擴展企業的概念給IT安全組合帶來了越來越嚴重的問題�����,因為它們的敏感數據和有價值的數據往往流出傳統的網絡邊界����。為了保護企業部署各種新型網絡安全設備:下一代防火墻、IDS和IPS設備、安全信息事件管理(SIEM)系統和高級威脅檢測系統�,以保護企業免受多元化和低端低速適應性的持久威脅�。理想情況下��,這些系統將集中管理���,遵循集中安全戰略�,屬于一般保護戰略�。
如何避免企業網絡安全設備部署失敗的解決方案。
然而,在部署這些設備時,一些企業的常見錯誤會嚴重影響其實現普遍保護的能力��。本文將介紹在規劃和部署新的網絡安全設備時應注意的問題��,以及如何避免可能導致深度防御失敗的問題�����。
一,不要依賴安全設備���。
最大的錯誤之一是假設安全設備本身是安全的。表面上看��,這似乎很容易理解����,但我們必須堅持這個立足點。所謂的“增強”操作系統有多安全���?它的最新狀態是什么?它運行的“超穩定”Web服務器有多安全?
在開始任何工作之前�,一定要制定一個測試計劃來驗證所有的網絡安全設備都是真正安全的����。首先�,從一些基本測試開始:您是否在各設備及其支持的網絡����、服務器和存儲基礎設施上及時升級、安裝補丁和修復錯誤��?檢查當前已知漏洞信息的數據交換中心(如國家漏洞數據庫)�,必須定期升級和安裝設備補丁。
然后����,轉向一些更難處理的方面:定期評估多個設備配置的潛在弱點����。即使每個設備本身都能正常工作�,加密系統和應用交付優化(ADO)設備的部署順序也會導致數據泄露。該過程可與定期滲透試驗一起進行。
二���,評估網絡安全設備的使用方式。
對于任何安全設備,管理/控制通道最容易出現漏洞。因此�,一定要注意如何配置和修改安全設備�����,以及誰能執行這些配置���。如果您準備通過Web瀏覽器訪問安全系統�����,則安全設備將運行Web服務器,并允許Web流量進出。這些流量加密了嗎�����?是否使用標準端口��?是否所有設備都使用相同的端口(因此入侵者很容易猜測)訪問是通過普通網絡連接(編內)還是獨立管理網絡連接(編外)?如果屬于編內連接��,則任何通過該接口發送流量的主機都可能攻擊該設備�。如果它在管理網絡上,至少你只需要擔心網絡上的其他設備�。(如果它配置為使用串口連接和KVM,則更加好����。)最佳場景如下:如果設備不能直接訪問���,則必須使用加密和多因子身份驗證來確保所有配置變化�。此外,還應密切跟蹤和控制設備管理的身份信息�����,以確保只有授權用戶才能獲得管理權限��。
三���,應用標準滲透測試工具����。
如果你采取了前兩步���,現在就有了一個很好的開始——但是工作還沒有完成��。黑客�、攻擊和威脅載體仍在增長和發展�����,你必須定期測試系統,以確保它們能夠抵抗發現的攻擊,除了修復漏洞。
那么���,攻擊和漏洞有什么區別呢?攻擊是一種專門攻破漏洞的有意行為。系統漏洞造成攻擊的可能性����,但攻擊的存在增加了其危害性——從理論到現實的漏洞暴露�����。
網絡安全設備是否容易受到攻擊,可以使用檢查滲透測試工具和服務�。一些開源工具和框架已經出現了很長時間���,包括NetworkMaper(Nmap)�、Nikto��、開放漏洞評估系統(OpenvulnerabilityAssssstem�、Openvas)和Metasploit���。當然,也有很多商業工具����,比如Mcafee(可以掃描軟件組件)和Qualys產品。
這些工具廣泛用于識別網絡設備處理網絡流量的端口���;記錄其對標準測試數據包的響應���;并通過使用Openvas和Metasploit來測試它面臨的一些常見攻擊漏洞(更多出現在商業版本中)����。
其他滲透測試工具主要關注Web服務器和應用程序����,如OWASPZedAttackProxy(ZAP)和Arachni����。通過使用標準工具和技術來確定安全設備的漏洞——例如,通過Web管理界面進行SQL注入攻擊�,您可以更清楚地了解如何保護網絡安全設備本身�����。
四�����,在部署網絡安全設備時的風險���。
沒有什么是完美的�,所以沒有系統是沒有漏洞的。在部署和配置新的網絡安全設備時,如果不采取適當的預防措施����,可能會給環境帶來風險�。采取正確措施保護設備,保護基礎設施的其他部分����,包括以下常見的預防措施:
修改默認密碼和帳號名�。
禁用不必要的服務和帳號。
確保底層操作系統和系統軟件按廠家要求更新。
限制管理網絡的管理接口訪問���;如果不能這樣做����,ACL應用于上游設備(交換機和路由器),以限制管理會話的來源���。由于攻擊也在進化�,滲透測試應定期檢查��。Openvas和Metasploit等工具應保持更新�,其可用攻擊庫也在穩步增長。
什么是基線�?制定一個普遍的保護策略只是開始����。為了保護設備和數據的無限增長�����,你需要三件事:一個普遍的保護策略���、實現策略的工具和技術���,以及政策和過程�,以確保這些工具和技術能夠達到最大的保護效果。所有的政策和過程不僅要考慮網絡安全設備本身(個人和整體)的漏洞��,還要考慮攻擊和威脅載體的不斷發展和變化。
以上信息來源于網上�,由廣州軒轅宏邁編輯��,如有侵權��,請聯系刪除���,如需了解更多網絡工程方案的�,可在線客服或者來電咨詢�����,廣州軒轅宏邁為您提供一站式網絡工程/安防監控工程/綜合布線工程/弱電智能化解決方案�����,期待您的咨詢與合作?�?��!
手機端網站