不一样的网络空间——病毒与漏洞篇-连载

来源于自然界的新冠病毒彻底打乱了世界秩序,成为人类生命健康的最大威胁。在网络空间中,计算机病毒成员上亿且每年增长上千万,这些人造恶意代码或藏匿于吸睛链接里,或寄生于进程代码间,或盘踞于设备固件内,或穿梭于服务会话中。人性的单纯、马虎、懈怠、贪婪都成为了病毒的吸附器。其中,与漏洞结合的病毒危害性更大,成为网络空间中的头号威胁。

1、病毒狂欢——总能找到寄生的宿主

“僵尸”、“木马”、“蠕虫”已寄生于网络空间数十年,或持续潜伏,或隐隐作祟,或疯狂传播、感染和破坏,成为安全的持续焦点。

据CNCERT今年2月份统计,我国境内感染网络病毒的终端数为132万余个;被篡改网站数量为18,381个;被植入后门的网站数量为5,820个。与全球每年高达数亿次的病毒感染量相比,这仅是冰山一角。此外,还有很多深度潜伏的高级病毒未被发现,它们或许数年后才可能暴露。

杀毒厂商是“制毒”者的冤家对头,但病毒无法彻底清理,因为它已形成稳固生态圈。普通病毒因“毒性”不强而被轻易截杀,但针对特定目标死磕的APT病毒很难阻截,定向危害大;采用0-Day漏洞的病毒武器对抗性极强,无法迅速防治,只能亡羊补牢。

网络空间永远存在大批脆弱的主机和用户,它们或沦为病毒的牺牲品,或被改造成“弱鸡”“僵尸”,在接力式的攻击中成为邪恶的帮凶。

2、漏洞百出——免疫系统总有脆弱之时

现有的主流安全防护体系总是基于过去的知识经验来检测当前的威胁,后知后觉,反应迟缓,0-Day或N-Day漏洞就是典型案例。

绚丽的网络大厦构建在无数设备、芯片、指令和代码之上。全球两千多万软件开发人员,开发和维系着纷繁复杂的各类软件和系统。再严谨的开发团队也难免百密一疏,甚至英特尔处理器都能曝出了幽灵(Spectre)和熔断(Meltdown)漏洞。不断曝光的漏洞使看似坚不可破的铜墙铁壁变得不堪一击。众多脆弱的系统如同沙雕的城堡,大浪袭来,即刻崩塌。

姑且不论一个漏洞在公开前已被隐蔽利用了多久,每个漏洞从公开到相关系统被修补存在一个时间差,或一天或数周,反应迅速的黑客完全可以基于公开信息赶制利器,俘获一大批目标。网络空间的“免疫系统”很难应对新生的漏洞与病毒,在“抗体”产生之前,相关设备或系统将一直处于高度危险之中。

高级别漏洞因其超强的突防特性,在黑市水涨船高,被有背景和财力的组织所掌握。在网络空间中,谁拥有的未公开漏洞越多,谁的攻击能力就越强。近几年爆发的“勒索”病毒,仅是NSA被泄露的部分漏洞武器的再利用,其破坏能力就足以震动世界,江湖地位不亚于多年前的“震网”病毒。越来越多的高危病毒表明,一旦病毒战开打,网络空间将如核弹引爆,瞬间“尸横遍野”。

3、对抗威胁——城堡式的网络防御

早期的网络以互联互通为主要目标,很少考虑设防设卡,网络高手几乎可以自由出入互联网所有节点。病毒与黑客的出现,对网络安全造成很大的威胁,它们一路伴随网络的发展并深刻影响了网络空间的结构。

现在的网络空间基于安全等级划分,可简单归结为:自由区、受限区、高防区和隔离区。

自由区:主要是面向所有用户的公共设施或公共服务,以及各种没有访问限制的设备、服务或应用等。例如,域名服务器、骨干路由器、边界防火墙、各类网站以及暴露于互联网的物联网设备、工业控制设备等。可以说,你的电脑接入互联网后,凡是无需认证即能访问到的所有区域都是自由区。

受限区:该区域与自由区相连,但从该区域访问自由区或者从自由区访问该区域进行了限制,必须符合一定规则策略才能通过。一般的园区网、企业办公网、IDC网络、云计算中心等在互联网边界部署了防火墙等安全设备,外部主机通常访问不到内部网络节点。

高防区:该区域安全等级要求高,通常不与互联网直接连接,而是采用防入侵、防病毒、防泄密、强认证、严授权、全审计等多手段综合的纵深防御机制。涉及国家重要部门、涉密单位、关键设施以及企业核心资产的网络,一般被列为高防区。高防区的边界也可能与安全防护相对低的受限区相连,在一定条件下进行网络通信或数据交换。

隔离区:该区域虽然能够进行信息处理,但不与其它网络相连,如同信息孤岛,只能通过U盘、光盘等介质与外界进行数据交换。隔离区主要采用网络物理隔离的手段,而不一定采用高防措施。

全世界网络由无数不同归属主体的大大小小网络组成,这些网络可通过自由区相互连通。同时,为对抗威胁,这些网络内部可分级部署为受限区、高防区或隔离区。这就像是在网络空间内构建了一座座安全城堡,高价值的信息或系统被严密防护在城堡深处,以此抵御病毒或黑客的侵袭。

结束语

病毒通常首先在自由区蔓延,然后向受限区渗透。高级病毒可以突破严密防护进入高防区,或基于社会工程等进入隔离区。与当前的战疫情一样,消杀、隔离和免疫是抵御网络空间病毒的最有效手段。而这种能力的提升需要从技术、管理和安全意识等方面不断加强,构建“三位一体”的防护体系。

另一方面,作为病毒武器的核心能力,漏洞可能会减少但不可能消失。应对漏洞威胁的要点是快速检测,及时修复。防护方应周期性地摸清网络空间资产情况,探明包括IP地址、设备型号、操作系统、应用服务和软件版本等重要属性,并在漏洞曝光的第一时间迅速开展漏洞识别,及时掌握漏洞分布,评估威胁影响,有针对性的开展行动消除威胁。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者