宋明成

隨著智能設(shè)備以指數(shù)方式增加攻擊向量，物聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)和基于云計(jì)算的應(yīng)用程序迅速增加了數(shù)據(jù)中心風(fēng)險(xiǎn)。在這個(gè)全球連接的時(shí)代，組織需要不斷測(cè)試其安全措施，以防范復(fù)雜的威脅，這些威脅包括Web應(yīng)用程序和無(wú)文件攻擊、內(nèi)存損壞、返回/跳轉(zhuