如何實(shí)現數據中心安全杜絕后門(mén)程序

　　因為多數攝像機正在通過(guò)網(wǎng)線(xiàn)實(shí)現監控畫(huà)面的網(wǎng)絡(luò )傳輸與存儲，所以網(wǎng)絡(luò )安全成為安防產(chǎn)品在產(chǎn)生視頻數據時(shí)非常敏感的話(huà)題。防范安防網(wǎng)絡(luò )設備遭受黑客攻擊，維護視頻數據及存儲中心的安全，成為市場(chǎng)及用戶(hù)新進(jìn)的技術(shù)需求。在這方面，或許IT網(wǎng)絡(luò )公司的案例可以給安防提供很好的借鑒效果。

　　瞻博網(wǎng)絡(luò )公司的安全由于2015年12月的安全漏洞(CVE-2015-7755，CVE-2015-7756)而受到影響。對于驗證的威脅，IT安全專(zhuān)業(yè)人士一直在關(guān)注很長(cháng)時(shí)間了。這種未經(jīng)授權的代碼或組件設計以某種方式回避安全組件，不知何故植入到數據中心使用的網(wǎng)絡(luò )產(chǎn)品。

　　至于安全公告是什么的聲明，意味著(zhù)，瞻博網(wǎng)絡(luò )公司德里克•紹爾表示，“在這個(gè)時(shí)候，我們還沒(méi)有收到這些漏洞被利用的任何報告;但是，我們強烈建議用戶(hù)更新他們的系統，并下載安裝最高優(yōu)先級應用補丁的版本。”

　　人們必須要知道，作為安全公告明確指出，“沒(méi)有辦法檢測到，這個(gè)漏洞被利用。”

　　后門(mén)程序使事情變得更糟

　　瞻博網(wǎng)絡(luò )公司迅速做出反應，并發(fā)出糾正更新。不過(guò)，其公告和發(fā)布修復為黑客們提供了攻擊的機會(huì )。當初，任何人都不知道其有后門(mén)，現在很多人知道了這一事實(shí)。其次，修補程序是其路線(xiàn)圖。荷蘭安全公司的首席技術(shù)官羅納德•普林斯表示，“一旦有人知道后門(mén)在哪里，就會(huì )去下載瞻博網(wǎng)絡(luò )發(fā)布的補丁，然后去尋找后門(mén)，可以使用屏幕OS軟件登錄到瞻博公司的每個(gè)設備。”而且從歷史記錄上看，瞻博網(wǎng)絡(luò )公司一些設備仍然沒(méi)有打補丁。

　　捕獲加密數據

　　普林斯提出另一個(gè)問(wèn)題。在這個(gè)大數據時(shí)代，這并是不合理的假設，一些懷有惡意的人或黑客可能對其目標長(cháng)期感興趣，已捕獲加密流量，并希望能夠有所突破。他表示，“如果其他國家的黑客從這些VPN設備截取VPN流量，他們將能夠追溯歷史，并對這種流量的內容進(jìn)行解密。”

　　其他供應商

　　如果有的話(huà)，其他的網(wǎng)絡(luò )廠(chǎng)商可能通過(guò)這些代碼查看瞻博網(wǎng)絡(luò )到底發(fā)生了什么事**。思科公司安全和信任組織的高級主管安東尼•格里科表示，思科公司的政策是不能有“后門(mén)”。

　　“思科推出了審查制度，因為客戶(hù)對我們的信任是至關(guān)重要的。我們沒(méi)有瞻博網(wǎng)絡(luò )公司那樣的公告發(fā)布，我們的審核是不回應任何外界請求。我們這樣做是因為這是正確的事情。”

　　Fortinet公司的工程師和質(zhì)量保證團隊成員也審查了他們的網(wǎng)絡(luò )產(chǎn)品。這樣做，他們發(fā)現了一個(gè)潛在的漏洞。Fortinet公司一名發(fā)言人指出，“該漏洞的設計，可能會(huì )提供在授權中注冊的FortiGate設備提供無(wú)縫訪(fǎng)問(wèn)的機會(huì )。要注意，這不是實(shí)施授予非授權用戶(hù)訪(fǎng)問(wèn)的惡意后門(mén)的情況下，它是重要的。在這一點(diǎn)上，是否確定犯罪嫌疑人采用植入程序進(jìn)入后門(mén)，并提供未經(jīng)授權的訪(fǎng)問(wèn)還為時(shí)尚早。然而，毫無(wú)疑問(wèn)，這些代碼確實(shí)有效果。”

　　還有什么選擇嗎？

　　至于可以什么做，專(zhuān)家們對如何減少后門(mén)侵入有一些想法。信息安全架構師約翰•丹•斯旺森建議，用戶(hù)要堅持進(jìn)行良好的補丁管理，以及實(shí)時(shí)更新代碼。“員工應定期監測，或自動(dòng)提醒采用用關(guān)鍵基礎設施供應商發(fā)出的安全警告和代碼更新。”斯旺森說(shuō)。“在關(guān)鍵的安全漏洞中，可能會(huì )有允許遠程代碼執行或未經(jīng)授權的訪(fǎng)問(wèn)，員工應安排和實(shí)施更新，盡快更新可用的代碼。”

