够的访问
权限。
例如,一个多功能的电子邮件发送扫描
文件复印机应该被允许在端口25 / TCP而不是在文件服务器上的开关或Windows服务器端口远程登录邮件服务器通信。同样,嵌入式系统不应该被允许接入互联网或访问,除非是因为vbrick的流媒体设备使用。
嵌入式设备是指员工在不考虑其安全性的
情况下被放置在互联网上的设备。在对客户的脆弱性评估中,密闭网络发现,1/4的网络有一个由雇员
安装的恶意
无线网络。
无论在生产效率、使用方便的目的,或是因为
用户有恶意,结果
都是一样的:让企业内部网络在无线端口范围的任何人。该政策声明表明,网络中的任何变化,如增加无线接入端口,应严格
禁止。然而,有必要部署必要的技术管制来
执行这种禁令,并发现任何异常行为。
基本的技术控制(例如,限制每一个网络交换机端口的MAC地址)是一个开始,但它可以很容易地打破了由技术熟练的员工。在网络访问控制
解决方案,更先进的控制应增加有助于确定无线设备和防止通过
关闭连接的网络端口或
传输端口隔离VLAN访问内部网络。
从纵深防御的角度来看,你可以添加无线入侵
检测系统(WIDS)恶意无线设备提供额外的保护,因为在商务办公区的无线入侵检测系统,也可以检测到新的无线网络,并提醒保安人员。
PCI安全委员会意识到恶意和无限网络的影响,每年为PCI DSS提供四次无线扫描,但一年四次扫描可能还不够,而恶意无线设备可能在扫描间隔三个月内逃脱检测。
无线供应商正在解决这些问题,包括企业内部的
管理系统模型的功能。例如,思科无线服务模块(SXH)进行
识别、定位和控制在企业网络中的恶意无线设备(一次恶意无线设备被发现)。
任何网络安全方案的最终
目标都是防止重要数据泄露的安全泄漏,满足企业的需要,恰当的网络划分、
策略和技术控制有助于企业实现这些目标。