跳到主要内容

初步教育入侵预防

作为一家信息系统顾问,顾问近二十年的教育技术和安全,我看过很多安全漏洞。我已经看到学生改变自己或其他学生的成绩,公开发布所有教师的私人信息,包括社会安全号码,闯入其他学生的账户,以框架校园敌人,并下载强迫完全关机的文件由于随后的计算机病毒和蠕虫活动,大都会学区的网络和系统。我已经看到了信任的WAN管理员在学校网络上设置了未受保护的个人服务器,并将其打开到互联网,所有人都没有学校系统的知识,这与此类行动​​的预期结果结束。我甚至看到了安全控制成为攻击向量,这种受损的反病毒更新服务器将互联网连接作为新委托的儿童色情服务器饱和。

但是,我不相信部署一个全新的安全基础架构的时间更迫切地努力打击恶意软件和技术漏洞,然后是今天。在该技术的核心,基础架构必须是一组强大的访问和内容过滤控制,完全修补的系统和网络核心的活动引擎,以及检测和防止入侵的所有网络节点。为什么是这样?

有两种主要原因:首先,对功能且越来越能力的技术基础设施的需求从未如此。这意味着跨组织的更强大的系统,巨大的存储功能和高速网络连接。其次,对该基础设施的攻击从未如此复杂,更成功,也许最重要的是,更有利可图。

为什么这是一个问题?
不幸的是,在确保基础设施方面,学校有一个比企业更困难的挑战。与业务相比,大多数学校每个计算机工作站都有多个用户,每台计算机的信息技术人员较少,运行更多的应用程序,许多人选择或者是法律所要求的,允许公众使用其技术基础设施。此外,在业务中,您可以要求员工计算机安全培训和解雇不遵守书面信息安全政策的个人。与学生采取类似的行动或甚至经常跟踪攻击是更具挑战性的更具挑战性更具挑战性,而且经常追踪较低的网络到其来源。

通过教育技术,笑话曾经是如果您有复杂的计算机问题,则需要让学生帮助您解决。如今,学生甚至培训的技术专业人员都可以通过熟练的爆炸性混合来轻松误导,利用漏洞,现实的欺骗以及许多关键系统的基础缺乏基本的安全性,包括整个互联网。一个简单的“phishing”攻击甚至可以欺骗甚至经验丰富的用户到快速检测操作系统和网络浏览器的网站,以及专门针对该系统的目标攻击。一旦系统受到损害,今天它就成为一个在黑色经济中提供的可销售资产,为电子邮件垃圾邮件发送者,盗版犯罪分子和非法色情网络提供服务。

今天最大的挑战是,因为互联网是一个全球网络,它使得恶意和亵渎的个人成为可能,以利用计算机的任何人。正如您可以想象的那样,在较贫穷或更高的犯罪国家,这可能是一种不可抗拒的诱惑。在题为的文章中“网络犯罪经济”,托马斯锁定了“罗马尼亚毕业的毕业生可能能够合法地赚取400美元,而网络犯罪经济中每月几千相比。我与安全研究人员说过,暗示作为安全研究人员之间的薪酬差异,安全利用者的差异很大。 ”

停止恶意软件
在过去的一年左右,几个突出的技术出版物发布了该章节,这些文章是如何在桌面上改变安全性的。这些包括来自尊重的出版物的以下标题:“新的威胁可以使传统的防病毒工具无效”, “桌面防病毒死了吗?分析师表示,基于签名的检查不能再跟上新病毒的洪水”, and “基于签名的抗病毒已经死了:克服它”.

消息是平淡的。过去用于保护我们免受攻击的方法主要通过确定的罪犯无效地呈现。攻击已成为多方面,恶意代码已成为多态性和变质,每次从系统移动到系统时,组织犯罪就会对其攻击基础设施进行了大量的投资,社会应用攻击已经无法区分,从合法的电子邮件中无法区分,即时消息和网站。

这是否意味着我们应该停止使用抗病毒产品?根本没有,但我们应该意识到防火墙和反病毒软件是孤独,有效的网络和系统安全方法的日子已经漫长。试图“blacklist”每个恶意软件的发病率都变得全部但不可能。微软最近引用了一种多态性蠕虫的案例,它们在一天内监测了571次的变化形式以逃避检测。反病毒供应商不能快速传播更新以跟上这一点。

尽管如此,我最近看到并听取了许多技术董事,该董事在过去已经平衡了他们在技术基础设施和相关的安全系统上的购买,他们现在已经指出他们因预算而在短期内撤回安全性短缺。虽然我赞扬了他们的努力,努力负责任,但我担心错误的地方不暗示的削减可能意味着他们最终可能会在其新建或扩展的通信和存储网络中有一些非常严重的安全后果。

解决问题的解决方案
今天只有几种有效的方法可以停止当前的恶意软件。显然,保持服务器和主机系统修补当前是至关重要的。不幸的是,修补程序导致应用程序问题的修补程序非常常见,因此快速测试和部署补丁是非常具有挑战性的。

这种困境经常导致两所思想学校,两者都有缺陷。第一所想法是“锁定一切,直到下一个假期休息”。不幸的是,这通常会导致更容易受到一段时间的系统,这些系统抱怨它们是如此限制的系统,他们阻碍了正常活动,并且最后通过传播垃圾邮件或恶意软件来滥用网络资源的系统,或者导致用户无意中滥用网络资源将敏感信息远离攻击者。

