下一代防火墻：二、定義應(yīng)用和威脅環(huán)境

　　今天使用的網(wǎng)絡(luò)安全相對簡單–把一切東西都分成好與壞–或者說非白即黑。釋放良好的應(yīng)用，阻止不好的應(yīng)用。

　　這種方法產(chǎn)生了很多問題，包括了以下情況：

　　?越來越多的“灰色” – 把應(yīng)用類型分為好與壞不是一項容易的工作;

　　?很多情況越來越難回避;

　　?今天網(wǎng)絡(luò)犯罪分子和威脅開發(fā)者成為主要力量。

　　本部分探討應(yīng)用進化和威脅環(huán)境，用戶應(yīng)用和業(yè)務(wù)應(yīng)用之間的差別日益模糊，以及當(dāng)今業(yè)務(wù)針對這些應(yīng)用(以及相關(guān)的風(fēng)險)的策略。

　　應(yīng)用不是非好即壞

　　在過去的十年中，企業(yè)的應(yīng)用環(huán)境發(fā)生了巨大的變化。企業(yè)生產(chǎn)力應(yīng)用已經(jīng)加入了過多的個人和面向消費者的應(yīng)用。企業(yè)基礎(chǔ)設(shè)施和個人技術(shù)的融合正被一種稱為消費化的趨勢所推動，根據(jù)加特納公司(Gartner)的報告，這個趨勢將在2015年顯著影響IT行業(yè)。

　　隨著消費化過程的出現(xiàn)，用戶越來越發(fā)現(xiàn)：比起企業(yè)的IT解決方案，個人技術(shù)和更強大、更能干、更方便、更便宜、安裝更快的應(yīng)用更容易使用。這些以用戶為中心的“生活方式”應(yīng)用和技術(shù)使他們在處理工作事務(wù)、非工作事務(wù)、保持在線和其他事情都提高了效率。常見的例子如：谷歌文檔(Google Doc)、即時消息(IM)和Web電子郵件。企業(yè)2.0應(yīng)用展現(xiàn)了企業(yè)和個人應(yīng)用之間傳統(tǒng)化分的消失。更多的情況是，社交應(yīng)用與工作應(yīng)用使用了相同的應(yīng)用。隨著工作和個人生活之間的界限日益模糊，用戶實際上都需要把這些相同的工具用于他們的工作場所。

　　為了迎合這種需求，供應(yīng)商和開發(fā)者都高興享受這種規(guī)模經(jīng)濟和營銷收益。銷售模式變成了為成千上萬個人用戶小批量銷售，而不是為幾個屈指可數(shù)的企業(yè)客戶大量銷售。

　　?縮短購買周期 -- 購買是個人的選擇，而不是公司的決定;

　　?著眼于功能和易用，而不是標(biāo)準(zhǔn)和互操作;

　　?基于大規(guī)模和馬上的用戶反饋，持續(xù)和迅速改進產(chǎn)品。

　　用戶正在推動公司采用企業(yè)2.0應(yīng)用，而不是由IT部門推動。容易使用符合今天知識型員工的習(xí)慣，順應(yīng)了消費化的趨勢。按照應(yīng)用百科()的定義：企業(yè)2.0應(yīng)用是“一種基于Web技術(shù)的系統(tǒng)，在企業(yè)的發(fā)展中，能夠提供快速靈活的協(xié)作，信息共享，不斷增長的集成能力”，企業(yè)2.0應(yīng)用的風(fēng)暴已經(jīng)席卷全球。最開始的幾個應(yīng)用大多集中在搜索、鏈接和標(biāo)簽，現(xiàn)在迅速轉(zhuǎn)移到創(chuàng)作、連網(wǎng)和共享等一大波應(yīng)用。

　　第一代企業(yè)2.0應(yīng)用的例子包括：

　　?維基百科，例如Socialtext;

　　?博客工具，如Blogger;

　　?RSS工具，如NewsGator;

　　?企業(yè)書簽和標(biāo)記工具，如Cogenz;

