2014年4月7日,openSSL模型中名為“heartbleed”(心臟出血)的漏洞被發(fā)現(xiàn),一時間,采用https登錄的各電商和銀行網(wǎng)站均面臨著用戶關(guān)鍵數(shù)據(jù)被竊取的風(fēng)險。
準入控制,讓內(nèi)網(wǎng)不再“心臟出血”
心臟出血漏洞利用了SSL協(xié)議中的memcpy()函數(shù)對返回的長度值不做檢查的缺陷,能夠非法讀取緩沖區(qū)中超過權(quán)限的內(nèi)容。非法入侵者每次最多能夠提交64kB的訪問要求,從而獲取到服務(wù)器當前內(nèi)存中其他用戶的訪問信息,而這些關(guān)鍵信息可以包括用戶名、銀行卡號、各類賬號,以及最關(guān)鍵的口令密碼!
漏洞被曝光后,openSSL迅速發(fā)布了更新版本的SSL v1.0.1g,而各大電商網(wǎng)站也迅速對漏洞進行了修復(fù)。然而,具有諷刺意味的是,就在漏洞被發(fā)現(xiàn)的第二天4月8日,微軟正式停止對旗下經(jīng)典的操作系統(tǒng)win xp 的服務(wù)支持,包括停止提供XP系統(tǒng)補丁和安全更新,也不再解決此后所發(fā)現(xiàn)的系統(tǒng)中的新漏洞。這也意味著在國內(nèi)有超過3億的windows xp終端,包括臺式機、筆記本以及眾多的ATM機設(shè)備將比之前面臨更大的病毒和攻擊風(fēng)險。
相比于互聯(lián)網(wǎng)上眾多知名公司對服務(wù)器漏洞的迅速響應(yīng)而言,廣泛分布在各機構(gòu)內(nèi)網(wǎng)中的xp機器由于缺乏合適的安全措施,以及分散式難以管理的特性,在遭受新的病毒或其他方式的入侵后更容易引發(fā)大面積的網(wǎng)絡(luò)癱瘓、植入木馬、文件失密等各種安全事件,從而成為內(nèi)部網(wǎng)絡(luò)管理者的heart bleeding 大患。
2014年,正是準入控制NAC進入中國的第7個年頭,在云計算和大數(shù)據(jù)轟轟烈烈的引領(lǐng)著行業(yè)熱潮的同時,固守著傳統(tǒng)PC-Server模式陣地的廣大政府機構(gòu)及非IT型企業(yè)卻仍然需要面對不斷擴大的終端規(guī)模和如前所述的從未減少的終端安全事件。在服務(wù)器逐漸武裝到牙齒的同時,網(wǎng)絡(luò)邊界處的各種接入點卻日益平民化,如今智能手機已經(jīng)在機構(gòu)中大行其道了,而我們甚至對智能機系統(tǒng)的了解還寥寥無幾,更無從談起這些泛濫于四面八方的小盒子的安全性了;一臺oracle數(shù)據(jù)庫可以保證7*24小時不間斷運行數(shù)十年,而從12年前windows xp開始運行至今,我們所管理的眾多計算機卻時不時在考驗著管理者的心理素質(zhì)。
一方面是上級文件和規(guī)章制度的三令五申,另一方面卻是員工參差不齊的入網(wǎng)操作素質(zhì)和讓人頭疼的大小事故。即便在當前免費殺毒軟件隨處可見的情況下,能夠保證內(nèi)部所有計算機都安裝了殺毒軟件的機構(gòu)也并不普遍,對于分支機構(gòu)較多的大型公司和省市縣縱向管理的各級政府機構(gòu)而言則更是如此。
所以,一方面我們需要高高在上的云,希望能夠?qū)⑽覀儍r值連城的數(shù)據(jù)和資源束之高閣,恨不能模糊得連個基礎(chǔ)的影子都不讓人觸到;另一方面我們又需要網(wǎng)絡(luò)準入控制這樣能辦點實事的安全力量,即使非法行為和非法接入想盡辦法與我們失聯(lián),我們也能在角角落落里將他們揪出來并樹立好邊界的無數(shù)道防火墻。即使未經(jīng)察覺和發(fā)現(xiàn)的漏洞會導(dǎo)致第二個、第三個以至更多的“heartbleed”, 我們也可以依靠分布廣泛的NAC力量在機構(gòu)IT框架輪廓上所劃定的安全邊界來持續(xù)供給管理者能夠健康運作的heartbeat。
有鑒于此,NAC仍然并且將在很長一段時間內(nèi)與云計算共同構(gòu)成機構(gòu)組網(wǎng)時的兩大必備要素。如果說云計算代表著機構(gòu)集中化管理的IT未來,那么NAC網(wǎng)絡(luò)準入控制就從側(cè)面體現(xiàn)了機構(gòu)在過去、現(xiàn)在和最近幾年內(nèi)的分散管理的IT安全現(xiàn)狀。2年前盈高科技曾經(jīng)發(fā)布了《2012網(wǎng)絡(luò)準入控制(NAC)五大趨勢預(yù)測》,其中曾經(jīng)提到網(wǎng)絡(luò)準入控制將與“云”共同組成用戶內(nèi)網(wǎng)的2大安全體系,在網(wǎng)絡(luò)中像“心臟出血”這樣的漏洞頻頻被發(fā)現(xiàn),同時windows xp這樣的平民化操作系統(tǒng)逐漸淡出安全保護范圍的背景下,這個預(yù)言仍然會在年復(fù)一年的安全浪潮中被不斷兌現(xiàn)。不過,新的形勢下,是不是所有用戶或網(wǎng)絡(luò)環(huán)境都需要那么齊全龐大的準入功能?敬請關(guān)注盈高科技2014年網(wǎng)絡(luò)準入行業(yè)分析系列的下一篇:《“微”準入的力量》。