思科安全代理助西门子防范网络攻击-网络安全专区

思科安全代理助西门子防范网络攻击

作者：IT168 编辑：王琨玥 2007-09-29 09:20

　　【IT168专稿】创新的思科软件在服务器和台式机上利用基于行为的评估方法检测可疑流量和防范病毒感染。

　　客户背景
　　位于乔治亚州Alpharetta的西门子能源和自动化部（E&A）是总部位于德国的西门子公司的子公司。西门子E&A致力于为各行各业的客户设计和开发工业级的电子器件和生产控制技术。他们的客户包括全球工业、制造、建筑、零售和电子商务行业的一些规模最大、最受尊敬的公司。它的专家团队由超过1.2万名工程师、设计人员、现场维修人员和其他专业人员组成，能够获得西门子在全球各地设立的其他子公司中超过40万名员工提供的专业技术和支持。

　　安全挑战
　　西门子E&A的信息安全官Kathy Taylor已经在该公司任职七年以上。她指出，防止网络遭受恶意破坏的任务非常艰巨。截止到2003年中期，西门子E&A为服务器和客户端部署的唯一攻击防范产品是由一家著名的防病毒软件供应商提供的、基于特征码的病毒爆发管理产品。Taylor指出，这款防病毒软件相当有用，但是她和她的团队只有在获得新的特征码升级之后，才能确保西门子E&A免遭最新的病毒和蠕虫的影响。“在我们[从防病毒供应商]获得升级到我们将其投入使用之间存在时间差。”Taylor还表示。“我们拥有大约800到900名远程办公人员，他们并不经常连接我们的网络。让这些人员及时升级防病毒软件是一项艰巨的挑战。其中有些人没有高速连接，因此我们很难通过拨号连接将补丁提供给他们。”

　　Kathy Taylor强烈地感到，为了确保最有效的保护，西门子E&A需要一种主动的安全解决方案――一个不需要通过升级特征码和经常安装补丁来避免网络攻击的解决方案。不巧的是，正当Taylor想方设法向管理层说明她对于这样的解决方案的需求时，西门子E&A遭受了一次严重的蠕虫攻击，从而立即将这个问题摆到了前台。在遭受攻击时，西门子E&A团队正准备在三天之后安装一个针对冲击波蠕虫的Microsoft补丁。数百台计算机遭受了感染，导致供货、客户服务和电子商务站点等业务陷于停顿。网络中断了将近三周时间。在此期间，Taylor和IT团队赶紧为员工计算机安装了补丁。根据Taylor的保守估计，仅员工生产率一项，此次冲击波攻击就为该公司造成了35万美元的损失。

　　安全解决方案
　　在冲击波事件之后，西门子E&A发起了一项全面的、全球范围的调查行动，以寻找可以弥补现有传统防病毒软件不足的工具。Taylor与来自其他西门子业务部门的同事共同评估了多个产品，包括防火墙、入侵检测设备和终端保护软件等。他们将多个因素――例如部署的方便性，效率，以及供应商的质量――纳入了考虑范围，并对它们进行了详细的记录和比较。“我们搜索了所有可能帮助我们加强网络保护的产品，最终思科安全代理成为我们的首选产品。”她表示。

　　思科安全代理可以利用基于行为的评估方法在服务器和终端上发现和防范恶意行为。它能够消除已知和未知的（“零日”）安全风险。思科安全代理可以通过在单个产品中提供主机入侵防范、分布式防火墙、恶意移动代码防范、操作系统完整性保障和审核日志汇总等功能，集成和拓展多种终端安全功能。因为思科安全代理建立在行为分析――而不是特征码匹配――的基础上，它可以提供最严密的保护。

　　在西门子E&A最终决定购买思科安全代理之后，Taylor立刻就开始部署这个新的软件。她在为期两个月的时间里完成了该产品的部署工作――安装了大约4700个台式机代理和300个服务器代理。

　　成效
　　西门子E&A在2004年1月中旬完成了思科安全代理的部署工作。1月26日，“Mydoom”病毒开始在互联网上肆虐。该病毒导致了严重的破坏，迅速地在全球范围内感染了大约50万台主机。

　　但是当Mydoom试图进入西门子E&A的计算机网络时，它发现西门子是一个非常难以攻克的目标。与冲击波蠕虫不同，Mydoom没有对公司网络造成任何影响。“通过思科安全代理，我们可以看到病毒试图进入我们的计算机，但是思科安全代理将它们挡在了门外。”Taylor解释说。

　　因为采用了思科安全代理，Mydoom没有对西门子E&A的网络造成任何破坏。在整个企业中，只有六台计算机――都没有安装思科安全代理――受到了感染。

　　Taylor表示，在Mydoom攻击西门子E&A的网络之前，并没有出现一个基于特征码的病毒补丁。即使该公司可以在Mydoom在互联网上出现之际立即获得补丁，它也需要至少六个小时的时间来部署该补丁，而那时可能一切都已经无法挽回。破坏可能已经造成。根据对Mydoom的破坏性至少不亚于冲击波的预测，Taylor表示她的公司仅仅通过此次事件就完全收回了对思科安全代理的投资。

　　安装思科安全代理之后，Taylor表示她的公司将继续使用传统的防病毒软件工具和补丁。她指出，防病毒产品对于从网络中查找和清除已知的病毒非常有用。“[防病毒产品供应商的]工具和补丁可以帮助我们解决原有的、可能让我们继续面临威胁的问题。”她表示。“思科安全代理让我们不再需要匆忙地测试新的补丁，也不需要为新的病毒而担忧。如果我们已经安装了病毒更新当然最好，但是如果没有，我们也完全不需要担心。我们并不打算停止安装补丁和更新――但是我们知道，我们在安装补丁的同时也受到了严格的保护。”

　　Taylor对公司做出的部署思科安全代理的决定感到非常满意。她希望思科同意西门子E&A测试该产品的新版本。“我们希望尽快获得安全代理的新版本。”她表示。“既然它现在已经这样出色，我迫不及待地想看到它未来的样子。”

关注我们