本节书摘来自异步社区《请君入瓮——APT攻防指南之兵不厌诈》一书中的第8章8.3节基于网络的工具,作者【美】Sean Bodmer , Max Kilger , Gregory Carpenter , Jade Jones,更多章节内容可以访问云栖社区“异步社区”公众号查看。
8.3 基于网络的工具
请君入瓮——APT攻防指南之兵不厌诈
基于网络的工具是两个安全重点关注领域中较为有趣的一类,也是最具可操作性的工具。过去的10年间,犯罪软件不断发展,每天都如海啸一般涌向全球网民。
有两种有效的基于网络的工具:
防火墙;
入侵检测系统(IDS)和入侵防御系统(IPS)。
8.3.1 防火墙
防火墙是最早被开发的网络安全技术之一,用以保护接入网络的组织和网络节点。防火墙可能是最后一道安全防线,这取决于网络设置。隔离区(DMZ)和路由器会先于防火墙发现恶意流量。
近年来,这类技术不断发展,并演变为多种价格不菲的安全系统,其价格取决于生产厂商。尽管如此,犯罪分子还是可以穿过防火墙,自由进出您的网络。为了阻止某些特定威胁,防火墙必须知道检测对象或具备预先定义的访问控制表。对于多数高级网络威胁而言,根本没有这类资料,所以很难提前做好防御准备。
如今,大多数的防火墙都可以识别并确认企业内部存在的主动威胁。如果进行适当配置,防火墙可以提供关于全部流经数据的更多信息。但需牢记,防火墙与其他人工设置的策略、规则和配置并无区别。另外,不要忘记监控隔离区和路由器系统的状态和日志,因为它们可以提供馈入防火墙规则集所需的更多信息。
引人思考
下列注意事项有助于提升防火墙的防护能力。
初期准备花些力气。在得到出入网络的基线流量之前,您会遇到很多误报。
不必重复发明轮子。互联网上有现成的防火墙规则,这些规则是由那些与您遇到同样挑战的人创建的。另外,您所选用的防火墙很可能已经预置了厂商提供的有效规则,也许很容易修改。
提供不同层次保护。您希望将您的防火墙定位于网络层(直接的TCP/IP流量)还是应用层(进出数据库系统的流量)?
8.3.2 入侵检测/防御系统
入侵检测/防御系统的开发始于20世纪90年代后期,用于检测恶意网络行为。入侵检测系统(IDS)是一种置于网络的探头设备,它负责检测网络进、出流量。一旦发现任何异常流量,它会及时向管理员报警。入侵防御系统(IPS)也是一种探头设备,它能够自动对异常事件做出响应,阻止恶意流量进、出网络。
这些系统与过去几年相比都有了显著改进,不过,若想跟上当前恶意软件的发布速度,仍要面临诸多挑战。这类系统或许不能阻止目前所面临的高级威胁,但却是较好的报警异常行为的系统。
引人思考
使用入侵检测系统(IDS)和入侵防御系统(IPS)时,需注意以下事项。
您想让系统做什么?您是需要一个在发生入侵行为时向您报警的系统,还是更需要一个能够做出响应并阻止入侵行为的系统?
您需要哪类系统?您需要的是基于已知恶意特征的系统,还是能够适应环境并检测异常行为的系统?或者两者都需要?
您的网络配置得当吗?监视网络全部进、出流量的瓶颈在哪里?
本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。
