分层安全防御的关键:网络层VS端口

纵深防御模式是保护企业网络安全的最佳方法是没有争议的。但是,哪一层最重要?有人说,应用层是最为关键的一环,而且这种说法也有一定依据(这可能是未来的争论点)。本文我们考察两个更普通的方法:网络层与端口。

观点1:网络层更重要,可提供处境意识

NitroSecurity重要基础设施市场主管Eric Knapp称,虽然端口安全是纵深防御态势的一个重要组成部分,但是,网络层是最重要的,因为它能帮助消除进入服务器、主机和其它资产的入站恶意代码,同时提供一个极好的活动监视基础以改善我们的整体处境意识。

当网络和主机安全都增强的时候,最终产生的安全“大块糖”是攻击者很难咬动的。这是重要的,因为虽然应用程序白名单和其它技术的推出显著改善了端口安全,但是,我们的系统和设备种类太多并且相互连接太多,不能保证主机安全措施百分之百地普遍应用和百分之百地有效。端口安全防护措施中的一个薄弱环节就可能为攻击者创造一个滩头阵地。因此,对于网络上的一切东西的相互连接有一个全面的观点是重要的。

当然,网络安全不是一个新技术。甚至使用单向网关(网络层相当于应用白名单。在物理层将提供绝对的保护),也有可能绕过一个增强的网络外壳,暴露网络主机的内部状况。然而,网络是公分母,是所有的系统、应用程序和服务的纽带。通过适当地监视网络,可以发现大规模的威胁。主机本身会更安全。

使用防火墙和入侵防御系统等标准的网络安全设备的积极保护是开端。使用入侵检测系统、网络流量分析以及网络行为分析工具、记录管理和安全信息与事件管理(SIME)系统等更全面的系统实施的网络活动监视将丰富端口保护设备和提供更广泛的威胁检测能力。

换句话说,基于网络的安全不仅仅是一层防御,它是获得处境意识的要点,向安全分析人士显示所有这些离散的主机安全事件如何相互关联,与重要的安全以及企业的遵守法规政策有什么关系。

当正确地使用的时候,网络层安全信息能够与主机上的应用白名单一起使用以便创建更好的东西。在伦敦召开的SANS研究所安全会议上首次出现的词汇“智能名单”引进了这样一个概念,就是使用主机上的应用程序白名单代理程序中的安全事件完成网络安全设备的反馈回路。网络安全设备通常根据黑名单封锁通讯或者定义特征。这些特征告诉防火墙或者入侵防御系统我们已知的威胁。

当一个攻击漏洞经过这些黑名单防御并且攻击使用某些应用控制保护的主机时,这个利用安全漏洞的攻击将被阻止并且被记录下来细节。

但是,那个利用安全漏洞的攻击来自哪里?它是一个内部的威胁,还是来自另一个国家的更高级的攻击?它是如何通过网络层安全控制的?回答这些问题的唯一的途径是查看网络本身,特别是查看网络层安全事件以及网络流信息。

当我们看到某些东西试图在一个保护的主机上执行应用程序的恶意企图的时候,我们能够由直觉判断这个应用程序是恶意的并且相应地调整我们的黑名单。换句话说,我们根据从主机上获得的情报和在网络层的环境中进行评估,创建一个我们推断是恶意的“智能名单”。

只有有这种水平的自动化智能的网络层,才能使网络层安全控制检测出最高级的攻击并且把这些攻击封锁在网络周围。因为如果网络让这个攻击进入,这个攻击最终将找到自己的滩头阵地,而没有很好地保护的台式电脑、服务器、打印机或者一些其它设备。

有许多隐蔽的、变异的和高级的恶意软件。因此,如果一个攻击成功地登陆,它将在我们发现漏洞之前攻破系统。当网络和主机安全是坚固的,攻击者就很难咬动这个安全的大塘块。

观点2:网络安全完全取决于端口

Sophos技术战略主管James Lyne称,急剧变化的攻击方式、漫游用户、过多的需要保护的平台和对更多的数据进行加密的日益增长的需求是让端口安全成为提供安全的重要控制措施的因素。

加密因素本身就迫使人们改变思维方式。在传输或者数据层进行加密,基于网络的检测将变的不现实,使网络设备无法做自己的工作。另一方面,端口能够看到加密前的数据,允许对通讯进行性能检测。

而且,在端口有更多的环境背景用于安全活动。这个因素越来越重要。目前在Sophos实验室,我们每天看到9.5万个单个的恶意代码,每一秒钟能够发现一个新的被感染的网页,恶意软件的数量和质量在过去的几年里惊人地增长。在过去的25年里一直使用的基于内容的检测技术对于这种大量的恶意代码正在日益失效。在端口,应用程序、数据、行为和系统健康的可见性可用于做出更准确的决策和更好的预先防御。

比较一个例子,设法识别和阻止Skype的任务(还没有恶意代码那样复杂)。你在端口可以简单地识别出Skype.exe(使用各种机制)。而要在网络中实现这个目的,你需要解码数据包。由于数据包有数千种格式,这个任务是很困难的。恶意代码经常伪装成合法通讯的其它格式。

更多的用户还从路上访问数据和应用程序,目前在许多情况下是使用云服务。如果这个通讯没有回程通过企业,网络安全就失去了过去在外围和网络结构上提供的可见性。因此,无论设备在什么地方都需要拥有检查被感染的网站的URL地址等一些安全能力,即使这个设备不在网络上的时候也要有这种能力。端口和基于云的保护能够实现这个目的。

然而,网络安全比端口安全更容易部署,因为企业能够在网络的几个地方部署安全措施,不用在每一台PC上部署安全措施。然而,当安全出行错误或者一台设备被感染的时候,端口保护可提供清除恶意代码和避免损失或者缓解问题的能力。这是网络层安全做不到的。

公平地说,在端口是一个不停的战斗,因为许多恶意软件的设计都是要关闭端口安全软件。从网络监测恶意软件没有这个问题。好消息是:在端口的恶意软件在试图感染其它软件或者拨号回家的时候能够被监测出来。

总之,这两种形式的安全对于防止现代的威胁都是很重要的。过去在网络上提供的一些安全功能需要过渡到端口,以便提供有效性和兼容新的大量的漫游用户。

相反,网络解决方案能够覆盖不可能部署代理程序的设备、来访客户或者被恶意软件关闭了端口软件的系统。在网络解决方案中,网络级的攻击和嗅探更容易发现。

由于有这样大量的恶意软件和更多的有针对性的攻击,你运行的层次越多,你撒下的捕捉网络犯罪分子的网就越大。在未来几年里,许多安全传统将受到挑战并且被改变。但是,这两种方法将继续提供价值。

传统的端口和网络层一直被不同的团队当作隔离的区域。为了应对更广泛的威胁和新的设备,让它们配合工作以便提供更好的安全是有许多好处的。在网络、端口和云之间共享信息毫无疑问是现代安全的发展方向。