摘要:互联网安全正处于危机中。本文中,我们将为您提供四项切实可行的解决方案建议——包括一套自上而下的改变互联网运作的全方位的计划。
现如今,互联网可以说是无处不在。从我们手中的各种移动设备到我们工作所使用的电脑的互联,我们无时无刻不是生活和工作在其中的。但不幸的是,我们在线工作生活在安全保障方面并不充分。任何坚定的黑客都可以窃听到我们说过什么,并通过模仿冒充我们,执行各种网络恶意活动。
很显然,我们对于互联网的安全亟待需要进行反思了。而通过对全球通信平台进行翻新改造,来加装安全和隐私控制的确是不容易的,但却很少有人会否认这是绝对必要的。
为什么要这样做?是我们的互联网建设得不好吗?然而并不是,仅仅只是因为互联网是专为一个乌托邦的世界而设计建造的,在这样一个乌托邦的世界里面,您可以信任任何人。当互联网的发展刚刚起步时,其往往被用学术界和研究人员等可信方之间进行的沟通,彼时,未实施很好的信任关系或者通信不安全并不重要。但到了今天,互联网的安全已经很重要了,其会涉及到数据泄露,用户身份被盗窃,以及其他一些网络安全事故,并且已经达到了相当危机令人堪忧的地步了。
而企业组织为了应对当前的互联网形势、及网络罪犯分子所带来的各种挑战,往往采取了一系列的企业网络安全管理措施,但他们所采取的管理措施往往是各种不完全措施的拼凑和大杂烩,故而在实际运作中也不怎么奏效。企业组织所真正需要的是新型的、有效的信任和安全管理机制。
如下,是几点或将有助于您企业组织打造一套安全有效的企业互联网安全管理措施的建议。这些建议都不是一套完整的解决方案,但如果能够在您所在的企业组织获得充分的部署实施的话,相信每一条建议都可以让您企业的互联网变得更安全。
1、获得对于流量路由的真正了解
国际互联网协会(Internet Society,简称ISOC),是一家国际性的非盈利性组织,该组织机构专注于互联网标准、教育和政策,推出了一项名为MANRS的倡议(即,路由安全性的相互商定规范,Mutually Agreed Norms for Routing Security)。基于MANRS的倡议,网络运营商会员——主要的互联网服务提供商(ISP)们将致力于实现互联网安全控制,以确保不正确的路由器信息不会通过其网络进行传播。该倡议是基于现有行业的最佳实践方案,包括定义明确的路由策略、源地址验证、并部署反欺骗过滤器。在工作中遵循一套“当前最佳操作实践方法”文档。
“每一家签署了MANRS倡议的ISP都从自身的网络方面大大减少了互联网危险。”,Micro Focus公司安全战略高级总监杰夫·韦伯表示说。
其网络101:数据包必须到达其预定的目的地,而数据包是通过怎样的路径达到该预定目的地的也同样十分重要。例如,如果加拿大的某个用户正在试图访问Facebook,那么他或她的通信流量在到达Facebook的服务器之前,不应该经过中国。近日,一个IP地址属于美国的海军陆战队的流量被临时改道通过了委内瑞拉的一家ISP。如果网站的流量没有获得HTTPS保护,这些在意想不到的任何路径的绕道会将用户活动的细节暴露给任何人。
网络攻击者还会借助简单的路由技巧来隐藏他们原始的网络IP地址。广泛实施的用户数据报协议(UDP)特别容易受到源地址欺骗,让攻击者发送似乎来自另一个IP地址的数据包。 分布式拒绝服务攻击和其他恶意攻击很难被发现追查到,因为攻击者发送请求是采用的欺骗性的地址,并且转至伪造的地址,而不是实际的起始地址,进行响应。
当网络攻击是针对基于UDP的服务器,如DNS、组播DNS(multicast DNS)、网络时间协议、简单服务器发现协议,或简单网络管理协议时,其影响将被放大。
许多ISP都没有意识到不同的攻击正在利用常见的路由问题。尽管一些路由问题可以被归咎于人为操作错误,但其他的都是来自于直接的攻击,而ISP们需要学习如何识别潜在问题,并采取措施进行解决。“互联网服务供应商必须对它们的路由流量负担起更多的责任。”韦伯说。“很多用户都很容易受到网络攻击。”