　　斯旺森建議還可采取一些預防性的措施，而不是等待或完全依靠廠(chǎng)商的補丁來(lái)解決這個(gè)問(wèn)題。他建議，“關(guān)鍵基礎設施，如防火墻和交換機需要適當實(shí)施供應商以下的最佳實(shí)踐。旨在協(xié)助的實(shí)施指南通?？梢栽诠痰奈臋n中找到。”

　　這通常包括：

　　•禁用不必要的服務(wù)。

　　•使用強大的密碼，并刪除或禁用內置的管理員帳戶(hù)。

　　•啟用強大的加密管理連接和VPN服務(wù)。

　　•使用更安全監控協(xié)議(SNMPv3版本，而不是SNMPv1版本)。

　　•確保有效的SSL證書(shū)適用。

　　斯旺森從網(wǎng)絡(luò )的角度對安全問(wèn)題進(jìn)行了討論。管理訪(fǎng)問(wèn)應該可以通過(guò)SSL安全Web或SSH(遠程登錄應該被禁用)安全隔離的網(wǎng)絡(luò )專(zhuān)用帶外管理接口，而不是向公眾或其他內部用戶(hù)或設備訪(fǎng)問(wèn)接口。“此外，大多數的基礎設施將允許訪(fǎng)問(wèn)限制設置，只允許來(lái)自特定網(wǎng)絡(luò )或IP地址的管理訪(fǎng)問(wèn)。”斯旺森補充說(shuō)，“這一功能應該被用來(lái)允許只有授權的管理人員訪(fǎng)問(wèn)受信任的網(wǎng)絡(luò )的設備。

　　其他數據中心運營(yíng)商也可以實(shí)現，如果他們還沒(méi)有正在監測和審計的關(guān)鍵基礎設施的跡象，未經(jīng)授權或異常訪(fǎng)問(wèn)的話(huà)。“如果SIEM(安全信息和事件管理)或其他日志管理工具可支持報警，他們應該進(jìn)行配置，當意外登錄的行為并得到檢測，可以通知工作人員。”斯旺森說(shuō)。“雖然這不是一種預防措施，早期檢測未經(jīng)授權的訪(fǎng)問(wèn)，并迅速響應是減少入侵影響的關(guān)鍵。”

　　產(chǎn)銷(xiāo)監管鏈

　　企業(yè)需要他們的供應商進(jìn)行安全編碼實(shí)踐負責。如果供應商不能成為新的硬件評估和采購過(guò)程的一部分，這可能不是一個(gè)好主意，要求類(lèi)似于適用于在法庭使用的證據保管文件的可驗證鏈?斯旺森表示要注意以下幾個(gè)方面：

　　•是否代碼審查都定期最初的開(kāi)發(fā)和代碼的支持生命周期內進(jìn)行?

　　•是否有代碼審核或由受信任的第三方審計?

　　•是否使用強大的硬件，以及現代密碼標準所生成安全數字?

　　更多的考慮

　　而瞻博設備的后門(mén)代碼如何安裝的，很明顯，是有人把它放在那里。但是，至于是誰(shuí)，其可能猜測涉及公司內容的任何一個(gè)人。似乎有一件事可以作為提醒，木星網(wǎng)絡(luò )在代碼變更和版本控制時(shí)需要重新評估。其良好的變更和版本控制做法，會(huì )立即捕獲這種未經(jīng)授權的代碼修改的行為。

　　還有一件事，一旦其離開(kāi)組織的安全數據將變得更加困難。在某種意義上，瞻博VPN解密后門(mén)漏洞是最嚴重的類(lèi)型。數據中心運營(yíng)商在他們的組織內可能會(huì )堅持每一個(gè)最佳實(shí)踐，但數據流量仍然是脆弱的。

　　“這是一個(gè)很好的做法，以確保在應用程序中通信開(kāi)始時(shí)安全。”斯旺森表示，“除非迫不得已，人們不應該依賴(lài)VPN加密層。任何已經(jīng)通過(guò)SSH隧道或加密數據流量，通過(guò)IPSecVPN將不會(huì )被這種或類(lèi)似的漏洞完全解密。”

　　作為一個(gè)例子，這種類(lèi)型的VPN的一個(gè)常見(jiàn)用途是保護向異地備份數據流量的位置。許多企業(yè)備份解決方案中提供，在傳輸之前，將數據進(jìn)行加密備份的能力。這種分層的方法來(lái)加密是另一個(gè)例子，而其縱深防御的工作，應提供VPN解密攻擊的保護措施。

　　沒(méi)有確定的答案

　　雖然沒(méi)有任何組織可以完全防止類(lèi)似瞻博網(wǎng)絡(luò )的VPN解密的問(wèn)題，許多上述的做法還是有助于降低關(guān)鍵基礎設施的整體攻擊次數，從而減少硬件的成功妥協(xié)的可能性。這些措施也將有助于限制任何妥協(xié)的范圍，并可能減少妥協(xié)的響應時(shí)間。

　　其實(shí)在網(wǎng)絡(luò )的環(huán)境下，一切以代碼開(kāi)始的啟動(dòng)行為，必定伴隨著(zhù)中間不斷的攻擊行為，只要代碼是敲擊出來(lái)的，就有被攻破的可能。從這個(gè)層面上分析，如何應對安防網(wǎng)絡(luò )設備的安全措施，不僅要在編程代碼上下功夫，更要客戶(hù)自身有防范意識，多管齊下，確保視頻數據不被竊取。