隨著網(wǎng)絡(luò)邊界模糊化，網(wǎng)絡(luò)安全不再局限于PC端，移動端、服務(wù)器端、云端等安全終端日益成為個人、組織、企業(yè)關(guān)注的方面，使用優(yōu)質(zhì)的安全產(chǎn)品做好防護才能使我們處于一個相對安全的網(wǎng)絡(luò)環(huán)境中。軟件工程師正努力完成主要的代碼塊，但他的老板卻要砍掉相當(dāng)一大部分內(nèi)容，其中包括一些從網(wǎng)絡(luò)上下載的開源程序。替換這些程序?qū)⒃黾禹椖块_發(fā)時間。他跑到老板辦公室懇求：“我需要在系統(tǒng)中使用這些軟件！”

“你不能使用它。它是開源的，不可靠。”老板說道。

　　工程師點點頭，對老板的回答早有所料。“是的，它是開源的，來自網(wǎng)絡(luò)，但我們有使用經(jīng)驗。我已經(jīng)和軟件工程師交流過，他們會逐行審查源代碼和目標(biāo)代碼。”

　　老板抬頭，看了看角落里的多年服務(wù)獎，堅定的說：“你永遠不能確定，程序里沒有瑕疵。”

　　上述簡短場景，聽起來有點像懸疑電影，但鑒于近年發(fā)生的安全事件，在網(wǎng)絡(luò)安全領(lǐng)域里，這些情況可能是非常真實的。大多數(shù)人認為：軟件就是做那些“在大部分時間里按照期望做事的東西”，因此有時會忽視潛在的危險。

　　正在為設(shè)備和工業(yè)系統(tǒng)寫代碼的軟件工程師，不希望做重復(fù)性的工作。如果有人已經(jīng)為某項任務(wù)編寫了可用的代碼，那么他們就不想再重新寫一次。他們寧愿從網(wǎng)上下載免費軟件和開源代碼，以便節(jié)省時間。或者，他們可以從早期有據(jù)可查的產(chǎn)品中提取已有代碼。將所有這一切組合起來，安裝到新裝置中。只要它能夠按照預(yù)期執(zhí)行任務(wù)，沒有人想知道或關(guān)心它來自何處。

　　相當(dāng)長一段時間，都是這么做的，但現(xiàn)在這一切正在發(fā)生變化。由于很多黑客和網(wǎng)絡(luò)犯罪分子都在刷存在感，因此網(wǎng)絡(luò)安全領(lǐng)域正變得越來越混亂。黑客及其所作所為，所反應(yīng)的技能水平千差萬別。有些比較笨拙，非常容易被發(fā)現(xiàn)。而另外一些則更為隱蔽，只有最有名的網(wǎng)絡(luò)安全專家才能探測到。

　　盡管工程師精簡項目的初衷是好的，但老板說的也沒錯：不安全的代碼可能會潛伏在這些軟件中。有時可以發(fā)現(xiàn)和并將其清除，但最近的網(wǎng)絡(luò)安全泄露案例表明這種威脅可以被很好的偽裝起來。
 

后門程序攻擊

　　2015年12月，Ars Technica發(fā)表了一份令人震驚的報告：12月17日，瞻博網(wǎng)絡(luò)發(fā)出緊急安全公告：在一些公司的NetScreen防火墻和安全服務(wù)網(wǎng)關(guān)（SSG）的操作系統(tǒng)（OS）中，發(fā)現(xiàn)了“未經(jīng)授權(quán)的代碼”。該報告說，商家針對該漏洞發(fā)布了緊急補丁包，以便修補受影響的設(shè)備操作系統(tǒng)，網(wǎng)絡(luò)安全專家確認未經(jīng)授權(quán)的代碼就是后門程序。

　　網(wǎng)絡(luò)安全專家確認，被用于逃避正常認證的管理員密碼是“＜＜＜ ％s（un＝’％s’） ＝ ％u．” 調(diào)查這堆亂碼的安全研究人員認為，它可能是軟件源代碼文件中出現(xiàn)的調(diào)試或測試代碼。據(jù)此可以得出兩個結(jié)論：

　　1、故意設(shè)置未經(jīng)授權(quán)的后門。

　　2、專門為逃避檢測而精心設(shè)計。

　　我們似乎正在進入這樣一個時代：黑客在軟件中精心設(shè)計漏洞，并仔細隱藏起來。知道這些隱藏代碼功能的攻擊者，只要他們愿意，隨時可以利用這些漏洞。最終用戶、系統(tǒng)集成商和設(shè)備制造商需要做適當(dāng)?shù)臏?zhǔn)備，以便應(yīng)對新的安全挑戰(zhàn)。

　　要做什么：最終用戶

　　審查裝置補丁狀態(tài)。很明顯，任何組織要做的第一件事，就是開始評估整個組織范圍內(nèi)的網(wǎng)絡(luò)，以便確定漏洞或潛在易受攻擊的網(wǎng)絡(luò)設(shè)備。 不僅是瞻博網(wǎng)絡(luò)硬件，還有其它網(wǎng)絡(luò)設(shè)備供應(yīng)商都應(yīng)做此審查。首先假設(shè)所有供應(yīng)商提供的設(shè)備都是不安全的。

