每天,网络攻击者们都在不断的试图破坏企业的应用程序并窃取相关数据信息,这无疑让您企业的数据中心基础设施处在了一个被瞄准攻击的靶心上。而鉴于数据中心存储着您企业最有价值和最明显的资产——包括您企业的网络、DNS、数据库和电子邮件服务器,故而数据中心已然成为了网络罪犯、黑客行动者和某些国家资助的攻击者的头号攻击目标。
在本文中,我们将为广大读者诸君共同分析当前企业数据中心所面临的最危险的五大安全威胁,即:
1、DDoS攻击
2、Web应用程序攻击
3、DNS基础设施:攻击目标及其附带的损害
4、SSL引发的安全盲点
5、暴力和弱认证
本文介绍了这些安全威胁所带来的影响,并进一步为读者们介绍了攻击者们所采用的用以窃取数据中心资源的最新的方法、工具和技术。最后,文章还规划制定出了一套框架,以帮助数据中心管理人员利用今天在绝大多数数据中心已经存在的技术,来缓解这些安全威胁。
1)DDoS攻击
服务器是分布式拒绝服务(DDoS)攻击的首要目标,并且它们正越来越多地逐渐升级为用于破坏和禁用基本互联网服务的攻击武器。虽然Web服务器成为DDoS攻击的接收端已经多年了,但攻击者们现在正利用Web应用程序的漏洞将Web服务器变成“机器人”。一旦攻击者起草了未觉察的Web服务器到他们的虚拟军队,就可以使用这些服务器攻击其他网站。
通过利用Web,DNS和NTP服务器,攻击者可以扩大DDoS攻击的规模和强度。虽然服务器不会取代传统的基于PC的僵尸网络,但其所具备的更大的计算能力和带宽,使他们能够执行毁灭性的攻击,从而使得一台服务器可以等同于数百台PC的攻击力。
随着从服务器发起的DDoS攻击越来越多,使得在过去几年中,DDoS攻击的规模急剧增长也就并不奇怪了。事实上,在2011年到2013年间,DDoS攻击的平均规模从4.7 Gbps上升到10 Gbps.但真正的令人震惊的是典型的DDoS攻击中每秒平均数据包的惊人增长;事实上,DDoS攻击率在2011年至2013年间猛增了1850%,达到7.8 Mpps.在2014年,DDoS攻击达到了37 Mpps;而在2015年则达到175 Mpps.即使数据包速率没有急剧上升,DDoS攻击也将强大到足以使大多数标准网络设备无能为力。
图1、各种现成的攻击工具包使得攻击者们能够发动多向量的攻击。
DDoS-for-hire(DDoS攻击租赁)服务,通常被称为“booters”,在过去的几年中已经获得了迅速的增长。网上有大量关于他们这方面能力宣传的YouTube视频和论坛帖子。尽管一些DDoS攻击租赁伪装成“压力测试”服务,但仍然有许多的DDoS攻击租赁大胆的宣称能够“让敌人离线”和“消灭竞争对手!”一小时只要5美元,即可提供DDoS攻击,这些服务允许任何个人或企业组织执行DDoS攻击。
图2:公开的booters和DDoS攻击服务的示例
FFIEC和MAS所提供的关于DDoS保护的指南
DDoS攻击的威胁正在不断增长,而相关的监管机构也已经注意到了。例如,美国联邦金融机构检查委员会(FFIEC)、新加坡金融管理局(MAS)和美国国家信用联盟管理局(NCUA)就已经发出了DDoS攻击防护指南或风险警示。MAS特别指示金融机构必须“安装和配置足够的设备…以便一旦攻击被怀疑或证实,即可实时的转移或过滤网络流量。”
虽然FFIEC、MAS和NCUA的指南只覆盖了金融业界的机构,但攻击者可是“不挑食的”,他们会对所有类型的企业组织机构发起DDoS攻击。因此,每家企业组织机构都应该建立起相应的防御措施,以防止下一次的DDoS攻击。
2)Web应用程序攻击
当网络罪犯和黑客攻击者们不忙于借助DDoS攻击摧毁网站时,他们正在发起Web攻击,如SQL注入、跨站点脚本(XSS)和跨站点请求伪造(CSRF)。他们努力试图侵入应用程序并窃取数据以获取收益。越来越多的攻击者瞄准易受攻击的Web服务器,并安装恶意代码,以将其转换为DDoS攻击源。
