不久前，瞻博網(wǎng)絡(luò)公司的安全由于2015年12月的安全漏洞（CVE-2015-7755，CVE-2015-7756）而受到影響。對于驗證的威脅，IT安全專業(yè)人士一直在關(guān)注很長時間了。這種未經(jīng)授權(quán)的代碼或組件設(shè)計以某種方式回避安全組件，不知何故植入到數(shù)據(jù)中心使用的網(wǎng)絡(luò)產(chǎn)品。

至于安全公告是什么的聲明，意味著，瞻博網(wǎng)絡(luò)公司德里克?紹爾表示，“在這個時候，我們還沒有收到這些漏洞被利用的任何報告;但是，我們強烈建議用戶更新他們的系統(tǒng)，并下載安裝最高優(yōu)先級應用補丁的版本?！比藗儽仨氁?，作為安全公告明確指出，“沒有辦法檢測到，這個漏洞被利用?！?br />

后門程序使事情變得更糟

瞻博網(wǎng)絡(luò)公司迅速作出反應，并發(fā)出糾正更新。不過，其公告和發(fā)布修復為黑客們提供了攻擊的機會。當初，任何人都不知道其有后門，現(xiàn)在很多人知道了這一事實。其次，修補程序是其路線圖。荷蘭安全公司的首席技術(shù)官羅納德?普林斯表示，“一旦有人知道后門在哪里，就會去下載瞻博網(wǎng)絡(luò)發(fā)布的補丁，然后去尋找后門，可以使用屏幕OS軟件登錄到瞻博公司的每個設(shè)備?！?br />
而且從歷史記錄上看，瞻博網(wǎng)絡(luò)公司一些設(shè)備仍然沒有打補丁。

捕獲加密數(shù)據(jù)

普林斯提出另一個問題。在這個大數(shù)據(jù)時代，這并是不合理的假設(shè)，一些懷有惡意的人或黑客可能對其目標長期感興趣，已捕獲加密流量，并希望能夠有所突破。他表示，“如果其他國家的黑客從這些VPN設(shè)備截取VPN流量，他們將能夠追溯歷史，并對這種流量的內(nèi)容進行解密?！?br />

其他供應商

如果有的話，其他的網(wǎng)絡(luò)廠商可能通過這些代碼查看瞻博網(wǎng)絡(luò)到底發(fā)生了什么事發(fā)情。思科公司安全和信任組織的高級主管安東尼?格里科表示，思科公司的政策是不能有“后門”。

“思科推出了審查制度，因為客戶對我們的信任是至關(guān)重要的。我們沒有瞻博網(wǎng)絡(luò)公司那樣的公告發(fā)布，我們的審核是不回應任何外界請求。我們這樣做是因為這是正確的事情?！?br />
Fortinet公司的工程師和質(zhì)量保證團隊成員也審查了他們的網(wǎng)絡(luò)產(chǎn)品。這樣做，他們發(fā)現(xiàn)了一個潛在的漏洞。Fortinet公司一名發(fā)言人指出，“該漏洞的設(shè)計，可能會提供在授權(quán)中注冊的FortiGate設(shè)備提供無縫訪問的機會。要注意，這不是實施授予非授權(quán)用戶訪問的惡意后門的情況下，它是重要的。在這一點上，是否確定犯罪嫌疑人采用植入程序進入后門，并提供未經(jīng)授權(quán)的訪問還為時尚早。然而，毫無疑問，這些代碼確實有效果。”

還有什么選擇嗎？

至于可以什么做，專家們對如何減少后門侵入有一些想法。信息安全架構(gòu)師約翰?丹?斯旺森建議，用戶要堅持進行良好的補丁管理，以及實時更新代碼?！皢T工應定期監(jiān)測，或自動提醒采用用關(guān)鍵基礎(chǔ)設(shè)施供應商發(fā)出的安全警告和代碼更新?！彼雇f?！霸陉P(guān)鍵的安全漏洞中，可能會有允許遠程代碼執(zhí)行或未經(jīng)授權(quán)的訪問，員工應安排和實施更新，盡快更新可用的代碼?！?br />
斯旺森建議還可采取一些預防性的措施，而不是等待或完全依靠廠商的補丁來解決這個問題。他建議，“關(guān)鍵基礎(chǔ)設(shè)施，如防火墻和交換機需要適當實施供應商以下的最佳實踐。旨在協(xié)助的實施指南通?？梢栽诠痰奈臋n中找到?！?br />

