周边问题

是的,城堡与护城河模型有很多缺点,但是“去反界化”的概念还有很长的路要走

旧的网络安全模型外围防御与旧的物理安全模型非常相似:将资产放在安全的位置,盖一堵墙,然后使用一扇门来控制谁进出。如今,许多人说周边模型已经过时了。甚至有人说应该彻底拆除外围。今天,了解城堡式和护城河模式的缺点非常关键,但CSO距离完全扔掉防火墙要走很长一段路。

外围防御方法在古代世界的围墙城市中非常有效,并且在1990年代对于计算机网络也非常有效。在许多方面,该方法从根本上是合理的。用强化的外部防御来阻止攻击者比让他们进入内部并进行直接战斗来打击最脆弱的公民更有意义。没有人会梦想着用反坦克枪武装办公室文员。保持坦克远离档案管理员的工作是前线士兵的职责!

当然,没有外围防御是完美的。大约3000年前,当特洛伊人将那头装满希腊士兵的巨型木马带到他们的围墙时,才以艰难的方式了解了这一事实。一旦坏人进入大门,围墙就变得无关紧要了。安全顾问多年来一直在警告组织有关低估内部威胁的危险。他们认为,专注于外围防御总是会诱使组织放松内部防御。例如,可以理解的是,当组织将所有这些钱都花在防火墙上时,他们会在修补和升级网络中的计算机时犹豫不决。但是外部威胁甚至可以绕过最好的外围防御系统,要么是因为高管将受感染的笔记本电脑插入内部网络,要么是由于恶意802.11接入点使外部人员可以无线地穿过您的墙壁并插入。

即使周边是完美的,周边方法也假定资产仍放置在周边的保护环内。在当今的笔记本电脑,Web门户,记忆棒和BlackBerry中,这种假设不再成立。高质量的信息不断穿越每个组织的物理和电子范围。完全依靠外围防御就像购买家庭警报系统来保护孩子免遭绑架,然后让他们独自乘坐纽约市地铁上学。

今天的边界已经得了坏名声,一些顾问和记者预示着“边界的尽头”。例如,CSO去年年初就写过关于这个概念的文章(请参阅“世界就是你的外围”)

耶利哥战役

耶利哥论坛(Jericho Forum)是一个用户组织,该论坛将这个想法进一步推进,该论坛称之为“去周边化”。反边界化的基本思想是组织应面对边界已死的事实,并基于相互认证和强大的密码学开发一种根本上新的安全模型。耶利哥论坛(其成员包括巴克莱,波音,汇丰和罗尔斯·罗伊斯等大公司)认为,实现这一未来的方法是通过精心设计可保证互操作性和开放性的新安全基础架构。耶利哥呼吁公司放下围墙,依靠主机,应用程序和数据本身内置的防御措施。

在波音这样的公司中,去界线化无疑是明智的。当防火墙内有150,000多名员工时,面向外围的防御几乎没有意义。当然,您可以在防火墙内设置防火墙,以保护真正的好东西,例如将会计部门与机械师隔离开来,但是哪一个停在哪里呢? Jericho的观点是,建立尽可能小的防火墙是有意义的,例如,为每台计算机建立一个防火墙。

实际上,这种网络愿景就是我在MIT所享受的环境,该企业拥有数以万计的计算机,可以安全地进行互操作,而无需一般的外围防御。在麻省理工学院,该网络被认为具有固有的敌意。结果是那里的系统

对所有内部和外部攻击者都进行了艰苦的战斗。 (MIT网络并没有使用户每次登录其他服务时都进行重新认证,而是使用Kerberos作为单点登录系统;工作站用户仅需每10小时重新认证一次。)

但是,除了其醒目的名称和宏伟的目标之外,从安全性,财务或什至历史的角度来看,去边界化是否有意义?

是的,良好的外围防御措施尽管有其所有好处,但从心理上讲是危险的。他们使组织陷入一种虚假的安全感。但是根据2005年的“ CSI / FBI计算机犯罪和安全调查”,内部人员的攻击仅占受访者计算机犯罪损失的7%以下。此外,调查的作者写道,“数据确实表明,受访者发现内部人所犯的事件的频率与外部人一样多,这使人们常常读到绝大多数犯罪是内部人所为的说法引起怀疑。”

换句话说,即使强大的外围防御可能会导致组织降低对内部的警觉性,总的来说,外围似乎比弊多得多。今天的组织真正需要的是一种评估外围防御有效性的方法,以便他们可以合理决策,除了外围应在哪些方面花费安全性。当今外围的大漏洞来自业务决策:当两家公司建立合作伙伴关系时,他们要做的第一件事就是在各自的防火墙中开孔,以便他们的公司系统可以更紧密地交互。这些漏洞不仅可以延缓最初的合作关系,而且可以延缓公司的合作!一两次企业收购之后,几乎没有人知道防火墙中的哪些漏洞是长期停滞不前的幽灵,而哪些漏洞由于正在进行的业务风险仍然至关重要。有源VPN电路甚至专用租用线路通常也是如此。人们只是继续支付账单,因为担心断开连接可能会破坏一些重要的东西。设法从这种混乱中获利的一家公司是网络映射器Lumeta,它开发了一个功能强大的系统,该系统可以通过实验确定企业网络之间以及内部的连通性。 Lumeta的地图经常打开据称保护良好的企业网络与Internet其余部分之间的隐藏路径。

外围实践

耶利哥论坛的反边界化愿景的根本问题是它无视深度防御的安全学说。即使您的所有主机都能抵御来自开放Internet的攻击,添加防火墙提供的额外防御层仍然具有优势。例如,当发现新的攻击时,用防火墙上的新规则阻止攻击的速度总是比对每台计算机进行编程以使其自身更新快。确实,我没有看到任何自重的CSO在安装防火墙后如何停用防火墙。如果通过防火墙进行的攻击遭到阻止怎么办?

Jericho愿景的另一个问题是开发新的安全体系结构而不是对当前已部署的体系结构进行增量修改的整个想法。互联网之所以成功,是因为它可以逐步部署。取而代之的是,杰里科的愿景可能会部分地通过采用应用程序级VPN的公司来实现,这些应用程序级VPN使用SSL桥接恶意Internet上的连接。每次业务合作伙伴需要使用远程服务时,一个应用程序都会打开与远程服务器的SSL连接并检查证书。一家非常简单的版本公司今天建立了一个支持SSL的网站,供另一公司的员工使用。

数字版权管理(DRM)是另一种有助于实现Jericho愿景的技术。 DRM系统对敏感文档的内容进行加密,以便只有经过授权的个人才能解密它们。这个领域有很多参与者,包括Microsoft,Liquid Machines甚至Adobe。 DRM系统可以减少对防火墙的依赖,因为它们可以降低防火墙故障时可能造成的潜在损害。

不过,我还是希望在公司周围安装防火墙,而不是在我的内部LAN上放一些恶作剧的黑客,而仅依靠受SSL保护的应用程序级VPN或DRM的有效性。是的,约书亚吹响了号角,杰里科的城墙轰然倒下,随后入侵部队杀死了这座城市中的每个男人,女人和孩子。内部防御是一个不错的主意,但周围的健康墙壁也很重要。

有关:

版权© 2005 IDG通讯,Inc.