　　?消息工具，如AOL的即時信使(AIM)。

　　第二代企業(yè)2.0應(yīng)用的例子包括：

　　?內(nèi)容管理工具，如SharePoint;

　　?基于瀏覽器的文件共享工具，如;

　　?復(fù)雜的社交網(wǎng)絡(luò)，如臉譜(Facebook);

　　?出版工具，如YouTube;

　　?統(tǒng)一消息工具，如Skype;

　　?發(fā)布工具，如推特(Twitter)和社交書簽。

　　如何使這些應(yīng)用能推動創(chuàng)新和獲得增值，需要考慮下面的內(nèi)容(基于對世界范圍內(nèi)347個企業(yè)的分析)：

　　?從2008年4月開始以來不到18個月的時間，在內(nèi)企業(yè)的Facebook聊天已經(jīng)超越了雅虎的IM和AIM，這進一步表明企業(yè)2.0應(yīng)用比企業(yè)1.0應(yīng)用更加火爆;

　　?從2009年3月和2009年9月之間，谷歌文檔的企業(yè)普及率從33%提高到82%;

　　?同一時期，企業(yè)Twitter的使用，在會話上躍升了252%，在帶寬上躍升了775%。

　　因為不知道在業(yè)務(wù)中如何利用消費化的趨勢，許多企業(yè)要么隱含地讓這些個人技術(shù)和企業(yè)2.0應(yīng)用在工作場所使用，要么明確地禁止，而傳統(tǒng)的防火墻和安全技術(shù)無法有效地執(zhí)行這樣的策略。這兩種方式都不理想，并且兩者都對企業(yè)存在風(fēng)險。除了生產(chǎn)上的損失，不利的問題還包括：

　　?創(chuàng)建反向通道或地下工作流程對企業(yè)運營是至關(guān)重要的亞文化，但只有很少的用戶能認(rèn)識到，完全依靠個人技術(shù)和應(yīng)用。

　　?對整個網(wǎng)絡(luò)和計算基礎(chǔ)設(shè)施引入了新的風(fēng)險，由于未知的存在，因此沒辦法識別、打補丁、修補漏洞，以及對正常應(yīng)用和用戶行為的威脅--在這些應(yīng)用中是否存在漏洞。

　　?使企業(yè)暴露在違約處罰的環(huán)境下，因為企業(yè)這時沒有符合法規(guī)的要求，如HIPAA，F(xiàn)INRA和PCI DSS。

　　?有些員工使用外部代理、加密隧道、以及遠程桌面應(yīng)用規(guī)避管制，使得它很難被發(fā)現(xiàn)，如果可能，安全和風(fēng)險管理人員應(yīng)能夠看到他們試圖管理的風(fēng)險。

　　挑戰(zhàn)不僅在于應(yīng)用的日益多樣化，而且還無法清楚地把他們分成好或壞。盡管有好的一面(低風(fēng)險，高回報)，也有壞的一面(高風(fēng)險，低回報)，而大多數(shù)則是介于兩者之間。而且，這些應(yīng)用落入的光譜端，場景有所變化，從這個位置到下個位置，從這個用戶到那個用戶，從這個會話到那個會話。

　　例如，使用社交網(wǎng)絡(luò)應(yīng)用與潛在客戶共享產(chǎn)品文檔應(yīng)是“好”的一面(中等風(fēng)險，高回報)，而使用相同應(yīng)用轉(zhuǎn)發(fā)即將發(fā)布的詳細信息到“好友列表”，包括競爭對手就是“不太好”的一面(高風(fēng)險，無回報)。

　　事實上，許多企業(yè)現(xiàn)在使用的各種社交網(wǎng)絡(luò)應(yīng)用，支持多種合法的業(yè)務(wù)功能，如招聘、研發(fā)、市場營銷和客戶支持-- 許多甚至允許生活方式的應(yīng)用，在一定程度上，用此來提供一種“員工友好”的工作環(huán)境，提高士氣。

　　來自麥肯錫(McKinsey)公司和信息和圖像管理(AIIM)協(xié)會的研究表明，企業(yè)正在從企業(yè)2.0應(yīng)用的使用中看到可測量的收益。具體的收益有：共享思想增加的能力、更快獲得專家的知識，減少了出差、操作和通訊費用。例如，你現(xiàn)在可以在臉譜上的達美(Delta)航空頁面預(yù)訂機票!

