登录 / 注册
IT168网络安全频道
IT168首页 > 网络安全 > 网络安全应用 > 正文

企业如何有效抵御匿名化工具带来的威胁

2013-07-30 00:00    it168网站 原创  作者: 邹铮/译 编辑: 董建伟

  【IT168 编译】斯诺登爆料NSA棱镜项目的新闻引发大家对加密工具和匿名化工具的兴趣,越来越多的人开始想办法覆盖他们的行踪,以确保没有人会暗中偷窥他们。PRISM-break.org等网站正在鼓励用户使用非专有web浏览器以及匿名化工具(例如Tor)。虽然这些工具非常适合个人使用,但这可能给企业带来严重的安全问题。

有效抵御匿名化工具带来的威胁

  信息安全的主要原则之一是清楚你的网络中发生的事情。如果不了解网络中的主机以及传输的流量情况,安全团队基本上在盲目运行。网络安全监控(NSM)专门用于提供对网络的能见度,但匿名化服务和应用程序可能给安全人员制造盲点,让安全人员难以找出攻击和防止数据泄漏。

  为了减小匿名化工具和加密软件对企业的影响,企业需要从几个方面来解决这个问题。首先,企业需要对与这些技术相关的控制执行风险评估,并最终可能需要创建新的政策和修订现行的政策,对用户进行意识培训,并实施新的技术控制。

  这种风险评估的目的是确定对这些软件的使用是否会给企业带来风险。在有些情况下,匿名化软件可能需要用于企业环境中。例如,CrowdStrike推出的新的Tortilla软件可以帮助安全团队进行恶意软件分析和情报收集。然而,这个软件只能用于负责该活动的员工的工作站,而不应该出现在首席财务官的行政助理的计算机中。

  风险评估应该主要围绕这些问题:合法使用情况、对网络能见度的影响以及是否会造成潜在的数据丢失。在回答这些问题后,然后企业必须确定为解决这些风险需要付出的努力,包括调整政策、增强用户意识以及实施技术控制等。

  企业需要创建或者修改政策,从而让员工知道企业是否允许使用匿名化和加密软件,以及谁被允许使用这些软件。在一般企业环境,安全团队以外的人都不应该使用匿名化软件,而只允许使用经企业批准的加密软件。如果企业在保护其端点,那么,最终用户应该不能被允许在其工作站安装这些类型的软件。企业的政策必须明确规定允许使用这些软件的情况。

  企业更新政策后,还应该对用户进行意识培训。如果企业中在使用加密软件,对这种软件的使用的培训应该进行调整,以让员工知道只可以使用经授权的加密软件。

  在确定经授权的软件和用例情况后,接着,企业需要部署相应的技术控制。根据已经部署的安全保护措施的不同,企业可能只需要做很小的调整,或者也可能需要做很大的改变。例如,很多企业环境限制对最终用户工作组的管理权限,不允许用户安装软件。这种控制能够防止大多数匿名化和加密软件工具的使用。

  不过, 限制管理权限并不足够。用户可能仍然能够使用单独的或者基于web的软件,这些软件不需要安装。在这种情况下,企业应该使用应用程序白名单来防止这些未经授权的软件的运行。此外,一些防病毒解决方案可能会将TorBrowser视为恶意软件,并在检测到时会发出警报。

  在网络层,我们有很多方法可以检测和阻止匿名化和加密流量。例如,大多数入侵检测/防御系统(IDS/IPS)以及下一代防火墙能够检测Tor流量,以及阻止知名的代理网站。在防火墙,发布的Tor条目和出口节点将可以被阻止,而应用层代理可以检测流量,只允许符合政策的流量通过。同样,出口过滤器应该设置为只允许内部IP地址使用特定的端口和协议来与外面通信。

  根据风险评估确定的风险水平,并且,由于Tor流量通常使用TCP端口443(最常见的是用于HTTPS),一些公司可能会决定通过应用代理来执行对SSL流量的检测。当然,这会引起一些隐私问题,因为这可能将加密的个人信息暴露给监控流量的安全团队成员。这还需要所有的计算机系统具有SSL证书,以确保让这个检测过程看起来是透明的,因为SSL流量检测会打破信任链。是否执行这种流量检测需要由企业法律部门、管理和IT部门共同商讨。

  重要的是要记住,技术精湛的坚定的攻击者可能仍然有办法绕过上述的安全控制,但上述方法能够阻止大多数员工的非法行为。企业必须清楚自己试图在抵御什么,并基于这个问题进行风险评估。

  • IT168企业级IT168企业级
  • IT168文库IT168文库

扫一扫关注

编辑推荐
首页 评论 返回顶部