Cisco SIMS客户将Slammer病毒拒之门外
SIMS解决方案成功识别和跟踪SQL服务器蠕虫病毒
点击下载
攻击:
广泛感染的SQL服务器蠕虫病毒进一步强调了采纳Cisco
SIMS安全信息治理(SIM)解决方案的必要性。这种恶意Slammer蠕虫病毒是一种驻留在内存中的蠕虫,它可通过UDP Port 1434繁殖和传播,并可攻击SQL服务器系统以及配备Microsoft
SQL Desktop Engine (MSDE) Version 2000的系统中的漏洞。因为这种蠕虫是驻留在内存中的,所以就会非常快地发生缓冲区溢出,进而导致拒绝服务。
“我总是让Cisco
SIMS Event Viewer在我的NOC中随时保持运行,因此我能很轻易地注重到我们正经历异常活动,这也就不希奇了。我可以马上对Slammer病毒关闭端口。而这恰恰也是我希望Cisco
SIMS能做到的。”
Cellular South公司,Charles Watson II
CISCO SIMS解决方案:
内部Honeynet研究小组对Slammer病毒进行了两天跟踪,并通过SIM
Real-Time Desktop (实时桌面) 监控了该病毒的发展情况。图1简单描述了该病毒是如何企图攻击网络的。在Cisco SIMS控制台上(图2),来自Cisco
PIX、Cisco IDS和ISS网络检测器等多种不同被监控设备的事件通知操作人员有异常活动正在发生。针对这种新的多层次攻击,Cisco SIMS统计关联识别并捕捉了事件,并将这一IDS信息映射为“缓冲区溢出攻击”的高级威胁和所产生的防火墙响应“网络访问中断”。
在客户地点,也就是密西西比州杰克逊市的Cellular
South公司,Cisco SIMS系统对多设备事件进行了快速评估,从而使除网络主管人Charles Watson以外的任何其他人都注重不到这一Slammer病毒。Charles说:“我总是让Cisco
SIMS Event Viewer在我的NOC中随时保持运行,因此我能很轻易地注重到我们正经历异常活动,这也就不希奇了。我可以马上对Slammer病毒关闭端口。而这恰恰也是我希望Cisco
SIMS能做到的。”
CISCO SIMSTM
安全信息治理的领导者
图2
为了能快速而高效地对非标准数据进行捕捉和语法分析,Cisco
SIMS结合采用了java和xml来识别和分析这些数据以发现潜在的威胁和攻击次序。通过提供一种综合性关联方法,用户能同时采用统计输出和基于规则的输出来实时确定这些事件的性质。事件数据被呈现在多个视图和报告之中,系统还可实现全面而深入的分析和历史趋势观察功能。通过可扩展体系结构能捕捉到极大量的数据,还可毫无限制地实现数据治理的增长。
利用统计关联与基于规则的关联之间这一独特的组合,Cisco
SIMS系统可进一步确保Slammer病毒永远死亡而不会给网络造成威胁。捕捉后,Cisco SIMS系统的规则创建功能现在就能持续监控相同的次序并可马上表明在哪里有多少个事件正在发生。
作为具备互联网安全专业技术和知识的中心,CERT?
协调中心(CERT/CC)通过其网站:http://www.cert.org/advisories/CA-2003-04.Html提供了关于SQL服务器病毒的全部具体信息,包括关于其影响和补丁软件要求的具体情况。
