教你建立一个不可战胜的系统
蠕虫病毒如Slammer的共同特点,SoBig和枪攻击系统漏洞,造成大规模的网络中断,尽管他们停止之前的病毒,补丁已经出来了,但仍然无法有效遏制病毒的传播,这种现象的主要原因是缺乏有效的修复系统。修复系统是困难的,原因有二:一是从披露的安全漏洞被黑客利用漏洞攻击,间隔时间越短,用户没有足够的时间来修复系统;二是大量的客户成为攻击的病毒和帮凶的目标,,病毒传播的更广泛和更迅速。除了Windows,路由器,交换机,防火墙,Unix和Linux也是病毒攻击的目标。专家认为,修复系统是一个长期的项目,人们需要做好长期战斗。
修复前的准备
尼卡斯特罗,一个资深的国际网络服务系统顾问,认为,修补系统是一个控制过程。许多用户忽略了这一点,不坚持监视、评估、测试、部署和验证补丁。同时,修复系统不是由一个人完成的,而是需要安全团队、操作组和开发人员的共同努力。
网络的无序扩张是网络安全的头号敌人。用户必须实时掌握网络资产的现状,建立网络资产清单,了解网络资产的变化,仔细记录各种记录,计算维修费用,并建立有优先维修计划。上面的链接没有链接,很难修复系统。
列出的资产,即找出机器运行什么应用程序,要求用户的大量工作,资产清单的编制往往需要一定的时间。资产清单是紧密联系在一起的资产管理和配置管理,需要专人负责。修复系统是一个物理过程。人们必须使用有效的组织结构来确保这一过程的实施。建立安全事故响应小组是最好的方法,安全事件响应小组可以系统地管理漏洞,快速响应每个漏洞,检查资产列表中每个设备的安全漏洞位置,每周更新一次资产列表。
如何修复
修复系统的过程可以概括为四个步骤:改变紧密跟踪漏洞;重复测试补丁;从分布式部署补丁;修复设备经过验证完成和正常运行。
修复系统的过程开始于监控的安全漏洞和寻找资产清单设备安全漏洞补丁。一旦被确定为一种威胁,安全团队应该开始测试马上修补。如果用户缺乏资金建立实验环境,用户至少应该尝试模拟的关键业务系统的环境。经过测试的补丁,用户需要完成补丁的分发、部署、异常处理、跟踪、报告等。修复系统有点类似灭火。必要时,用户应隔离网络网段上的蠕虫或病毒,然后开始修复过程。
CTO Engates先生的Rackspace公司认为,路由器和防火墙的修复是升级软件的版本非常相似,该公司负责的专职网络工程师跟踪防火墙和路由器的漏洞。在确定一个补丁,工程师通知了主任,如果补丁是用来修复的关键缺陷,相关信息直接发送到副总统负责的项目,和副总统将亲自组织修复系统的实现。补丁在Rackspace公司的实验室测试和实验室规模下的企业网络模型,测试时间取决于大小的补丁的补丁。部署在预定的维护NCE的窗口,和安全团队评估修复过程。 U3000
Engates认为,修复服务器从修补防火墙略有不同。Linux是一个独特的平台,和Rackspace公司没有正式的Linux配置管理工具,更需要进行手动操作。幸运的是,一个Linux问题的概率小于窗口。当Engates决定在Windows服务器的安全漏洞,它立即执行类似的过程来修复防火墙和补丁测试需要至少48小时,保证没有问题。如果有问题,Engates将暂停补丁的部署,并要求微软提供技术支持。虽然服务是收费服务,Engates认为这是与微软保持密切的关系非常重要。
修补客户端
确定修复的范围对许多用户来说是一个挑战,在过去的四个月中,攻击不再局限于服务器,而是局限于客户端,以前对客户端的修复是一个周期性的自然升级,它不再有效。
蠕虫的传播速度很快,人们往往太迟关闭客户端的网络端口。在早期的冲击波攻击,微软建议关闭135端口,以防止蠕虫传播。但是,Pitney Bowes公司安全经理Giambruno认为,港口成交实际上是拒绝服务攻击。目前,Pitney Bowes公司已开始将自动修复服务器进程的客户端。冲击波爆发之后,Pitney Bowes bigfix部署管理软件,能够全面观察Pitney Bowes的广域网络遍及18个国家。如果有人关闭杀毒软件在桌面系统,bigfix将重新启动杀毒软件。如果客户端没有安装杀毒软件,bigfix将安装自动。
修复了系统;五必须;四不要这样做;
必须设置补丁管理团队以跟踪系统漏洞的变化。
必须建立评估、测试和部署补丁的过程。
必须选择一套支持补丁管理的工具软件。
测试贴片效果的过程必须编制出来。
在紧急情况下,你必须首先隔离隐藏的危险或蠕虫。
不要在不创建资产列表的情况下开始修复。
不要认为补丁管理工具可以解决所有问题。
不要推迟部署已被确定为一个非常重要的修补程序。
不要认为攻击只是来自外部,而不是来自内部,事实上,受感染的内部客户发起的攻击是常见的。