如何防御针对基础架构的攻击

如何防御针对基础架构的攻击

ID:46668601

大小:62.00 KB

页数:3页

时间:2019-11-26

如何防御针对基础架构的攻击_第1页
如何防御针对基础架构的攻击_第2页
如何防御针对基础架构的攻击_第3页
资源描述:

《如何防御针对基础架构的攻击》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、如何防御针对基础架构的攻击在GARTNER的安全和风险管理峰会上,研究人员指出,现代企业日益依赖互联网来实现其日常业务,而互联网的脆弱的基础架构却往往会使企业血临潜在的攻击。互联网的基础架构,如BGP、DNS、SSL等,其设计目的都是保障通信的正常进行,但此基础架构并非总是完全可信的。我们仍可以看到一些重大的问题需要解决。Gartner的研究人员JohnPescatore指出有卩耳大主要的攻击可以利用互联网的基础架构:DoS和DDoS、证书授权损害和欺诈、域名服务攻击、4GLTEoGartner的研究人员Orans指出,互联网从整体上说是稳定的。但是如果你从其组

2、成部分的层次上来看,就会发现存在一些不稳定和不可靠的问题。下血就是Gartner的研究人员所发现的四大主要的基础架构攻击,以及对付这些攻击的主要策略。1、拒绝服务和分布式拒绝服务攻击(即DoS和DDoS)根据ArborNetworks的消息,这两种攻击绝对不会绝迹,而且至少有一半的ISP每月遭受一到十次的这种攻击,而且用免费工具(如LowOrbitIonCannon(L0IC))这种广受攻击者欢迎的匿名DDoS武器,就可以更容易地发动攻击。Orans说,黑客主义是一个问题:如果某人不喜欢你的企业,他就可以对你发动攻击,且犯罪份子的攻击也是一个问题。Neustar

3、的副总裁和高级技术专家RodneyJoffe在Gartner会议期间展示了一段视频,展示了犯罪者的攻击往往用于掩饰更为阴险的目标攻击。犯罪者越来越擅长于隐藏其操作,他们隐藏得越好,安全人员就越难以过滤和防御这种攻击。Joffe说,这种攻击的伪装性越来越好,企业应当部署BCP38(网络入口过滤),以应对源地址欺诈。在对付DDoS的过程中,这会带来显著的差异。Gartner对遏止DDoS攻击的建议:首先,评估丧失企业的Web给企业带来的经济影响,并提供在遭受攻击后的事件响应计划oOrans说,企业的计划应当以业务的连续性和灾难恢复策略为重点。其次,考虑减轻DDoS攻

4、击的服务。最廉价的方法是一种“管道清洁”服务,其成本超过带宽服务价格的10%到15%oISP可以检测并减轻DDoS攻击,因而犯罪者就无法完全占有你的信息通道,Oran说,这是一个富有成本效益的好方法。Orans说,一种更净化型的版木是“净化型”服务,即你在遭受攻击时,你可以将通信发送给一个供应商。这些供应商可以充当一个中间人,并对通信进行“净化”,取出DDoS通信,仅将善意通信发送给你。这种服务的每个站点的收费标准为10000美元,当然,你也可以根据带宽來付费。另外一种服务是DDoS设备,它位于DMZ中,并可以检测DDoS通信,进而改变其方向。2、证书授权数字证

5、书遭到损害和攻击的事实迫使许多专家寻求一种验证网站或软件的新方法。Pescatore说,真正的问题是这个注册过程。数字证书只能如同其注册过程一样强健:密钥的交换并不口动等同于认证。SSL的发明者TaherElgamal在Gartner的峰会上展示了一段视频消息,他说,这纯粹是一个过程问题而不是一个技术问题。在过去的儿年中,在证书授权遭到破坏后,就会出事,此吋的用户仍拥有证书授权,但他们并没有占有其名字。此吋,可信性已经无从谈起如何减轻证书授权的这种威胁?Gartner建议使用证书管理工具和强化的浏览器。Pescatore说,第一个问题是找到你在哪里使用证书,并知

6、道口己是否有需要撤销的证书。在一个典型的公司中,有大量的SSL证书。证书管理工具可以帮助你找出这些证书。另一个选择强化用于敏感操作(如网络银行或b2b的交易等)的浏览器。一定要教育雇员,让其知道SSL的局限性,SSL会话并不能保证网站自身的真实性。如果证书授权遭到破坏怎么办?Pescatore说,准备一个事件响应计划。要想防御这些威胁,现在需要大量的DIYI作,直至业界的努力(例如,DANE,即可以验证用户或证书的DNS)得以部署完成。Pescatore说,我认为我们所看到的事件仅仅是一个开始,部署某些减轻措施的时候已经到了。在你正在允许移动设备在公司使用的时候

7、,就应当与移动设备的管理厂商进行协商,研究解决SSL弱点的解决方案。3、域名服务互联网名称服务器的漏洞(从高速缓存投毒威胁到针对DNS根服务器的分布式拒绝服务攻击)一直受到关注。虽然这些攻击相对较少,但企业需要采取措施确保其DNS服务器受到保护。PaulMockapetris是Nominum的首席科学家和DNS的发明人,他说多数DNS攻击都是针对老版软件实施的。因而,更新DNS软件是第…道防线,用户应该检查其配置确保其不受损害。DNSSEC能够对域进行数字签名,以确保其合法性,所以服务供应商应当部署此安全认证机制。0股ns说DNSSEC可以进入企业。企业可以采用

8、其中一些相同的DDoS减

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。