当国际互联网协会于2014年刚刚推出该项MANRS倡议时,有九家自愿参与该倡议计划的网络运营商;而到了现在,其会员数量已经超过40家了。而MANRS这一倡议想要有所作为的话,需要进一步扩大规模,以便可以影响市场。而那些因为怕麻烦决定不遵循该安全建议的互联网服务供应商可能会发现他们会丢掉生意,因为客户将与那些兼容MANRS倡议的互联网服务供应商签署合作协议。或者更小规模的ISP们可能面临来自上游的较大型的供应商拒绝执行他们的流量的压力, 除非他们能够证明他们已经采取适当的安全措施。
如果MANRS能够成为所有互联网服务供应商和网络运营商事实上的标准,那将是极好的。但分散的安全社区仍然不够好。 “如果您要求每家企业组织都这样做,这是永远也不会发生的。”韦伯说。
2、加强数字证书的审核和监控
曾经,人们为了能够借助SSL来解决这些问题,已经进行过了许多尝试,其当然也保护了大多数的网络通信。SSL能够帮助确定一处网站是否是其所宣称的网站,但是,如果有人采用欺骗手段获得了证书颁发机构(CA)为一处网站颁发的数字证书,那么信任系统就会崩溃。
早在2011年,一名伊朗的网络攻击者攻破了荷兰CA供应商DigiNotar的服务器和颁发的相关证书,包括那些谷歌,微软和Facebook的证书。攻击者能够借助这些证书建立“中间人攻击(man-in-the-middle attack)”和拦截网站的流量。这种网络攻击能够获得成功,是因为浏览器将来自DigiNotar的流量作为有效的流量,尽管事实上该网站已经由不同CA的签名认证。
谷歌的证书透明度项目,是一款用于监控和审计SSL证书的一个开放的、公共的框架,是解决中间人攻击问题的最新尝试。
当一家CA颁发证书时,其将被记录在公共证书日志上,任何人都可以查询加密证据,以验证一个特定的证书。服务器上的监视器定期检查是否有可疑的证书,包括误发的非法认证域和那些不寻常的证书扩展。
显示器类似于信用报告服务,他们会就恶意证书的使用发出警报。审计人员确保日志是否正常工作,并验证出现在日志中的特定证书。对于浏览器而言,在日志中没有发现的证书是一个明确的信号,说明该网站是有问题的。
借助证书透明度项目,谷歌希望能够解决错误颁发的认证证书、恶意收购认证,流氓CA和其他网络威胁等问题。谷歌当然有其自有的技术,但他们必须说服用户,这才是正确的做法。
基于DNS的命名实体身份验证(DANE)是借助SSL解决中间人攻击问题的另一项尝试。DANE协议证实了成熟的技术解决方案并不会自动赢得用户这一点。DANE牵制SSL会话到域名系统的安全层DNSSEC。
虽然DANE协议成功地阻止了中间人攻击对于SSL和其他协议的攻击,但其受到状态监测的困扰。DANE依靠DNSSEC,而且由于政府机构通常拥有顶级的DNS域名,故而引发了对于是否信任联邦当局运行安全层的关注。采用DANE意味着政府机构目前执掌了对于证书颁发机构的访问权限——这使得用户产生不安是可以理解的。
尽管有任何疑虑的用户可能会对谷歌公司存在信任,但该公司的证书透明度项目已经向前迈进。而他们最近甚至推出了类似的服务,谷歌Submariner,其中列出了不再信任的证书颁发机构。
3、一劳永逸的解决恶意软件问题
差不多大约十年前,哈佛大学的伯克曼互联网与社会研究中心推出了StopBadware项目,这是一个与包括谷歌、Mozilla基金会和PayPal等高科技公司共同打造的实验策略,希望能够联合共同打击恶意软件。
2010年,哈佛分拆该项目作为一个独立的非营利项目。StopBadware提供对于恶意软件的分析,包括恶意软件和间谍软件,提供信息删除服务,并教育用户如何防止反复网络病毒感染。用户和网站管理员可以通过查询URL、IP地址和ASN,以及恶意URL报告。科技公司、独立的安全研究人员和学术研究人员与StopBadware团队合作,分享关于不同网络安全威胁的数据。
