解决蠕虫问题的武器,你用的是哪般?
最近见了一些客户,有政府行业的,也有一些企业的,客户的网络规模有大有小,但令我比较诧异的是,他们都在反馈一个同样的问题,就是蠕虫病毒问题。
而关于蠕虫病毒反馈的却不是它的安全隐患,用户关注更多的是由此导致的网络慢、网络中断问题。面对蠕虫问题,急得焦头烂额,用户确始终拿不出有效对策。
笔者并非专业地网络安全人员,对于这个比较奇异的现象,进行了一些思考,也就由此出现了本文。由于笔者本身技术和接触领域的局限性,观点并不一定准确,希望专家人士来批评指正。
蠕虫病毒其实也是病毒,指的是那些通过网络进行传播、感染的病毒。目前了解的安全产品主要包括:杀毒软件、软硬件防火墙、IPS/IDS,另外还有一些其他的网络产品包括:流控、网管、上网行为管理等。
这些产品的价值极大的满足了用户的需求,所以最近几年这些产品在市场上卖的都不错,基本认为除路由、交换、服务器设备之外的必备的基础网络设备。
下面笔者就对如上产品针对蠕虫病毒方面的能力,进行简单的介绍。
杀毒软件,这绝对是对付病毒的最佳选择,也基本上解决了大部分的病毒,但由于蠕虫病毒的变种太快,病毒库的更新赶不上蠕虫变种更新的速度,所谓道高一尺,魔高一丈,即是此理也。作为杀毒的干将,杀毒软件被寄予厚望,目前国内外杀毒软件的杀毒能力参差不齐,却各有特色,用户基于性价比、厂商国籍等综合考虑,选择适合自己的品牌。不同杀毒产品的杀毒能力,影响了用户网络出现病毒事件的概率,选择一款好的杀毒软件,网管工作就省点事,一旦选择劣质产品,苦的就是网管人员了。相信大家对杀毒厂商的认知都有自己的一杆秤,哪些是一线品牌,哪些是二线的,都大致有谱。
防火墙,有基于主机的、基于网络的,主机上的防火墙一般主要用在服务器上,普通PC上开启防火墙的相对较少,对这些PC的防护更多地放在了硬件防火墙上。硬件防火墙主要实现不同区域间的访问策略,针对病毒需要开启一定的防护组件,比如提出的UTM概念,UTM个人认为是具有病毒防护功能的防火墙。但防火墙一般部署在边界位置,需要高效的处理能力,而防病毒模块的开启直接影响了处理能力,更多地用户并不会在防火墙上开启防病毒功能,除非是一些金融行业或其他安全性较高的网络环境。另外,防火墙的防病毒能力到底有几何,由于笔者了解不多,不敢妄加评判。
IPS/IDS
就是针对网络中出现的安全问题进行报警、阻断而产生的,如果真的能把这款产品用的好,并且进行及时的更新,笔者相信蠕虫病毒事件的发生必将明显减少。但基于目前了解的情况,客户中基本都上了IPS/IDS,但把这款产品用的很好的少之又少,基本是放在那作为摆设了。是什么导致了这种情况发生呢,因为这些设备使用相对复杂,而且缺省配置后出现漏报、误报现象较高,还有就是这些警报参数的合理使用,需要长期的检测。综合以上原因,导致了IPS/IDS的实用效果较差。如果有IPS/IDS厂商能看到本文,笔者建议提高产品的售后支持力度,如果想把市场做起来,就要协助用户去用好产品,让其价值最大化。
流控,对流量进行控制的产品,由蠕虫病毒导致的网络缓慢、网络拥塞,流控产品能进行一定的控制能力,笔者对流控接触不多,相信其对蠕虫有一定的防护能力。
网管,主要是基于网络设备的snmp信息获取设备信息、接口流量信息等,通过对IP或应用流量的分析,相信对比较明显的蠕虫感染会有一定的效果。
行为管理,对用户的网络行为进行管理,如果发现网络中的一些用户有异常行为,则进行控制。其中这个发现过程,是需要人去发现的,貌似没有一个自动的过程,所以也就增加了网管人员的工作强度。目前接触到的用户,基本上都有了行为管理设备,对一些上网流量较高的IP进行限制,能起到部分作用,但对蠕虫病毒导致的网络慢现象是束手无策。因为其管理能力不错,但缺乏分析能力。
综合以上,很多用户把上面的设备上全了,蠕虫病毒问题仍未解决。那笔者就介绍下,一种新的思路,网络分析产品。
科来网络分析系统,号称“国内的sniffer”,相对sniffer增加了蠕虫病毒的分析能力,抓取底层数据包,分析所有结点的网络行为,基于行为特征分析异常,从而定位蠕虫病毒主机。目前接触的一些用户,主要是通过这套产品来定位异常主机,确定其感染主机后进行杀毒处理,因为确确实实的证明了该主机感染了蠕虫病毒,那就杀毒,一款杀毒软件不行就换一款,直到杀出病毒未知。
如果完全靠网络分析设备来解决蠕虫病毒问题,那是不靠谱的,这只是一个分析工具、分析平台,并没有控制、管理能力,必须结合其他产品来有效防护。另外这类产品,对用户的技术水平有一定要求,厂商必须提供强大的售后能力,才能使用户感受其价值。
文章结尾了,不能没有结果。笔者认为针对目前的蠕虫问题,需要以杀毒为主,科来网络分析为分析手段,定位异常,调整IPS/IDS参数使其提供准确报警,行为管理设备对异常主机进行有效管控。抛砖引玉,希望朋友们能提供更好的解决思路,并能共享给大家。
科来 刘辰
2012.9.29