面对KVM漏洞, “亡羊补牢”不如“未雨绸缪”

据v3.co.uk网站报道:“近日,部分知名厂商的服务器系统被发现存在KVM漏洞,该漏洞理论上可能会被黑客利用以获取对受害用户设备系统的控制权限。然而,仍有厂商拒绝公开承认其多款产品存在该漏洞。”由于该漏洞可能会导致黑客入侵后端的主机,致使企业的核心信息资产被窃取或是破坏。加之这些厂商的服务器在国内被广泛应用,因此使用这些厂商的服务器无疑会给相关组织带来极大的风险。

KVM漏洞产生“核心风险点”

从来没有绝对的安全,漏洞存在于网络、设备、操作系统和应用程序当中。如果用户对漏洞的危害程度不能很好的区分,那么高危漏洞可能未被优先修复,从而导致整个网络暴露于危险之中。而从风险管理角度上来看,当漏洞被利用,同时影响到资产的时候,就产生了风险。随着资产价值、漏洞等级、被利用可能性的不同,产生的风险也会不同。

由于服务器管理系统漏洞主要发生在某服务器的KVM交换机设备上,而其在企业网或数据中心又具有绝对的“权利”,通常处于整个网络的控制核心位置,这一地位使它成为黑客入侵的重点对象,即:核心风险点。从黑客入侵者的角度来讲,KVM的漏洞只是一个通道,后端的主机才是目标。主机在网络环境中是整个信息安全核心资产的载体,是攻防的核心焦点,也网络中最易遭受攻击的领域,如果其受到攻击和破坏,轻则系统瘫痪,关键业务无法运行,重则信息被篡改,关键机密信息被泄露,将会造成无法估量的损失。而在本次事件中,由于KVM安全漏洞的客观存在,黑客利用KVM漏洞控制后端主机的可能性已被证实,这有可能会对企业造成毁灭性的打击。因此,在对其安全风险和影响范围分析之后,建议企业在第一时间对其修补。

频发的“后门”与“漏洞”事件,对任何一个组织的信息安全风险管理都提出了更高的要求,找出和消除这些核心风险点将是重中之重。这是因为,任何坚固的防护体系如果出现一个核心风险点,都能导致牵一发而动全身的悲剧。因此,用户在关键位置的核心安全产品绝对不允许只有一个解决方案,要做到“内外有别”。例如:在KVM交换机被攻陷后,后端服务器及路由交换设备的控制权绝不能让黑客轻易获取。另外,对于承载核心资产的主机,控制权更不能够只交给一台设备负责,应采用纵深防御的架构,防止“一击致命”。

纵深防御防止“一击致命”

在实际战争中,需要在前沿阵地部署一道又一道的防线,确保大本营的安全。前一道防线被突破以后会有第二道、第三道防线来进行阶梯布防。而在信息安全领域“攻防战”中,寻求“一夫当关、万夫莫开”的解决方案是不存在的。但若换一种思路,当网络中架起多道防线之后,服务器中出现的KVM漏洞能否导致后端的主机被攻陷呢?

假设KVM漏洞已被黑客利用,但在后端服务器如果部署了系统加固产品,即便是突破了服务器的管理系统,获取到了服务器的用户权限,仍然有安全防护措施可限制黑客的进一步操作。黑客如果想要再进一步登录后台服务器操作系统,还需要对安全加固产品进行硬件载体的认证机制突破。在这种纵深防御体系的网络安全架构中,KVM漏洞的危害不会在网络中延伸,主机的管理权不会丢失,信息资产便不会被黑客轻易盗取。

所以,在强调整体安全管理的策略下,讲究的就是纵深防御(Defense in Depth),虽然它没有最小特权原则(Least Privilege)被人们熟知,但却是应对漏洞威胁最有效的方法。

浪潮“三位一体”方案为主机安全护航

2013年,浪潮在国内发布了首个集硬件、操作系统、安全软件“三位一体”的主机安全方案,实现了“三点一面,纵深防御”全方位安全防护体系。作为安全软件环节的核心,浪潮SSR操作系统安全增强系统提供了针对于服务器操作系统内核层面的安全加固,它采用主动防御模式,将原操作系统厂商的安全防护控制模型接管,让用户从根本上对主机的安全性做到自主可控。

通过安全管理员、审计管理员、系统管理员三权分立的方法,浪潮SSR实现了对用户和进程的最小授权,从根本上免疫了各种针对服务器操作系统的攻击行为。此外,由于采用了“U盘密钥和数字证书+密码”的双重认证机制,从而避免了因为KVM等外围管理设备漏洞、主机相关账号被盗、管理文档泄露等原因造成的权限被非法利用。

“亡羊补牢”不如“未雨绸缪”

对于用户而言,最大的安全挑战不是已知漏洞的管理,因为这将随着漏洞管理制度、流程、工具的不断融入得到改善,而未知漏洞才是最致命的。它们可能广泛存在于现有系统之中、会避开反病毒保护、在黑客社区间被买卖和传播、因为特定的需要未被公开披露。

在漏洞管理中,“为何亡羊补牢不如未雨绸缪”。亡羊补牢时,用户将陷入一个无休止的猫鼠游戏:漏洞被别人发现,等待厂商补丁,仓促的尝试在攻击者到达之前手工调整安全策略、或者停止针对性的服务,等待数周之后才能完成兼容性测试而安装补丁。而未雨绸缪则是让用户利用纵深防御架构,为系统打入“免疫针”,结束这个持续且被动的危机管理过程。

对于企业服务器来说,漏洞、后门等安全问题的发生几乎是不可避免的。但如果只是在事件爆发时才能够引起社会对安全风险的关注和警觉,稍经时日便又习以为常,这将导致累积起来的安全风险越来越大。

然而,目前市场上的主流信息安全产品如防病毒软件、防火墙等都是从网络层和系统上层通过黑名单的方式对已知病毒和木马进行安全防护,国内缺少成熟的自主可控的操作系统产品及相关核心安全技术,市场迫切需要针对主机安全而提供的解决方案和产品。为此,浪潮通过对SSR产品进行的技术创新,研制出了针对主机的“疫苗”,在帮助用户达到等级保护三级要求的同时,有效应对已知及未知的漏洞。