　　因此，今天的網(wǎng)絡(luò)安全解決方案，必須不僅能區(qū)分應(yīng)用類型，還要考慮使用的上下文變量，適當(dāng)改變采取的最終動作。

　　應(yīng)用規(guī)避

　　“區(qū)分不同類型應(yīng)用”聽起來簡單，但由于許多原因，實際上實現(xiàn)起來不簡單。為了最大化他們的使用，很多應(yīng)用從設(shè)計開始就規(guī)避傳統(tǒng)的防火墻，通過動態(tài)調(diào)整實現(xiàn)他們通信。對于最終用戶，這意味著應(yīng)用可以在任何地方、任何時間使用。常見的手法包括：

　　?跳端口，會話過程的端口/協(xié)議隨機轉(zhuǎn)移;

　　?使用非標(biāo)準(zhǔn)端口，如用TCP 80號端口(HTTP)運行Yahoo! Messenger，而不是用Yahoo! Messenger的標(biāo)準(zhǔn)TCP端口(5050);

　　?常用服務(wù)內(nèi)的隧道，例如，當(dāng)對等(P2P)文件共享或即時消息(IM)時，客戶端就像Meebo運行在HTTP上;

　　?隱藏在SSL加密中，掩蓋了應(yīng)用的流量，例如，通過TCP端口443(HTTPS)。

　　在帕洛阿爾托網(wǎng)絡(luò)2010年的應(yīng)用使用與風(fēng)險報告中說：分析了741個獨特應(yīng)用后，65%使用了上述技術(shù)。圖2-1顯示了使用訪問“特性”應(yīng)用在過去18個月的增長。

　　許多標(biāo)準(zhǔn)的客戶端-- 服務(wù)器應(yīng)用按照Web技術(shù)的優(yōu)勢重新進行設(shè)計。圖2-1顯示，報告中分析了以訪問為重點的應(yīng)用30%(149)基于客戶端-- 服務(wù)器，這一事實與“訪問”應(yīng)用總是使用瀏覽器的觀念相矛盾。與此同時，企業(yè)越來越多地使用基于云的Web服務(wù)，如、WebEx和谷歌App -- 這通常從瀏覽器開始，但現(xiàn)在更多地切換到客戶端-- 服務(wù)器行為(富客戶端、專有交易和其它)。

　　圖2-1：具有訪問“特性”應(yīng)用的增長。

　　最后，許多新業(yè)務(wù)應(yīng)用也使用這些相同的技術(shù)，這樣易于操作，同時，為客戶、合作伙伴和企業(yè)的自身安全和運營部門造成的干擾最小。例如，遠程過程調(diào)用(RPC)和共享點(SharePoint)使用跳端口技術(shù)，因為這對實現(xiàn)協(xié)議或應(yīng)用(分別)功能是至關(guān)重要的，而不是作為逃避檢測或增強訪問的手段。

　　另外強調(diào)的是，許多應(yīng)用不是他們看上去的那樣，最常見的跳端口應(yīng)用是企業(yè)和個人使用應(yīng)用的組合(見圖2-2)。其中，只有三個應(yīng)用基于瀏覽器(SharePoint,、MediaFire和Ooyla);其余為對等或客戶端-- 服務(wù)器應(yīng)用。

　　圖2-2：最常檢測到的跳端口應(yīng)用。

　　結(jié)果是HTTP和HTTPS現(xiàn)在大約占企業(yè)流量的三分之二。這本身不是問題，但確實放大了傳統(tǒng)安全基礎(chǔ)設(shè)施的弱點。具體來說，各種高端應(yīng)用運行在HTTP和HTTPS之上-- 無論他們是否真正服務(wù)于合法的商業(yè)目的-- 實際上與舊的網(wǎng)絡(luò)安全解決方案沒有區(qū)別。這對組織的負(fù)面影響是明顯的，他們進一步對失去對網(wǎng)絡(luò)通信的控制，要強調(diào)的事實是：應(yīng)用環(huán)境已經(jīng)顯箸地進化了。