运行一个非营利性项目的间接费用成本造成了大量损失,该项目被转移到塔尔萨大学,交由Tyler Moore博士负责主持,助理教授负责网络与信息安全保障。该项目还提供对于感染恶意软件网站的独立的测试和审查,并运行一个数据共享计划,作出贡献的公司将接收基于Web的恶意软件的实时数据。该项目正在开发一款工具,来根据他们所经历的网络攻击为网站的管理员提供更有针对性的建议。一款测试beta版的工具有望在今年秋天推出。
但是,即使一个项目成功解决了安全问题,但仍然要面对实际运作所需的业务资金的问题。
4、重塑互联网
然后,有了一个关于互联网应该被一个更好的,更安全的方案所替换的想法。
Doug Crockford目前是PayPal公司高级JavaScript架构师,JSON语句背后的重要推动之一,提出了Seif:这是一个开源项目,或将彻底改变互联网的所有方面。他想重新打造传输协议,重新设计用户界面,并抛弃密码。总之,Crockford希望创建一个以安全为重点的应用程序平台以传递互联网。
Seif项目提出利用加密密钥和IP地址更换DNS、TCP上的安全JSON替换HTTP、以及基于JavaScript的应用程序交付系统替换HTML、基于Node.js和Qt. CSS、及DOM也将在Seif中运行。而在JavaScript的这一部分,其将继续成为建设更简单的、更安全的Web应用程序的关键角色。
对于SSL对证书颁发机构的依赖,Crockford也有一个解决方案:采用一个基于公钥加密方案的双向认证方案。该方案的细节还不多,但这个想法取决于搜索和信任的组织的公共密钥,而不是信任一个特定的CA正确地颁发证书。
Seif将基于ECC 521(Elyptic Curve Cryptography)、AES256(高级加密标准)和SHA(Secure Hash Algorithm)3-256具备密码服务功能。ECC 521公共密钥将提供唯一的标识符。
Seif将通过辅助应用程序部署在浏览器中,类似于在旧电视机上安装机顶盒让观众可以接收高清信号。一旦浏览器厂商集成了Seif,辅助应用程序就将没有必要了。
Seif项目有很多有趣的元素,但其仍然处在初期阶段。其节点的部署实现,将运行Seif的会话协议,目前正在开发中。即使我们尚不知道很多细节,但很明显,这项雄心勃勃的计划在被呈现给用户之前还需要有挑大梁的大机构的支持。
例如,需要获得一家主要的浏览器厂商的支持——比如Mozilla基金会,其将需要整合其辅助程序,同时还需要有一家主流的大型的网站要求所有用户使用该浏览器。而由于竞争压力,其他网站和浏览器才会跟随,但问题在于:具备这种影响力的供应商是否会选择Seif。
未来何去何从
而抛弃一切,重新开始几乎是不可能的,所以唯一的选择就是使现有网络更难攻击,韦伯说。不要试图一次性就能解决所有的问题,应该从较小的修正开始,使其更难被特定的部分所滥用。
“当您的房子着火了,而您正在等待消防车前来救火时,您会尽您的所能进行抢救,而不是走开寻找新的房子,”韦伯说。
没有人能够控制整个互联网,而更重要的是,其还有大量的内置冗余和弹性。互联网的安全修复并不只是某一家实体的任务,其涉及到我们每个人,每家企业和每家政府机构多方利益。互联网服务供应商应负责修复潜在的路由问题,但他们不是唯一对此负有责任的。而对于DNS问题,我们可以通过部署加密服务,并加强对于连接到服务的硬件设备的管理。
各国的政府机构一直在努力尝试,特别是最近在试图对于安全隐私保护方面进行着努力和尝试。他们中的大多数都没有太多的动作,因为他们太复杂或优先级别不够高。但是立法的缺失并不意味着政府机构不应该参与进来。
“我们必须解决这一切,但其并不是任何一个人可以修复解决的。”韦伯说。“如果您尽力了,我也会尽力的。”
通过一个更加安全的互联网的道路铺上了很多伟大的想法,但却都以失败告终,或者由于人们缺乏兴趣而逐渐消失。宏伟计划听起来总是有希望的,但如果他们没有考虑到技术水平的限制,以及现实实际的部署成本的话,就不会走得很远。困难的部分是争取支持,获得良好的发展势头,并为用户带来持续的安全承诺。
“如果有人能够搞定网络安全的话,我们都会感谢他的。”韦伯说。
本文转自d1net(转载)