如果将网络比作人的神经系统,那么端点就是其神经末梢。端点包括PC、笔记本电脑、手持设备及其它的特定设备。服务器或网关主管着集中化的安全软件,在必要时,还要验证终端用户登录,并向终端发送更新和补丁等。我们可以将端点安全看成是一种战略,其安全被分配到终端用户设备,但必须实施集中管理。端点安全系统往往以客户端/服务器模式运行。
本文涉及到的关于端点安全的制胜之道全部来自于有着丰富实战经验的开发安全软件公司,作者择其要旨与读者分享它们关于反病毒、基于主机的入侵防御系统、行为保护、网络访问控制、应用程序控制等的技巧。
要选择一种端点安全解决方案:无论你选择什么工具,都应当寻求对活动目录的本地支持,并且要能够支持你所拥有的设备类型。只有这样,才能更容易实施安全控制。第一步是确认用户或工作站。一种简单而基本的方法是在活动目录中定义下面这两个组,一是工作站(笔记本/桌面),二是安全组(IT 管理员/用户/临时用户)。
当然,管理员可以根据需要定义其他的组,用以提供更精细的控制。
第二步,阐述安全策略。为此,笔者提供了一些终端安全项目的制胜之道。记住,你可能需要逐个检查这些方法,但需要将其整合为一套策略,使其可以协同工作,以便于提供最佳的保护和控制。
反病毒的制胜之道
1、至少每周执行一次扫描,最好在午饭时间进行。至于笔记本电脑,在其每次连接到公司网络时,都应当激发并实施完全扫描。
2、在移动设备插入到系统中时,应当执行完全扫描。
3、每三小时执行一次反病毒签名的更新。
4、需要配置工作站,使其在内部服务器发生硬件或软件问题而导致反病毒服务器发生故障时,能够从反病毒厂商的公共服务器直接下载签名更新。
设备控制的制胜之道
1、公司内部必须禁用Wi-Fi。此规则还适用于所有的工作站、笔记本电脑和服务器。
2、为了阻止公司策略无法控制的通信,应当禁用modem、蓝牙及红外线等。
3、必须禁用USB key中的U3特性,因为它可用于虚假的光驱检测,使得恶意软件能够自动在工作站上运行。在浏览端点上的可移动设备时,U3 CD-ROM会被误认为是真实的光驱。
4、在将文件写入可移动设备时,要审计插入的所有设备并捕获所有的活动。这样,你就可以监视信息的提取,并监视USB设备的使用。使用这些信息,就可以根据你的发现设置另外的策略。
5、阻止从可移动设备和CD或DVD访问任何可执行的文件和脚本。这会阻止未知的漏洞被攻击者利用,从而防止恶意软件的运行。
6、对写在大容量可移动存储设备(如CD、DVD和USB备份卷)上的所有数据进行加密。
主机IPS和行为保护的制胜之道
1、键盘记录器保护:多数恶意软件都包括某种形式的键盘记录器引擎,借以恢复口令、信用卡号和其它的个人数据。一定要将键盘记录器的防护作为主机IPS策略的一部分。
2、网络监视:建立策略,使其可以监视任何企图访问网络的应用程序。未授权的连接有助于检测那些恶意软件进程。
3、Rootkit保护:使用Windows所加载的驱动程序的预定义白名单,你可以检测貌似合法的恶意软件,可以挫败其盗用驱动程序的硬件厂商或软件厂商授权证书进而实施罪恶行径的企图。
4、防止DLL(动态链接库)注入:恶意软件最喜欢的一种用来阻止反病毒产品将自己清除出去的技术,即将其自身注入到一个正在运行的动态链接库中。反病毒产品无法将已经加载的动态链接库清除或隔离。一般情况下,恶意软件会将其自身加载到winlogon.exe或explorer.exe等系统进程中。
5、使用入侵防御或行为保护的学习模式或测试模式应当成为一种强制要求。这样做可以防止一些似是而非的现象,而且有助于改善部署软件时的信任水平,特别是在涉及到更新或安装新的应用程序时,因为这通常是会导致假象的行动。
对缓冲区溢出的保护如今成为强制性要求。一个很好的例子是前些日子针对微软Windows和Adobe Acrobat的漏洞。须知,收到修复的时间可能要达一个月之久,而互联网上对漏洞的利用在几小时之内就可实现。