在2013年,黑客行动者们瞄准了内容管理系统(CMS),如WordPress,Joomla和Drupal以及第三方CMS插件。一旦黑客攻击者发现了一个CMS的漏洞,他们就能够在企业组织机构修补其脆弱的CMS应用程序之前,快速发现和利用无数的CMS站点。
图3、攻击Web应用程序的动机
CMS应用程序不是唯一处于风险中的应用程序。事实上,在所有的应用程序中,目前有96%的应用程序具有或已经存在漏洞,并且每款应用程序的漏洞的中位数大约为14个。今天最危险的应用程序威胁,如SQL注入和跨站点脚本并不是新的,但它们仍然很容易执行,他们会产生致命的影响。攻击工具,如Havij SQL注入工具,使黑客们能够自动化他们的攻击过程,并迅速利用漏洞。
最近一波的对于CMS应用程序的网络攻击浪潮也揭示了通过编写安全代码锁定应用程序的古老战略的一个空白。由于CMS应用程序通常是由第三方开发,而不是由企业内部开发的,因此企业组织不能依赖安全编码过程来保护这些应用程序。鉴于2013年,网络攻击所造成的安全漏洞占到了当年全部安全漏洞的35%,故而现如今的企业组织比以往任何时候都更需要主动防御,来阻止网络攻击和“虚拟补丁”的漏洞。
3)DNS基础设施:攻击目标和附带损害
DNS服务器成为顶级攻击目标的可疑区别有两个原因。首先,让DNS服务器下线对攻击者而言是一种阻止数千或数百万互联网用户访问的一种简单方法。如果攻击者侵入了ISP的DNS服务器,它们可以通过解析域名、访问网站、发送电子邮件和使用其他重要的互联网服务阻止ISP的订户。 DNS攻击所导致的影响可以使服务提供商的DNS服务停机数小时甚至数天,在极端情况下甚至导致订户的集体诉讼。
第二,攻击者可以利用DNS服务器来扩大DDoS攻击。在DNS反射攻击的情况下,攻击者欺骗或冒充他们真正的攻击目标的IP地址。发送查询,指示DNS服务器递归查询许多的DNS服务器;或向受害者发送大量响应。因此,强大的DNS服务器将淹没受害者的网络与DNS流量。
即使DNS服务器不是攻击的最终目标,他们仍然可能由于DNS反射攻击而发生宕机和停机。鉴于DNS占到了所有DDoS攻击的8.95%,托管DNS服务器的企业组织必须保护其DNS基础设施。
4)SSL引发的安全盲点
为了防止其网络中的恶意软件和连续的入侵流量,企业需要检查入站和出站流量的安全威胁。不幸的是,攻击者越来越转向加密以逃避检测。随着越来越多的应用程序支持SSL——事实上,超过40%的应用程序可以使用SSL或更改端口——SSL加密不仅仅是企业众所周知的盔甲上的缝隙,而且还能够成为恶意攻击者可以利用的巨大的弹坑。
虽然业界对于SSL的使用已经稳步上升多年了,但2013年六月所爆发的爱德华。斯诺登事件则激励了更多的企业采用。在斯诺登透露了美国国家安全局窥探公民的丑闻之后,人们对于隐私问题的关注度飙升。因此,无数网站(从搜索引擎、社交媒体和文件分享到博客网站)现在都已启用了SSL版本的网站,而某些网站(如Google)仅支持SSL.不仅仅是为了信用卡交易,SSL已经变得无处不在。
虽然许多防火墙,入侵防御和安全威胁防护产品可以解密SSL流量,但它们无法跟上不断增长的SSL加密需求。由NIST特殊出版物800-131A所推动的从1024位到2048位SSL密钥的转换已经加重了安全设备的负担,因为2048位证书需要大约6.3倍的处理能力来解密。随着SSL证书密钥长度的不断增加,以及4096位密钥长度占到一家证书颁发机构的所有证书的20%,许多安全设备在这些增加的解密要求下崩溃。