這通常包括：

?禁用不必要的服務(wù)。

?使用強大的密碼，并刪除或禁用內(nèi)置的管理員帳戶。

?啟用強大的加密管理連接和VPN服務(wù)。

?使用更安全監(jiān)控協(xié)議（SNMPv3版本，而不是SNMPv1版本）。

?確保有效的SSL證書適用。

斯旺森從網(wǎng)絡(luò)的角度對安全問題進行了討論。管理訪問應該可以通過SSL安全Web或SSH（遠程登錄應該被禁用）安全隔離的網(wǎng)絡(luò)專用帶外管理接口，而不是向公眾或其他內(nèi)部用戶或設(shè)備訪問接口?！按送?，大多數(shù)的基礎(chǔ)設(shè)施將允許訪問限制設(shè)置，只允許來自特定網(wǎng)絡(luò)或IP地址的管理訪問?！彼雇a充說，“這一功能應該被用來允許只有授權(quán)的管理人員訪問受信任的網(wǎng)絡(luò)的設(shè)備。

其他數(shù)據(jù)中心運營商也可以實現(xiàn)，如果他們還沒有正在監(jiān)測和審計的關(guān)鍵基礎(chǔ)設(shè)施的跡象，未經(jīng)授權(quán)或異常訪問的話?！叭绻鸖IEM（安全信息和事件管理）或其他日志管理工具可支持報警，他們應該進行配置，當意外登錄的行為并得到檢測，可以通知工作人員。”斯旺森說?！半m然這不是一種預防措施，早期檢測未經(jīng)授權(quán)的訪問，并迅速響應是減少入侵影響的關(guān)鍵?！?br />

產(chǎn)銷監(jiān)管鏈

企業(yè)需要他們的供應商進行安全編碼實踐負責。如果供應商不能成為新的硬件評估和采購過程的一部分，這可能不是一個好主意，要求類似于適用于在法庭使用的證據(jù)保管文件的可驗證鏈？斯旺森表示要注意以下幾個方面：

?是否代碼審查都定期最初的開發(fā)和代碼的支持生命周期內(nèi)進行？

?是否有代碼審核或由受信任的第三方審計？

?是否使用強大的硬件，以及現(xiàn)代密碼標準所生成安全數(shù)字？

更多的考慮

而瞻博設(shè)備的后門代碼如何安裝的，很明顯，是有人把它放在那里。但是，至于是誰，其可能猜測涉及公司內(nèi)容的任何一個人。似乎有一件事可以作為提醒，木星網(wǎng)絡(luò)在代碼變更和版本控制時需要重新評估。其良好的變更和版本控制做法，會立即捕獲這種未經(jīng)授權(quán)的代碼修改的行為。

還有一件事，一旦其離開組織的安全數(shù)據(jù)將變得更加困難。在某種意義上，瞻博VPN解密后門漏洞是最嚴重的類型。數(shù)據(jù)中心運營商在他們的組織內(nèi)可能會堅持每一個最佳實踐，但數(shù)據(jù)流量仍然是脆弱的。

“這是一個很好的做法，以確保在應用程序中通信開始時安全?！彼雇硎?，“除非迫不得已，人們不應該依賴VPN加密層。任何已經(jīng)通過SSH隧道或加密數(shù)據(jù)流量，通過IPSecVPN將不會被這種或類似的漏洞完全解密?！?br />
作為一個例子，這種類型的VPN的一個常見用途是保護向異地備份數(shù)據(jù)流量的位置。許多企業(yè)備份解決方案中提供，在傳輸之前，將數(shù)據(jù)進行加密備份的能力。這種分層的方法來加密是另一個例子，而其縱深防御的工作，應提供VPN解密攻擊的保護措施。

沒有確定的答案

雖然沒有任何組織可以完全防止類似瞻博網(wǎng)絡(luò)的VPN解密的問題，許多上述的做法還是有助于降低關(guān)鍵基礎(chǔ)設(shè)施的整體攻擊次數(shù)，從而減少硬件的成功妥協(xié)的可能性。這些措施也將有助于限制任何妥協(xié)的范圍，并可能減少妥協(xié)的響應時間。