本节书摘来自异步社区《请君入瓮——APT攻防指南之兵不厌诈》一书中的第8章8.3节基于网络的工具,作者【美】Sean Bodmer , Max Kilger , Gregory Carpenter , Jade Jones,更多章节内容可以访问云栖社区“异步社区”公众号查看。
8.3 基于网络的工具请君入瓮——APT攻防指南之兵不厌诈基于网络的工具是两个安全重点关注领域中较为有趣的一类,也是最具可操作性的工具。过去的10年间,犯罪软件不断发展,每天都如海啸一般涌向全球网民。
有两种有效的基于网络的工具:
防火墙;入侵检测系统(IDS)和入侵防御系统(IPS)。8.3.1 防火墙防火墙是最早被开发的网络安全技术之一,用以保护接入网络的组织和网络节点。防火墙可能是最后一道安全防线,这取决于网络设置。隔离区(DMZ)和路由器会先于防火墙发现恶意流量。
近年来,这类技术不断发展,并演变为多种价格不菲的安全系统,其价格取决于生产厂商。尽管如此,犯罪分子还是可以穿过防火墙,自由进出您的网络。为了阻止某些特定威胁,防火墙必须知道检测对象或具备预先定义的访问控制表。对于多数高级网络威胁而言,根本没有这类资料,所以很难提前做好防御准备。
如今,大多数的防火墙都可以识别并确认企业内部存在的主动威胁。如果进行适当配置,防火墙可以提供关于全部流经数据的更多信息。但需牢记,防火墙与其他人工设置的策略、规则和配置并无区别。另外,不要忘记监控隔离区和路由器系统的状态和日志,因为它们可以提供馈入防火墙规则集所需的更多信息。
引人思考下列注意事项有助于提升防火墙的防护能力。
初期准备花些力气。在得到出入网络的基线流量之前,您会遇到很多误报。不必重复发明轮子。互联网上有现成的防火墙规则,这些规则是由那些与您遇到同样挑战的人创建的。另外,您所选用的防火墙很可能已经预置了厂商提供的有效规则,也许很容易修改。提供不同层次保护。您希望将您的防火墙定位于网络层(直接的TCP/IP流量)还是应用层(进出数据库系统的流量)?8.3.2 入侵检测/防御系统入侵检测/防御系统的开发始于20世纪90年代后期,用于检测恶意网络行为。入侵检测系统(IDS)是一种置于网络的探头设备,它负责检测网络进、出流量。一旦发现任何异常流量,它会及时向管理员报警。入侵防御系统(IPS)也是一种探头设备,它能够自动对异常事件做出响应,阻止恶意流量进、出网络。
这些系统与过去几年相比都有了显著改进,不过,若想跟上当前恶意软件的发布速度,仍要面临诸多挑战。这类系统或许不能阻止目前所面临的高级威胁,但却是较好的报警异常行为的系统。
引人思考使用入侵检测系统(IDS)和入侵防御系统(IPS)时,需注意以下事项。
您想让系统做什么?您是需要一个在发生入侵行为时向您报警的系统,还是更需要一个能够做出响应并阻止入侵行为的系统?您需要哪类系统?您需要的是基于已知恶意特征的系统,还是能够适应环境并检测异常行为的系统?或者两者都需要?您的网络配置得当吗?监视网络全部进、出流量的瓶颈在哪里?本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。