　　威脅乘虛而來

　　應(yīng)用層攻擊的日益普及是一個令人不安的趨勢。針對應(yīng)用的威脅可以用正確的路徑通過多數(shù)企業(yè)防御，這是歷史上已建成的網(wǎng)絡(luò)層保護。威脅開發(fā)者利用相同的方法(上部分描述的)來滲入網(wǎng)絡(luò)，而應(yīng)用開發(fā)者利用應(yīng)用的易用性和廣泛性，諸如在應(yīng)用中的隧道。逃避技術(shù)內(nèi)置在這些和許多現(xiàn)代應(yīng)用中，利用其提供的“免費通行”，把威脅帶入企業(yè)網(wǎng)絡(luò)。這毫不奇怪，超過80%的新惡意件在入侵時利用了應(yīng)用的弱點，如針對網(wǎng)絡(luò)組件和服務(wù)的弱點。加上用戶在他們應(yīng)用中放置了隱含信任，所有這些因素結(jié)合起來，創(chuàng)造了一個“完美風(fēng)暴”。黑客的動機也已經(jīng)轉(zhuǎn)移-- 從獲得名聲到為了賺錢。今天比賽的內(nèi)容是信息竊取。因此，它不再是黑客按興趣設(shè)計的威脅或“噪音”，是相對良性的。為了取得成功，小偷一定要快，或者隱身-- 或兩者兼而有之。

　　對于那些喜歡速度超過詭辯的黑客-- 初始威脅生成的速度、修正的速度和傳播的速度-- 目的就是在一個新漏洞披露時，立即開發(fā)、推出并迅速傳播新威脅。由此產(chǎn)生的零日和近零日攻擊，然后增加了成功的可能性，這是因為反應(yīng)的對策，如修補和依賴威脅特征的工具(如防病毒軟件和入侵防護)，都無法及時跟進-- 至少在新攻擊的早期階段。

　　這種基于速度方法的很大一部分是通過威脅開發(fā)網(wǎng)站、工具包和框架而普及推廣的。不幸的是，這些資源的另一個副產(chǎn)品是很容易且快速地把“已知”威脅轉(zhuǎn)換成“未知”威脅–至少從基于簽名對策的觀點是這樣的。這種轉(zhuǎn)換可以對威脅代碼的一個小調(diào)整，或添加全新的傳播和利用機制來完成，從而創(chuàng)建了通常被稱為的混合威脅。

　　今天的許多威脅是建立在網(wǎng)絡(luò)和系統(tǒng)上，暗中運行，悄悄收集敏感信息或個人資料，并盡可能不被發(fā)現(xiàn)。這種方法有助于維持竊取有價值的數(shù)據(jù)，并能重復(fù)使用相同的漏洞和攻擊向量。其結(jié)果是，威脅已經(jīng)變得越來越復(fù)雜。例如，根工具(rootkit)已經(jīng)變得更加普遍。這些內(nèi)核級漏洞能有效屏蔽其他類型惡意軟件的存在，使它們能夠持久地保證惡毒任務(wù)的完成(例如攔截?fù)翩I)。

　　針對特定組織或個人有針對性攻擊和高級的持續(xù)威脅(APT)，如“極光(Aurora)”，是另一個大問題。在這種情況下，黑客經(jīng)常開發(fā)定制的攻擊機制，利用特定設(shè)備、系統(tǒng)、應(yīng)用、配置、甚至在一個特定組織或特定地點的人員，長時間悄悄地收集敏感數(shù)據(jù)。根據(jù)威瑞森(Verizon)公司2010年的數(shù)據(jù)泄露調(diào)查報告：70%的數(shù)據(jù)泄露來自外部因素。

　　威脅的速度和復(fù)雜性增長強調(diào)了有必要在網(wǎng)絡(luò)計算堆棧的應(yīng)用層采取廣泛可見與控制的主動對策。