采购网络安全技术的最佳方式是什么?这个问题似乎有点难以回答。
虽然大多数网络安全人员都觉得自己预算不足、人手不足,面对不断涌现的网络威胁、成山成海的事件警报,往往有心无力、疲于应付,但有一个办法可以应对该严峻的局面――效率。
如果能拿到更多预算,我们会做什么?我们怎样确保钱都花到刀刃上,获得最大收益?搞清如何有效采购信息安全产品,并不像初看上去那么简单。有四个基本方法可以遵循:
1. 大品牌路线
一站式服务听起来不错。无论是否业内最佳,从一家大型供应商处购置全部所需产品。反正一旦出事,要怪就怪那一家,对吧?
2. 精品店路线
调查研究"业内最佳"品牌,购入所有热门解决方案。这种方式与大品牌路线正相反,需要走访很多家小店。
3. 全部定制路线
雇佣小型提供商,将他们的研发导引到自己的需求上来,让他们为自己定制所需全部产品。这么做的效果会更好,但自身付出的时间和资源会很多。
4. 最佳供应商生态系统路线
信息安全空间里,每家供应商都在各自领域拥有核心竞争力。集成整合这些竞争力,可以帮助解决客户的问题。
成熟企业知道,以有限资源优化自身生态系统的最佳方式是:
- 采用成体系的各类技术及服务;
- 合理部署这些技术及服务;
- 优先解决最紧迫的需求;
- 每年至少复核一次,以保证覆盖面和投资回报率。
最终,某些安全与合规相关解决方案可能会落到不同的预算中心――合规、运营或网络安全相关。必须知道自己是否需要这些解决方案,知道该在何时购置。
从何处入手呢?
采用 SANS 20大关键安全控制之类的框架。很多框架都可以用作解决安全及合规问题的绝佳平台――NIST、CIS、PCI、NERC等等。
上图是按优先级顺序排列的 SANS 20大关键安全控制,
从上述示例中就可看出,通过集成安全生态环境内多家合作伙伴,可帮助企业有效延伸网络安全覆盖面。
相关阅读
黑客技术官网地址:http://www.hackdig.com/
其他操作系统也需更新,性能受损。
程序员们匆忙上马,彻底检查开源Linux内核虚拟内存系统。同时,微软有望在下一个周二更新日为Windows操作系统做出必要的修改:针对11月和12月推出的 Windows Insider Fast-ring 测试版。
基本上,Linux和Windows的这次更新都将对英特尔产品的性能产生影响。影响有多大尚有待衡量,但粗略估计会在5%-30%之间――依具体任务和处理器模型而定。更新一些有PCID之类功能的英特尔芯片可以减小性能损失。各用户的情况不一而足。
因为缺陷出自英特尔x86-64硬件,且似乎微代码更新无法解决该问题,所以类似的操作系统(如苹果的64位macOS)也需要更新。要么在操作系统级软件修复该问题,要么新买一块不带该设计缺陷的处理器,自己选吧!
该漏洞的细节目前尚未披露,大概会在微软下周二的更新日适时推出吧。实际上,Linux内核的补丁已经推出,只是源代码中抹去了注释以防漏洞细节太过明显。
不过,我们还是可以从中探得几分究竟。
影响
据了解,该漏洞出现在过去10年中生产的现代英特尔处理器中,可令普通用户程序――从数据库应用到浏览器JavaScript脚本,在一定程度上获悉受保护内核内存区域的布局或内容。
用内核页表隔离(KPTI)技术将用户进程与内核内存完全隔开可以解决该问题。事实上,Linux内核团队曾一度考虑用中断间接跳转强制完全解除内核映射(FUCKWIT),这么极端的办法都认真考虑过,可想而知这个漏洞给开发人员造成了多大的麻烦。
正在运行的程序无论什么时候想干点儿什么有用的事,比如写个文件或者打开个网络连接啥的,都得暂时将处理器控制权交给内核去执行这些工作。为使用户态和内核态之间的切换快速高效,即便程序本身看不到内核,内核还是会出现在所有进程的虚拟内存地址空间里。需要内核的时候,程序就执行一个系统调用,处理器切换到内核模式。而在用户态下,内核的代码和数据对用户不可见,但存在于进程的页表里。
可以把内核比作天上的神仙,端坐云头俯瞰大地。凡人看不到神仙,但是可以向神仙许愿。
KPTI补丁将内核放到一个完全隔离的地址空间,让它不仅仅对进程不可见,甚至根本不在进程里了。其实本没必要做到这一步,但很明显,英特尔的芯片里确实出现了可令内核访问防护机制被绕过的漏洞。
这一隔离方式的缺点就在于时间开销太高昂了。每次系统调用都要在两个隔离的地址空间来回倒腾,还有超级费时的硬件中断,想想都让人生无可恋。这些切换不会即时发生,还会导致处理器废弃缓存的数据而去内存中重新加载信息。所有这些都会增加内核的开销,拖慢计算机的速度。
黑客会怎么滥用这个安全漏洞呢?
