网络安全防护的新时代:用户、SI、设备制造商都要做什么?

本文来自于《控制工程中文版》(CONTROL ENGINEERING China )2016年11/12月合刊杂志,原标题为:网络安全防护的新时代

请注意由后门程序引发的网络安全攻击。我们似乎正在进入这样一个时代:黑客们在软件中精心设计漏洞,并仔细隐藏起来,只要他们愿意,随时可以利用这些漏洞发起攻击。最终用户、系统集成商和设备制造商需要做适当的准备,以便应对新的安全挑战。

软件工程师正努力完成主要的代码块,但他的老板却要砍掉相当一大部分内容,其中包括一些从网络上下载的开源程序。替换这些程序将增加项目开发时间。他跑到老板办公室恳求:“我需要在系统中使用这些软件!”

“你不能使用它。它是开源的,不可靠。”老板说道。

工程师点点头,对老板的回答早有所料。“是的,它是开源的,来自网络,但我们有使用经验。我已经和软件工程师交流过,他们会逐行审查源代码和目标代码。”

老板抬头,看了看角落里的多年服务奖,坚定的说:“你永远不能确定,程序里没有瑕疵。”

上述简短场景,听起来有点像悬疑电影,但鉴于近年发生的安全事件,在网络安全领域里,这些情况可能是非常真实的。大多数人认为:软件就是做那些“在大部分时间里按照期望做事的东西”,因此有时会忽视潜在的危险。

正在为设备和工业系统写代码的软件工程师,不希望做重复性的工作。如果有人已经为某项任务编写了可用的代码,那么他们就不想再重新写一次。他们宁愿从网上下载免费软件和开源代码,以便节省时间。或者,他们可以从早期有据可查的产品中提取已有代码。将所有这一切组合起来,安装到新装置中。只要它能够按照预期执行任务,没有人想知道或关心它来自何处。

相当长一段时间,都是这么做的,但现在这一切正在发生变化。由于很多黑客和网络犯罪分子都在刷存在感,因此网络安全领域正变得越来越混乱。黑客及其所作所为,所反应的技能水平千差万别。有些比较笨拙,非常容易被发现。而另外一些则更为隐蔽,只有最有名的网络安全专家才能探测到。

尽管工程师精简项目的初衷是好的,但老板说的也没错:不安全的代码可能会潜伏在这些软件中。有时可以发现和并将其清除,但最近的网络安全泄露案例表明这种威胁可以被很好的伪装起来。

1
后门程序攻击

2015年12月,Ars Technica发表了一份令人震惊的报告:12月17日,瞻博网络发出紧急安全公告:在一些公司的NetScreen防火墙和安全服务网关(SSG)的操作系统(OS)中,发现了“未经授权的代码”。该报告说,商家针对该漏洞发布了紧急补丁包,以便修补受影响的设备操作系统,网络安全专家确认未经授权的代码就是后门程序。

网络安全专家确认,被用于逃避正常认证的管理员密码是“<<< %s(un=’%s’) = %u.” 调查这堆乱码的安全研究人员认为,它可能是软件源代码文件中出现的调试或测试代码。据此可以得出两个结论:

1、故意设置未经授权的后门。

2、专门为逃避检测而精心设计。

我们似乎正在进入这样一个时代:黑客在软件中精心设计漏洞,并仔细隐藏起来。知道这些隐藏代码功能的攻击者,只要他们愿意,随时可以利用这些漏洞。最终用户、系统集成商和设备制造商需要做适当的准备,以便应对新的安全挑战。

2
要做什么:最终用户

审查装置补丁状态。很明显,任何组织要做的第一件事,就是开始评估整个组织范围内的网络,以便确定漏洞或潜在易受攻击的网络设备。 不仅是瞻博网络硬件,还有其它网络设备供应商都应做此审查。首先假设所有供应商提供的设备都是不安全的。

尝试为所有网络设备打补丁。评估之后,应给所有适用设备,甚至是经事先批准的非瞻博设备都打上补丁。步骤有二:一是确定哪些设备用于特别关键领域(如工业控制系统),二是识别那些因使用时间太久而需要更新的设备。

创建风险矩阵。前两个步骤所得到的信息,可以帮助确定攻击面。该矩阵应该有两个轴:第一是打补丁功能,从由于时间久远导致无法打补丁,到由于供应商的合作而非常容易打补丁。第二个是功能重要性,从高关键性(需要24 / 7运行的工业网络)到低关键性(办公室分支的小网关)。在关键运行环境中不能打补丁的设备应被更换。遵循这种分析,将帮助您的组织,在其它网络设备被黑客攻破等这类不可避免的事件中,领先一步。

制定计划,改变你的攻击面漏洞。矩阵应指导修补计划的制定。有了这些信息,安全人员可以提供一个基于百分比的指标,显示由于新网络环节漏洞的出现所带来的风险。在最坏情况发生时,矩阵也可以提供一个好的行动计划:新的网络漏洞被及时发现。

增加网络和配置监控。如果一个组织正在使用Snort,FoxIT已经具有入侵检测签名来检测这种攻击。应在组织范围内,将所有网络设备的配置置于控制之下。定期安全审计,不仅要验证网络设备的配置,还应通过测试流量模式评估实际的网络配置。