对于端到端安全性,企业组织需要检查源自内部用户的出站SSL流量和源自外部用户到企业自有应用程序服务器的入站SSL流量,以消除企业防御中的盲点。NSS实验室在其报告的SSL性能问题中发现,解密2048位加密流量时,八家领先的下一代防火墙供应商的性能明显下降。这使得NSS实验室断言这使得“对企业网络中SSL检查的可行性的关注的增加,而不使用专用的SSL解密设备”。如果安全设备的范围不能满足不断增长的SSL加密需求,那么企业组织需要一款高性能的解决方案,拦截和解密SSL流量,从安全设备和服务器卸载密集的SSL处理。
5)暴力和弱认证
应用程序经常使用身份验证来验证用户的身份。借助身份验证,应用程序所有者可以限制授权用户的访问,并且他们可以根据用户的身份自定义内容。不幸的是,许多应用程序所有者仅执行单因素认证,基于密码的身份验证。使用弱单因素身份验证,应用程序所有者面临着大量的安全威胁,从简单的密码猜测和身份凭证被盗到高度自动化的暴力攻击的密码破解工具。
对大规模的密码破解(例如,Adobe服务器曾经被黑,导致3800万用户的密码被泄露)的分析揭示了简单的单因素身份验证的局限性。研究人员发现许多用户选择相同的常见密码,例如“123456”和“password”。事实上,RockYou漏洞泄密事件中所记录的50%的密码所包括的名称、词典中的单词或复杂的密码都是基于键盘上的相邻的按键,并且最常见的100个密码中,由40%的密码是被用户所经常选择的。
除了简单密码的风险,许多用户为多个帐户选择使用相同的密码。不幸的是,当这些帐户之一作为数据泄露的一部分而受到入侵时,共享相同密码的所有其他帐户都将面临风险。在发生泄露的几个小时内,黑客会窃取密码列表——甚至密码哈希,并使用它们入侵其他在线帐户。
双因素认证可以大大降低密码被破解的风险。组合密码与外的带认证,如短信到移动设备或与硬件令牌或软件令牌大大降低了暴力破解或密码破解的风险。此外,用户上下文,如用户的浏览器和操作系统或用户的地理位置,可以帮助识别欺诈活动。应用程序所有者可以构建高级规则来识别高风险用户或密码破解工具,以保护用户帐户。
对于许多企业组织而言,简单地跨许多不同的Web应用程序推出和管理认证可能是相当艰巨的。为数十款应用程序设置客户端认证方案需要昂贵和耗时的开发工作。因此,企业组织需要一款集成式的解决方案,以集中管理身份验证服务,并可以阻止登录失败的用户尝试重复登录。
保护您企业的服务器和应用程序免受五大数据中心的安全威胁
为了屏蔽数据中心的基础设施免受安全攻击,企业组织需要一套解决方案,以减轻多种安全威胁向量,并与此同时仍然提供无与伦比的性能。应用程序交付控制器(ADC)可以帮助企业组织机构保护其数据中心基础设施。ADC部署在数据中心的核心,可以阻止攻击,拦截和检查加密的流量,防止未经授权的应用程序访问。
鉴于恶意用户越来越多地将他们的攻击目标瞄准数据中心的服务器,ADC可以提供最佳的保护以应对数据中心的安全威胁。下一代的ADC则提供了以下的针对数据中心基础设施的威胁防御措施:
企业组织应仔细评估ADC的安全特性,以确保它们能够有效地帮助缓解数据中心的安全风险。
结论
网络攻击者们已经将他们的目标投向了数据中心。无论是追求经济收益,竞争情报,毁坏企业声誉,还是其他诱因,他们都将把攻击的注意力集中在数据中心服务器和应用程序上。为了进行他们的攻击,攻击者们将:
利用现成的工具包,自动化技术和机器人发起毁灭性的DDoS攻击
目标Web和DNS服务器,不仅窃取和操纵数据,而且还将这些服务器转换成武器以释放强大的DDoS攻击
使用SSL加密隐藏来自安全设备的攻击,暴露公司防御中的盲点
利用弱认证控制来破坏用户帐户
企业组织机构需要一套解决方案,以防御这些针对其数据中心的安全威胁。如果他们忽略了这些安全威胁,则可能会遭致数据泄露,停机中断甚至企业品牌声誉受损。由于数据中心承载了企业的关键应用程序和数据,故而企业组织必须保护这些资产免受攻击和滥用。