深度防御不等于堵住漏洞

发布时间:2012-02-22 13:53 作者:佚名来源:IT专家网点击:加载中...次

　　在上篇中介绍Susan Perschke与Cisco副总裁兼首席安全官John N.Stewart就企业安全状况进行了深入讨论(详见《思科首席安全官：企业的最新安全威胁和对策》)，这次讨论涉及的领域很广泛，在讨论中，Stewart描述了当今企业面临的最麻烦的威胁并讲到了有关公司如何才能在部署综合安全时保护自己。他提出了具体的建议并谈到了移动性，身份管理以及公司在开始规划IPv6时需要做的事情等方面。

　　下面继续介绍他们之间的深刻讨论:

　　Susan：在我写完第二篇关于IPv6的文章之后真正震惊我的是人们的一些评论，这些评论大致是这样的：“既然现在没人使用IPv6，我也没有任何IPv6设备，我的上游供应商也不支持IPv6，我又何必担心呢?”但是我的回答是：“不管怎样，你都需要担心，因为你仍然很容易受到来自IPv4的攻击。”

　　答：非常正确!这将会是一个有趣的观测，因为V6引擎实际上是在轻轻的迁移，如果没有显著地移动则是因为几个原因。如果你回想一下我们在6月某一天的工作：证明你可以运行V6引擎的网络，广告等。但是大部分的搜索服务提供商在某些功能上已经启用了V6引擎，尤其在手机上。就像我的mac操作系统，它可以即时启用V6，即使我在网络上不使用V6引擎，因为mac系统默认V6是启用的。

　　Susan：是的，每个人都面临这样的问题尽管有时候他们并没有意识到。

　　答：你说的很对。

　　Susan：我可以想象在IT公司进行管理而考虑到经济效益时管理层会思考为什么他们要考虑IPv6：它只是一个需要开支的多余的层。

　　答：的确如此，因为对于你来说你可能不会使用IPv6，但这并不意味着没有人使用。此外，我认为如果你想放眼未来并且拥抱未来，最好不要忽视IPv6，因为使用IPv6是不可避免的，而你可能要花上数年才能准备好去接受这种必然性，我可不愿在我需要使用它时才去学习了解它。不管你愿不愿意了解它，IPv6就在那里，而认为所有IPv4中的思想都适用于IPv6的想法是一个谬论。它可能90%都是文氏图(Venn Diagram)，但仅此而已，剩下的10%将会使IPv6非常与众不同。

　　Susan：过去用来进行反追踪攻击源搜索的空间是相当有限的，而现在，由于IPv6的地址数量多达数十亿，搜索空间已经不再是非常小了。

　　答：正确，你刚好讲到点子上了。不能只进行一次扫描就发现漏洞，这是v6独有的特点之一，而你并不打算进行多次扫描去检查漏洞。因此为什么不现在就去了解v6呢，在它变成你需要解决的问题之前就做好准备而不是面对v6时毫无准备。当然，这也是我们从v4上学到的。但是，我觉得具有讽刺意味的是，社会中存在着这样一种共识：“不，我不需要了解它因为我现在不使用它。”过去我们同样没有使用过v4，但是后来我们就开始使用v4内部的数据中心，然后是内部局域网，再然后是远程访问，最后v4变得无所不在。因此，我宁愿在一开始就去学习，而不是半路学习。

　　Susan：那么你对公司机构有没有什么切实可行的建议?你可以在外围做一些至少能够捕获可能被包装在IPv4里的恶意软件的东西吗?

　　答：公司机构现在就可以开始做两件事情。这像极了为此目的而正在使用的DLP(data loss prevention，数据丢失保护);本质上来说你是在寻找封装的数据包。但是它现在也不是一个精确地科学，因为你需要解决包装、加密以及其它模糊处理技术，否则你将看不到包的内容。第二件现在就可以做的事情是搭建支持v6的设备并且注意什么会“ping”它们，这里不是字面上的ping。然后你可以发现是否存在v6流量，尽管你可能认为不会存在。这是因为你会看到v6设备广播寻找邻居，广播路由信息以及广播网络邻居地址请求、包含v6的多播扫描数据。以上这些只是给出了一些我认为非常有用的意识：“嘿，我必须认真考虑它。”

　　最后一点我认为很重要，那就是趁现在IPv6还不是很成熟，尝试使用它做一些事情。现在是学习了解IPv6的好时机。

　　Susan：那么从实际上来说，你可以在交换机级别处理这些问题吗?

　　答：当然可以。这就是我们所要参与进去的，尽管在这一块有不止一家公司和产品在竞争。我们已经卖出了诸如以下的产品，如我们在2011年5月推出的思科身份服务引擎(ISE)，思科自适应安全设备(ASA)，它基本上是我们用于远程访问解决方案的防火墙，还有思科AnyConnect VPN客户端，它允许你进行远程访问。

　　Susan：对于数据中心管理人员来说深度防御仍然是最好的整体安全策略吗?

　　答：我赞成深度防御，我称之为“复合安全”，仍然是一个非常好的策略。但是这一块有一些地方我们还没有进行足够的讨论，我认为环境理解是最基本的。我试图争辩的是，如果你不了解你的基础设施，即使你有深度防御你也不会具有安全性。太频繁、太快、时间、效率，随你怎么说，最后我们却偏离了我们所建设的东西正确运转的轨道，我们并没有真正的理解环境。我们拥有所有层次的深度防御，但是我们却不知道漏洞在哪里，而其他人却找到了这些漏洞，因为他们在研究我们。

(责任编辑：)