第二所思想的是“当贴片出来时,立即修补每个系统”。这种方法的问题是两倍。首先,我已经见证了一手补丁禁用一些关键服务,要求信息技术人员在一段时间内行走计算机到电脑来修复问题。其次,没有一个非常受控的修补过程,不可能知道哪个系统成功部署了修补程序,缓解了漏洞。

最后,没有修补方法可以解决的挑战是“zero-day”漏洞利用现在越来越普遍,这意味着恶意代码经常在可以保护攻击的补丁之前发布。

阻止恶意软件的传播的一种新的和创新方法是安全地映像每个系统的硬盘驱动器,编目允许运行的每件软件,并制作每个软件块的签名的冗长分布式数据库。这种方法被称为“whitelisting”。当您完全控制允许在其上操作的基础架构和所有节点时,这项有前途的技术效果很好。不幸的是,大多数教育环境都没有这种控制基础设施和所有系统的控制。

入侵预防
这使我们在公共环境中导致最常见的技术在对网络和系统的攻击中具有相对高度的成功。该技术称为入侵预防。入侵预防不是单一技术。这是一套在网络上运行的技术套件,并在主机上寻找任何不应该发生并停止它的东西。

虽然本十年早些时候入侵预防变得最受欢迎,但其部署主要有限于相对较大的企业企业和大型教育机构。对于那些拥有更多限制IT人员配置或预算分配的人来说,其部署受到限制或完全不存在。幸运的是,由于技术首次亮相和减少系统的复杂性使其更加平衡,因此部署的成本大幅下降。

一种成功的一种形式的入侵预防被称为统计或行为入侵预防。它像人体的免疫系统一样运作,因为它监测操作并建立正常活动的剖面。当系统或网络在此规范之外的频闪时,发送警报,可以限制流量。这种方法的缺点是它可以在不寻常但授权的活动期间触发纠正措施。

另一种形式的入侵检测和预防是利用服务器,网络设备等防火墙等的内置能力,以及用户工作站跟踪攻击,关联安全事件,并将其报告回管理控制台,以便手动操作或网络自动预防控制点。这种方法的最大挑战是初始配置可以复杂,解决方案的成本可以很高。好消息是,这一领域正在变得越来越竞争,更新,更具成本效益的解决方案正在出来。

往往是控制攻击的最有益和经济高效的方法之一是保留所有已知漏洞的列表以及它们是如何利用的。这称为签名入侵预防。与签名反病毒系统跟踪恶意软件文件签名,这些解决方案跟踪“exploit vectors”或者利用漏洞的方法。

漏洞利用是网络数据包的特定序列,旨在利用原因使软件或硬件发生故障的错误,并允许访问它们通常不允许的访问。这让坏人可以访问网络管理员不希望它们的东西。

虽然经常被发现利用和漏洞,但是跟踪这些利用矢量的跟踪比尝试跟踪所有其所有(多型)形式的所有已知恶意软件的签名更容易。通过利用网络或主机上的这些利用和监视流量的数据库,在网络上检测到已知攻击序列的任何时候,它可以在攻击造成损坏之前停止。

虽然可以调整攻击以绕过入侵预防发动机,但通常更困难,而且变幻攻击通常比变形恶意软件或创建新的网络钓鱼网站。

最佳入侵防护系统使用网络和主机系统的方法组合,以最大化它可以检测和停止的攻击次数,并最大限度地减少错误警报的数量。由于良好的网络流量或反之亦然的可能性,所有入侵防御系统都需要一段时间在完全有效之前进行调谐。

好消息是,适当实施的入侵防御系统都是高度有效的,很少应允许的交通警报。精心设计和实施的系统还具有让系统管理员一些呼吸空间在部署之前测试新补丁的副作用,而无需将其系统打开到同一风险水平,他们会面临没有入侵预防。

反病毒解决方案供应商已将这一新的安全现实充满信心,现在大多数供应商都有软件安全套件,包括基于基于基于主机的入侵检测和预防以及防病毒,反间谍软件和基于主机的防火墙。基于网络和主机的入侵防御系统,当与网络访问控制,内容过滤,软件修补和恶意软件控件合并适当使用时是一种有效的方法,可以保护来自攻击的基础架构和主机.David R. Bailey,高级工程师&安全顾问,是一个20年的退伍军人信息技术专业,拥有广泛的计算机安全和网络技术背景。他经常向政府和教育组织提供技术和信息安全咨询服务。他进行风险评估和负责人管理政策制定组。他经常制定,管理和领导的规划,部署,培训和对主要IT倡议的项目支持。 David是政府机构和教育机构使用的技术和安全标准文件的发布作者。他是一个专家沟通者向技术和非技术受众呈现复杂的信息。 David目前适用于数据网络基于大西洋中大西洋和东南沿海国家的网络和系统集成商。

参考
经济合作与发展组织。 (2002)“根据经合组织的说法,大学教育为学生提供了可衡量的高回报。”文章指出,美国每台计算机有五名学生。
电子学校 。 (1999)“技术的实际成本。”文章指出,学校大约有一半的电脑支持人员作为企业。
康宁,卢西安。 (2008)Softpedia。“互联网核心缺陷的补丁也有缺陷”.
杰森几千年。 (2006)证书。 “网络钓鱼攻击技术趋势”.
克劳恩,托马斯。 (2008)信息周。“T 他是网络犯罪经济 ”.
汤森,Iain。 (2008)vnunet.com。 “Microsoft声称Vista Security的成功”.