1988年第一个蠕虫病毒蔓延造成了数千台计算机停机,而后来的红色代码和尼姆达病毒则造成了几十亿美元的损失;2003年1月爆发的蠕虫王病毒造成网络大面积瘫痪,银行自动提款机运做中断,直接经济损失超过26亿美元。在网络成为社会经济生活必须工具的今天,如何对抗来自蠕虫的攻击,避免造成经济损失的扩大,保证Internet信息高速路的畅通无阻,成为网络安全业界面临的共同挑战。
网络杀虫户枢不蠹
当今恐怕没有任何一种真正的虫类能够赶上蠕虫病毒的鼎鼎大名。无论是破坏性质还是造成瘫痪的彻底程度,蠕虫也堪称是各类病毒中的佼佼者。它的破坏来源广泛,传播途径包括文件、电子邮件、Web服务器和网络共享。正是由于蠕虫攻击的破坏性(往往可以巧妙利用各种安全漏洞,抓住系统缺陷甚至电脑操作者的人为缺陷使病毒发作,造成网络的全面瘫痪),使它成为危害网络的头号杀手。因此,蠕虫不仅能从网络的外部向里传播,同样也可以在网络的内部突然爆发,使网络中的安全措施腹背受敌、防不胜防。而经过多年努力,网络安全业界不断提升各种防虫手段的功效和技术含量,逐渐扭转了蠕虫猖獗肆虐的局面。
内外侵蚀,害“虫”障眼
根据造成蠕虫病毒发作的原因,可以归结为两种类型:其一是直接针对企业用户和局域网的病毒攻击,这类蠕虫病毒利用系统存在的漏洞主动进行攻击,造成整个网络环境瘫痪的恶性后果,以“红色代码”、“尼姆达”及“sql蠕虫王”为代表。其二是针对个人用户的病毒攻击,通过网络(主要是电子邮件或恶意网页的形式)迅速传播,造成网络内更多计算机中毒瘫痪,并再次通过Internet向外界传播,以“爱虫”、“求职信”为代表。
第一类蠕虫病毒具有很大的主动攻击性,发作也有一定的突然性,但相对来说杀灭这种病毒并不是很难。第二类蠕虫病毒的传播方式比较复杂和多样,部分是利用微软的应用程序的漏洞,更多的是利用社会工程学(网络使用者缺乏防范意识,以及通过网络上的人际关系进行传播)对用户进行欺骗和诱使。这样的病毒造成的损失是非常大的,同时也很难根除。以“求职信”病毒为例,尽管在2001年这种病毒就已经发现和实施对策,但直到今天它依然排在病毒危害排行榜的首位。
由此可见,较之一般的病毒攻击而言,蠕虫病毒在使用障眼法方面更胜一筹,这也是它能够顺利从外部渗透,再瞬间由内部发作的根本原因。
手段单薄,防“虫”不胜
蠕虫已经肆虐了这么久,为什么还不能得到有效的根治呢?究其原因,单个安全技术产品在功能和性能方面存在的局限性,以及网络终端(来自网络内部)的安全隐患造成了防范脆弱的现象,给无孔不入的蠕虫以可乘之机。
以网络中最基本的安全产品防火墙为例,它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,本身具有较强的抗攻击能力。但是面对蠕虫,防火墙陷入腹背受敌的局面,而且很容易在病毒传播时被绕过。而防火墙最大的问题是不能解决来自内部网络的攻击和安全问题,一道严密防守的防火墙其内部的网络也有可能是一片混乱。另外,防火墙对于网络内部各主机之间的病毒攻击行为也束手无策。同时,防火墙不能防止最新的未设置策略或错误配置引起的安全威胁。防火墙的各种策略,也是在该攻击方式经过专家分析后给出其特征进而设置的,因此常常是新病毒发作之后,网络安全措施才进行“亡羊补牢”似的升级。此外,防火墙还不能防止受病毒感染的文件的传输,这也是蠕虫等隐性病毒肆虐的原因。
再看现如今方兴未艾的入侵检测(IDS)。入侵检测系统的作用是通过旁路监听的方式不间断的收取网络数据,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。总的来说,IDS对网络的运行和性能无任何影响,不但可以发现从外部的攻击,也可以发现内部的恶意行为。然而,由于IDS本身的局限性,各种帮助病毒文件躲避或越过IDS进入网络的技术不断推陈出新,诸如利用字符串匹配弱点的攻击方式,以及会话拼接(session splicing)、碎片攻击、拒绝服务等,都可以让IDS形同虚设。
全局安全:围“虫”聚歼
业界专家曾指出:之所以网络中防火墙设备和入侵检测系统在蠕虫入侵和发作时表现苍白,无法控制网络终端的系统安全性是它们最大的缺陷。在过去几年中,网络安全技术厂商纷纷通过结合多种安全技术产品的方式来补偿这一缺憾,典型的方式是将终端/网络杀毒软件与防火墙、入侵检测、漏洞扫描系统相结合。而进入2005年以来,在网络中配置真正全局化的安全体系成为领先厂商角逐的新领域,一些具有代表性的安全方案相继诞生,为全网动员、全局防范蠕虫的战役打开了局面。
以锐捷网络2004年底推出的GSN®全局安全网络解决方案为例。较之简单的“杀毒软件+防火墙”体系来说,GSN®的安全措施更加强调了对网络终端系统安全性的掌握和隐患摘除。在防范来自网络内部的安全隐患时,GSN®通过将安全结构覆盖到网络终端设备(用户PC、服务器等)的一系列安全手段,使网络终端上潜在的安全隐患能够被及时发现和控制,从而有效遏止了蠕虫攻击网络的“后门”。
在防范来自用户终端安全漏洞而导致的病毒入侵时,GSN®通过加载安全客户端的手段来检测入网终端用户的安全状态。当用户登录网络时,安全客户端会自动检测用户身份和用户系统的安全状态(如操作系统、杀毒软件版本)。一旦检测到用户系统存在诸如操作系统未安装补丁或是病毒库版本过于陈旧之类的安全漏洞,安全管理平台就会自动将这个用户从网络正常区域中隔离开,并放置在系统修复区域进行对应的修复。当修复完成后,安全客户端还会自动重新对用户系统进行检测,确定系统不存在安全隐患之后才会允许该用户正常进入网络。通过这种方式,GSN®把来自各个网络终端上的安全隐患全部拒于安全大门之外,达到了防患于未然的目的。
总的来说,GSN®通过针对网络终端的强制安全措施,有效防范了可能来自于终端层面上的病毒和安全隐患。凭借网络安全管理平台、安全客户端和杀毒软件的紧密配合,GSN®不仅保证了网络大环境的安全,同时也为终端设备提供了“健康检查”的措施,使网络中的每台终端设备都可以保持健康,同样也不会把可能存在的病毒“传染”给别人。
当今网络应用已渗透社会经济生活的方方面面,Internet和信息化办公在为人们提供便利、创造经济价值的同时,也时刻受到来自病毒的侵害。既然网络具有便利信息交换特性,蠕虫病毒自然也可以充分利用网络的快速传播达到实施破坏的目的。而伴随着技术进步,建立易实现的全局化、一体化安全系统已从前端理念变为现实。通过深入终端层面并实施全局联动安全策略的方式,网络防范蠕虫和其他可能来自内部安全隐患的能力得到了大步跨越。在可以预见的将来,全局安全的广泛应用将为用户带来健康的网络环境。