　　嘗試為所有網(wǎng)絡(luò)設(shè)備打補丁。評估之后，應(yīng)給所有適用設(shè)備，甚至是經(jīng)事先批準(zhǔn)的非瞻博設(shè)備都打上補丁。步驟有二：一是確定哪些設(shè)備用于特別關(guān)鍵領(lǐng)域（如工業(yè)控制系統(tǒng)），二是識別那些因使用時間太久而需要更新的設(shè)備。

　　創(chuàng)建風(fēng)險矩陣。前兩個步驟所得到的信息，可以幫助確定攻擊面。該矩陣應(yīng)該有兩個軸：第一是打補丁功能，從由于時間久遠導(dǎo)致無法打補丁，到由于供應(yīng)商的合作而非常容易打補丁。第二個是功能重要性，從高關(guān)鍵性（需要24 ／ 7運行的工業(yè)網(wǎng)絡(luò)）到低關(guān)鍵性（辦公室分支的小網(wǎng)關(guān)）。在關(guān)鍵運行環(huán)境中不能打補丁的設(shè)備應(yīng)被更換。遵循這種分析，將幫助您的組織，在其它網(wǎng)絡(luò)設(shè)備被黑客攻破等這類不可避免的事件中，領(lǐng)先一步。

　　制定計劃，改變你的攻擊面漏洞。矩陣應(yīng)指導(dǎo)修補計劃的制定。有了這些信息，安全人員可以提供一個基于百分比的指標(biāo)，顯示由于新網(wǎng)絡(luò)環(huán)節(jié)漏洞的出現(xiàn)所帶來的風(fēng)險。在最壞情況發(fā)生時，矩陣也可以提供一個好的行動計劃：新的網(wǎng)絡(luò)漏洞被及時發(fā)現(xiàn)。

　　增加網(wǎng)絡(luò)和配置監(jiān)控。如果一個組織正在使用Snort，F(xiàn)oxIT已經(jīng)具有入侵檢測簽名來檢測這種攻擊。應(yīng)在組織范圍內(nèi)，將所有網(wǎng)絡(luò)設(shè)備的配置置于控制之下。定期安全審計，不僅要驗證網(wǎng)絡(luò)設(shè)備的配置，還應(yīng)通過測試流量模式評估實際的網(wǎng)絡(luò)配置。

　　要做什么：系統(tǒng)集成商

　　檢查實驗室設(shè)備補丁狀態(tài)和實施指南。提供網(wǎng)絡(luò)設(shè)備的系統(tǒng)集成商，應(yīng)為任何實驗室系統(tǒng)打補丁，然后更新實施指南，以反映網(wǎng)絡(luò)設(shè)備配置的變化。例如，對于瞻博設(shè)備，在進行固件更新時，有代碼簽名步驟。當(dāng)其它網(wǎng)絡(luò)設(shè)備供應(yīng)商被發(fā)現(xiàn)有類似問題時， 實施人員應(yīng)做相應(yīng)準(zhǔn)備。

　　圖表基于可實現(xiàn)性以及關(guān)鍵程度高低，介紹了什么時候需要給安全網(wǎng)絡(luò)打補丁。圖片來源：橫河

　　嘗試為所有網(wǎng)絡(luò)設(shè)備打補丁。系統(tǒng)集成商應(yīng)與它們的客戶和最終用戶一起，盡快為所有設(shè)備打補丁。也應(yīng)該坦率的與客戶討論，解釋新一代攻擊的危害，強調(diào)長期為更多補丁和監(jiān)測做準(zhǔn)備的重要性。將其視為另一種Stuxnet類型的事件，并不十分夸張。

　　系統(tǒng)集成商可以提供解決方案和服務(wù)，以增加設(shè)備監(jiān)控。系統(tǒng)集成商應(yīng)做適當(dāng)?shù)囊龑?dǎo)，通知客戶新的威脅，并提供解決方案和服務(wù)，以增加對安全和網(wǎng)絡(luò)設(shè)備的監(jiān)控。這也有助于促使客戶考慮旨在確定網(wǎng)絡(luò)配置控制和網(wǎng)絡(luò)補丁管理層次的服務(wù)。

　　要做什么：設(shè)備制造商

　　審查開發(fā)和實驗室設(shè)備補丁的狀態(tài)。設(shè)備制造商（包括工業(yè)控制設(shè)備制造商）應(yīng)立即修補任何開發(fā)和實驗室系統(tǒng)。應(yīng)更新安全策略和程序，以反映網(wǎng)絡(luò)設(shè)備配置的更改，并加強對遷移到開發(fā)環(huán)境中的設(shè)備及軟件的控制。

　　重新審視開發(fā)實驗室和辦公網(wǎng)絡(luò)架構(gòu)。在開發(fā)網(wǎng)絡(luò)連接到其它網(wǎng)絡(luò)的方式上面，設(shè)備制造商需更加謹慎。瞻博可能會花費很多的資源，來找出出現(xiàn)在其設(shè)備軟件上的后門。你也可以相信，瞻博將投資更多的開發(fā)配置控制軟件，并反思其開發(fā)網(wǎng)絡(luò)的安全性能，以便加入更多的審計和監(jiān)控。