利用網絡分段和訪問控制來抵御攻擊

　　根據美國特勤局在最近公布的Verizon數據洩漏調查報告中提供的數據顯示，內部人員攻擊事故的數量在過去一年又翻了一番，但是外部攻擊仍然是主要攻擊來源，這說明企業仍然沒有保護好網絡和數據的安全。

　　主動安全控制和安全的網絡架構在抵御內部和外部攻擊方面發揮著非常重要的作用，然而，如果沒有適當的網絡分段和訪問控制，一旦攻擊者獲取對受害者內部網絡的訪問權限，一切就完了：敏感服務器就在內部網絡中，等著被攻擊者掠奪。

　　不過，安全洩漏事故的結果並不總是很糟糕的。美國卡羅萊納州Advanced Digital公司首席信息安全官表示：“網絡訪問控制(NAC)屬於哲學范疇，而不是技術范疇。”網絡分段和訪問控制采用縱深防御方法的話，將能夠減緩惡意軟件的傳播速度，並且可以阻止敏感系統的洩漏。

　　在過去幾個星期發現的嵌入式操作系統(例如VxWorks和QNX)中存在的漏洞突顯了保護這些設備並盡可能將這些設備隔離而不影響生產力的重要性。然而，從多功能設備和類似系統的一般部署來看，顯示出缺乏對對這些系統濫用所導致安全問題的影響的認識。

　　舉例來說，為Metasploit Framework發布的新模塊允許內存從有漏洞的VxWorks設備卸載。在內存信息轉儲中，可以找到允許攻擊者登錄到網絡交換機的密碼和內部IP地址並且將VLAN轉變成一個設備，或者通過暴露的服務帳戶來登錄到服務器。

　　由於打印機和流媒體設備不僅僅是啞設備，而完全是客戶端和服務器，所以必須創建一個網絡分段將這些設備隔離並為業務需求提供足夠的訪問權限。

　　例如，用來電子郵件發送掃描文件的多功能復印機應該被允許在郵件服務器的端口25/tcp進行通信，而不是交換機上的遠程登陸或者文件服務器上的windows服務器端口。同樣，嵌入式系統不應該被允許訪問互聯網或者具有訪問權限，除非是因為像Vbrick媒體流媒體設備的使用。

　　嵌入式設備是員工放在網路上而完全不會考慮它對安全的影響的設備。在對客戶的漏洞評估中，AirTight Networks公司發現四分之一的網絡中有員工安裝的惡意無線網絡。

　　不管是處於生產效率還是易於使用的目的，或者因為用戶存在惡意意圖，結果都是一樣的：將內部企業網絡曝露給無線端口范圍內的任何人。政策聲明中表示，對網絡的任何變化，例如添加無線訪問端口，最好應該進行嚴格的禁止，但是需要部署必要的技術控制來執行這種禁止，並且檢測任何異常行為。

　　基本技術控制(例如限制每個網絡交換機端口的一個MAC地址)是一個開始，但是這可以很容易地被技術娴熟的員工突破。在網絡訪問控制解決方案中應該添加更多高級控制，以幫助鑒定無線設備並通過關閉連接到的網絡端口或者轉移端口到隔離的VLAN來防止對內部網絡的訪問權限。

　　從縱深防御的角度來看，可以添加無線入侵檢測系統(WIDS)來提供抵御惡意無線設備的額外保護層，並且因為無線入侵檢測系統位於企業辦公室范圍內，還能夠檢測到新的無線網絡，並且向安全人員發出警報。

　　PCI安全委員會意識到惡意無限網絡的影響，並規定對PCI DSS每年進行四次無線掃描。不過一年四次掃描可能並不足夠，惡意無線設備可能在掃描間隔的三個月內逃過檢測。

　　無線供應商正在解決這些問題，包括企業管理系統內的WIDS功能。例如，思科無線服務模塊(WiSM)能夠識別、定位和控制企業網絡中的惡意無線設備(一旦發現惡意無線設備)。

　　任何網絡安全方案的最終目標都是防止洩漏重要數據的安全洩漏的發生，並且允許滿足企業的需求。通過適當的網絡分段、政策和技術控制能夠幫助企業很好地實現這些目標。