现在的病毒攻击已经越来越变本加厉了。据估计,目前流行的病毒有10万种,每个月新产生的病毒几百种,平均每15封邮件中就有1封多的附件被感染。仅预防病毒软件已经不足以应付这种局面,我们需要一个全面的、积极的、自适应的安全威胁管理方法,它应该包括三方面要素:隔离(Isolate)――识别出正在进行的攻击;遏制(Contain)――防止安全威胁范围扩大;消灭(Extinguish)――用合适的补丁程序、杀毒工具等消除迫在眉睫的威胁,同时采取必要的行动,防止类似攻击再发生。
隔离(Isolate)
大多数安全问题都是由于各种安全技术之间互不联系造成的。它们之间往往是相互分离的,典型的例子是:一个防火墙发送了一条违反规则的警报,一个IDS检测到一个签名与一个攻击工具(一个后门特洛伊木马程序)相匹配,一个病毒程序也检测到了这个特洛伊木马程序。每个程序或者发出警报,或者在工作日志上记录下这些情况,但是却没有分析以上3种事件的关联性,因而也就没有发现,也许正有人试图控制服务器,而且已经在其中放入了特洛伊木马程序。
为什么会发生这样的事?因为有太多的系统安全警报和事件,主要的警报反而被忽略了。因此,准确隔离已存在的攻击,分析事件相关性,确定安全保护优先级和恰当的报警,这些绝对是必不可少的。系统一旦具备了智能性,才有可能评估哪个警报是关键性的。智能化安全保护将根据业务价值和业务优先级来设定和加强有关安全保护的政策和优先级,对关键业务的安全威胁必须给予最高的安全保护优先级,并将其迅速隔离。例如,涉及在线商店的问题与涉及内部培训系统的问题相比,前者可能给业务运行带来的风险要大得多。因此,当这两种路由器发生宕机时,不应该发出级别相同的警报,应该在检查每一个路由器时都要与业务背景相联系,并根据恰当的优先级发出警报。
遏制(Contain)
遏制有多种形式。例如,病毒可能而且也应该在PC一级用合适的防病毒软件捕获和隔离。但是,这至多是一种有限的防御方法。由于病毒的某些清晰可辨的个性特征,在网络的进入点遏制攻击将更有效。名为A的电子邮件附件携带的病毒应该由邮件服务器上的过滤器或相应网关检测出来,并立即被截住。为了防止带病毒的附件在公司内被打开,还有必要部署阻塞功能,将部门、服务器甚至个人计算机隔离开。以“Love Letter”这样的Visual Basic脚本病毒为例,面对这样的入侵,你可以通过网络迅速发布一个策略――在病毒爆发结束之前不要执行VB脚本程序。
在爆发点上迅速应用一系列政策就能实现有效的遏制。当然,此前应该制订好灾难恢复计划。这样,一旦检测到IP攻击,就可以隔离部分网络或改变网络交换机的规则,从而阻止数据包的进入。一个更彻底的遏制方法是部署一个“蜜罐”,用来收集攻击者留下的证据的自我牺牲型服务器。一旦检测到入侵,你就可以将攻击指向与系统的其余部分隔离的“蜜罐”服务器上。如果你要扭转被动挨打的局面并对那些实施攻击的人提起诉讼,这种方法尤其有用。
消灭(Extinguish)
如果要彻底消灭一个攻击,我们就必须完成一些具体的工作。例如,如果是病毒,你必须解毒,并使用修补程序进行修补,去掉病毒丢下或安装的程序组件。恰当的做法是,清理干净所有受到病毒影响的部分,以保持系统的完整性,同时消除这个威胁或类似威胁再次发生的可能性。例如Klez蠕虫,仅将文件解毒是不够的,还要保证去掉所有的更小的病毒元素。否则,它一旦复活,会造成更大的损失。一旦病毒进入系统,就需要从头建立或启用一个可信任的备份恢复系统。
在目前的环境中,企业安全不再仅涉及独立的防病毒软件或入侵检测系统,它需要一个隔离、遏制和消灭安全威胁的全面集成的方法。例如,CA的eTrust在管理内部和外部安全威胁时就采用这种ICE的方法,还使用相关智能技术预见性地防御潜在的安全威胁。
有效的威胁管理必须做好对付上述任一或所有攻击的准备才是有效的,但是还不止这些,威胁管理还必须实现3个目标:降低风险、降低保护成本和简化企业部署过程。这些目标只能通过积极的和自适应的威胁管理方法来实现,而且这种管理是以协调一致和智能化方式来隔离、遏制和消灭安全威胁的。