3
要做什么:系统集成商

检查实验室设备补丁状态和实施指南。提供网络设备的系统集成商,应为任何实验室系统打补丁,然后更新实施指南,以反映网络设备配置的变化。例如,对于瞻博设备,在进行固件更新时,有代码签名步骤。当其它网络设备供应商被发现有类似问题时, 实施人员应做相应准备。

图表基于可实现性以及关键程度高低,介绍了什么时候需要给安全网络打补丁。图片来源:横河   

尝试为所有网络设备打补丁。系统集成商应与它们的客户和最终用户一起,尽快为所有设备打补丁。也应该坦率的与客户讨论,解释新一代攻击的危害,强调长期为更多补丁和监测做准备的重要性。将其视为另一种Stuxnet类型的事件,并不十分夸张。

系统集成商可以提供解决方案和服务,以增加设备监控。系统集成商应做适当的引导,通知客户新的威胁,并提供解决方案和服务,以增加对安全和网络设备的监控。这也有助于促使客户考虑旨在确定网络配置控制和网络补丁管理层次的服务。

4
要做什么:设备制造商

审查开发和实验室设备补丁的状态。设备制造商(包括工业控制设备制造商)应立即修补任何开发和实验室系统。应更新安全策略和程序,以反映网络设备配置的更改,并加强对迁移到开发环境中的设备及软件的控制。

重新审视开发实验室和办公网络架构。在开发网络连接到其它网络的方式上面,设备制造商需更加谨慎。瞻博可能会花费很多的资源,来找出出现在其设备软件上的后门。你也可以相信,瞻博将投资更多的开发配置控制软件,并反思其开发网络的安全性能,以便加入更多的审计和监控。

作者:Jeff Melrose

(0)

相关推荐

  • 网络安全的 10 个步骤之架构和配置

    安全地设计.构建.维护和管理系统. 技术和网络安全格局在不断发展.为了解决这个问题,组织需要确保从一开始就将良好的网络安全融入到他们的系统和服务中,并且这些系统和服务可以得到维护和更新,以有效地适应新 ...

  • 微软谷歌联合英特尔发现漏洞新变种,安全补丁已在制作中

    转眼已经快要到年中,年初的熔断.幽灵漏洞事件可能已经逐渐被遗忘,不过昨天微软.谷歌联合英特尔共同宣布发现基于相同原理的新漏洞变种(Variant 4),这对于原本已经逐渐平和的湖水无异于深水炸弹.大家 ...

  • ​戈军珍:新时代下,厂家该对经销商做点什么

    珍谋钧略 ▏专注农牧行业  ▏营销系统整体解决方案专家  ▏助力企业营销价值再造  不久前,应一家企业的邀请,给他们销售团队做培训.他们希望我讲一讲关于厂商合作的话题,目的是希望企业从管理层到销售人员 ...

  • WiFi6新时代,网络安全防护不容忽视!

    随着新技术的不断发展和时代的持续进步,广大网民对网络速率和带宽的要求逐渐变得越来越高.无论是蜂窝移动网络,还是WiFi网络,这对曾经一起仗剑走江湖的两大高手,都逐渐地提升了自己的业务能力.20多年以来 ...

  • ​营销新时代,如何经营用户,盘活流量?

    当前整体营销环境已经内卷到难以想象地步,以拼多多为例,平均拉新成本已经增加到了将近300元.线下竞争更加激励,单客的营销成本已经占据了单笔消费的至少20%. 为什么营销成本如此高昂,并且长期居高不下, ...

  • 奥克斯推空调新品牌华蒜,以极致致敬Z时代用户极简生活方式

    连日来,全国多地大面积的高温直接刺激空调市场的放量上涨,此时在全面白热化的空调市场竞争中,将品质更优.价格更优的高性比价产品快速推到用户面前,仍是快速占领年轻主流消费群体的关键所在,也是破圈打通年轻消 ...

  • 汉兰达革新营销全流程数字化 广汽丰田构建用户中心新时代

    IAUTO 速度 深度 态度 导|语 2021/08/13 以用户至上的姿态,开启主流车企面向新时代的体系化征程,这不仅是广汽丰田汉兰达的销售创新,更是一个主流车企,构建"用户中心时代&qu ...

  • 陈纯:网络安全将进入实时智能攻防新时代

    "大数据的价值不仅仅体现在'大'上,与普通数据相比,它最大特点是带有时间戳." 陈纯 浙江大学教授.中国工程院院士 什么是时序大数据? 大数据时代的到来使得领域和行业边界愈加模糊, ...

  • 响铃:制造流程大翻天,海尔开启以用户为中心的智造新时代

    "工业4.0"的浪潮滚滚而来,作为过去近百年一直大规模制造的工业品,家电如何满足个性化需求下的大规模定制,已是一道世界性的课题.就在此时,9月21日,海尔"智慧物联 社群 ...

  • 新时代书画代表人物——王进贤

    王进贤,男,1947年生于山东省临沂市兰山区,现为山东省书协会员.兰山区老年书画研究会西城分会秘书长.自幼酷爱书法,以二王笔帖为主兼学赵体,擅长行书.行草,和儿子王守乾(中书协会员)互相学习研究.深知 ...

  • 新时代书画代表人物——杨茗媛

    杨茗媛(原名杨艳玲)定居北京.国家一级美术师.当代杰出艺术家.人民艺术家.德艺双馨著名艺术家.书画传承人物.中国好品牌著名书画家. 1969年出生,祖籍黑龙江.自幼绘画,常临学习古代名家大作,书法绘画 ...