至少,这个漏洞可以被恶意软件用来更加容易地利用其他安全漏洞。
最坏情况的话,就是被程序和已登录用户利用来读取内核内存里的内容了。总之,情况很不妙。内核内存空间之所以对用户进程不可见,是因为它有可能含有各种各样的秘密,比如口令、登录密钥、缓存的磁盘文件等等。不难想象,一旦浏览器里运行的JavaScript脚本,或者共享公共云服务器上的恶意软件能够嗅探内核中受保护的数据,那会是怎样一个恐怖的场景。
尤其是,该漏洞可被滥用来击溃KASLR(内核地址空间布局随机化)――操作系统在虚拟内存的随机位置部署内核组件的一种防御机制。该机制可挫败滥用内核中其他漏洞的企图:通常是漏洞利用代码,尤其是面向返回编程的漏洞利用代码――依赖对内存中已知位置的计算机指令的重用。
如果内核代码在内存中的位置被随机化了,漏洞利用代码就找不到所需的内部组件,也就不能完全破坏系统了。该处理器设计缺陷有可能被用来找出内核在内存中存放其数据和代码的位置,因此,必须赶紧打上软件补丁。
然而,英特尔芯片中的漏洞有可能造成比上述缓解措施被绕过更糟糕的后果。圣诞节时,AMD给Linux内核邮件列表发了封电子邮件,称AMD处理器不受该漏洞影响。然而,该邮件中的措辞实际上透露了该漏洞利用上的一些细节:
AMD处理器不受内核代码数据读取攻击的影响。AMD微架构不允许内存引用,包括猜测性的引用,也就是可导致页面出错的低权限模式下对高权限数据的访问。
此处的关键词是"猜测性"。英特尔之类现代处理器会进行猜测性代码执行――CPU尽最大努力猜测下一个要执行的代码是哪段并取来执行,以使其内部管道布满一系列应执行的指令,提升CPU指令执行的效率。
从上面AMD软件工程师汤姆・兰达基所述看来,英特尔CPU的猜测性代码执行很可能缺乏必要的安全检查。似乎可以构造那么一种软件,让处理器开始执行通常会被阻止的指令(比如以用户态读取内核内存),并在权限检查发生前就将该指令执行完毕。
这么做就可以使Ring3级用户代码能够读取Ring0级内核数据了。当然,这不是什么好事。
该漏洞的细节还有待证实,关于其严重性的讨论也只是猜测,但考虑到Linux和Windows的大改,以及这些大幅更新推出的快速性,这一漏洞很可能比KASLR绕过更严重。
在Linux上隔离内核与用户地址空间的更新,是在名为KAISER的补丁集上做出的。创建KAISER补丁集的奥地利格拉茨技术大学科学家们,正是发现可以通过对CPU虚拟内存系统的边信道攻击,抽取内核内存布局信息以挫败KASLR防护的那个团队。该团队提出,分隔内核与用户空间可防止此类信息泄露,而他们的研究正是这一轮KPTI补丁的灵感来源。
7月份的时候,有人写了篇博客,记叙自己通过滥用猜测性执行来从用户态读取内核内存的尝试。尽管没给出任何可用的概念验证代码,这位仁兄提到:
我的结果表明,即便内核态和用户态之间的隔离被打破,猜测性执行确实还在进行。
KAISER补丁集似乎就与这篇博客文章相关,而格拉茨技术大学团队通过滥用虚拟内存布局突破KASLR防护的方法,也在某种程度上证明了这位博主的正确性――英特尔x86芯片上的猜测性执行是可以用来获取内核内存的。
共享系统
元旦时,一篇流传甚广的推特文章称,该漏洞将影响一系列大品牌云计算环境,包括亚马逊EC2、微软Azure和谷歌Compute Engine:
目前有个暂不公开的安全漏洞,影响当下所有实现了虚拟内存的英特尔CPU架构,需要硬件修改才能完全解决。目前已经开发出了紧急软件缓解措施,并已应用到Linux内核上,NT内核中的类似缓解措施似乎在11月份就出现了。最坏情况下,该软件补丁会导致正常工作负载的执行速度大幅变慢。有迹象表明,对这一漏洞的攻击会影响到常见虚拟化环境,包括亚马逊EC
没有评论:
发表评论