智能安防新时代：用户、SI、设备制造商要做什么？

随着网络边界模糊化，网络安全不再局限于PC端，移动端、服务器端、云端等安全终端日益成为个人、组织、企业关注的方面，使用优质的安全产品做好防护才能使我们处于一个相对安全的网络环境中。软件工程师正努力完成主要的代码块，但他的老板却要砍掉相当一大部分内容，其中包括一些从网络上下载的开源程序。替换这些程序将增加项目开发时间。他跑到老板办公室恳求：“我需要在系统中使用这些软件！”

“你不能使用它。它是开源的，不可靠。”老板说道。

工程师点点头，对老板的回答早有所料。“是的，它是开源的，来自网络，但我们有使用经验。我已经和软件工程师交流过，他们会逐行审查源代码和目标代码。”

老板抬头，看了看角落里的多年服务奖，坚定的说：“你永远不能确定，程序里没有瑕疵。”

上述简短场景，听起来有点像悬疑电影，但鉴于近年发生的安全事件，在网络安全领域里，这些情况可能是非常真实的。大多数人认为：软件就是做那些“在大部分时间里按照期望做事的东西”，因此有时会忽视潜在的危险。

正在为设备和工业系统写代码的软件工程师，不希望做重复性的工作。如果有人已经为某项任务编写了可用的代码，那么他们就不想再重新写一次。他们宁愿从网上下载免费软件和开源代码，以便节省时间。或者，他们可以从早期有据可查的产品中提取已有代码。将所有这一切组合起来，安装到新装置中。只要它能够按照预期执行任务，没有人想知道或关心它来自何处。

相当长一段时间，都是这么做的，但现在这一切正在发生变化。由于很多黑客和网络犯罪分子都在刷存在感，因此网络安全领域正变得越来越混乱。黑客及其所作所为，所反应的技能水平千差万别。有些比较笨拙，非常容易被发现。而另外一些则更为隐蔽，只有最有名的网络安全专家才能探测到。

尽管工程师精简项目的初衷是好的，但老板说的也没错：不安全的代码可能会潜伏在这些软件中。有时可以发现和并将其清除，但最近的网络安全泄露案例表明这种威胁可以被很好的伪装起来。

后门程序攻击

2015年12月，Ars Technica发表了一份令人震惊的报告：12月17日，瞻博网络发出紧急安全公告：在一些公司的NetScreen防火墙和安全服务网关（SSG）的操作系统（OS）中，发现了“未经授权的代码”。该报告说，商家针对该漏洞发布了紧急补丁包，以便修补受影响的设备操作系统，网络安全专家确认未经授权的代码就是后门程序。

网络安全专家确认，被用于逃避正常认证的管理员密码是“＜＜＜ ％s（un＝’％s’） ＝ ％u．” 调查这堆乱码的安全研究人员认为，它可能是软件源代码文件中出现的调试或测试代码。据此可以得出两个结论：

1、故意设置未经授权的后门。

2、专门为逃避检测而精心设计。

我们似乎正在进入这样一个时代：黑客在软件中精心设计漏洞，并仔细隐藏起来。知道这些隐藏代码功能的攻击者，只要他们愿意，随时可以利用这些漏洞。最终用户、系统集成商和设备制造商需要做适当的准备，以便应对新的安全挑战。

要做什么：最终用户

审查装置补丁状态。很明显，任何组织要做的第一件事，就是开始评估整个组织范围内的网络，以便确定漏洞或潜在易受攻击的网络设备。 不仅是瞻博网络硬件，还有其它网络设备供应商都应做此审查。首先假设所有供应商提供的设备都是不安全的。

尝试为所有网络设备打补丁。评估之后，应给所有适用设备，甚至是经事先批准的非瞻博设备都打上补丁。步骤有二：一是确定哪些设备用于特别关键领域（如工业控制系统），二是识别那些因使用时间太久而需要更新的设备。

创建风险矩阵。前两个步骤所得到的信息，可以帮助确定攻击面。该矩阵应该有两个轴：第一是打补丁功能，从由于时间久远导致无法打补丁，到由于供应商的合作而非常容易打补丁。第二个是功能重要性，从高关键性（需要24 ／ 7运行的工业网络）到低关键性（办公室分支的小网关）。在关键运行环境中不能打补丁的设备应被更换。遵循这种分析，将帮助您的组织，在其它网络设备被黑客攻破等这类不可避免的事件中，领先一步。

制定计划，改变你的攻击面漏洞。矩阵应指导修补计划的制定。有了这些信息，安全人员可以提供一个基于百分比的指标，显示由于新网络环节漏洞的出现所带来的风险。在最坏情况发生时，矩阵也可以提供一个好的行动计划：新的网络漏洞被及时发现。

增加网络和配置监控。如果一个组织正在使用Snort，FoxIT已经具有入侵检测签名来检测这种攻击。应在组织范围内，将所有网络设备的配置置于控制之下。定期安全审计，不仅要验证网络设备的配置，还应通过测试流量模式评估实际的网络配置。

要做什么：系统集成商

检查实验室设备补丁状态和实施指南。提供网络设备的系统集成商，应为任何实验室系统打补丁，然后更新实施指南，以反映网络设备配置的变化。例如，对于瞻博设备，在进行固件更新时，有代码签名步骤。当其它网络设备供应商被发现有类似问题时， 实施人员应做相应准备。

图表基于可实现性以及关键程度高低，介绍了什么时候需要给安全网络打补丁。图片来源：横河

尝试为所有网络设备打补丁。系统集成商应与它们的客户和最终用户一起，尽快为所有设备打补丁。也应该坦率的与客户讨论，解释新一代攻击的危害，强调长期为更多补丁和监测做准备的重要性。将其视为另一种Stuxnet类型的事件，并不十分夸张。

系统集成商可以提供解决方案和服务，以增加设备监控。系统集成商应做适当的引导，通知客户新的威胁，并提供解决方案和服务，以增加对安全和网络设备的监控。这也有助于促使客户考虑旨在确定网络配置控制和网络补丁管理层次的服务。

要做什么：设备制造商

审查开发和实验室设备补丁的状态。设备制造商（包括工业控制设备制造商）应立即修补任何开发和实验室系统。应更新安全策略和程序，以反映网络设备配置的更改，并加强对迁移到开发环境中的设备及软件的控制。

重新审视开发实验室和办公网络架构。在开发网络连接到其它网络的方式上面，设备制造商需更加谨慎。瞻博可能会花费很多的资源，来找出出现在其设备软件上的后门。你也可以相信，瞻博将投资更多的开发配置控制软件，并反思其开发网络的安全性能，以便加入更多的审计和监控。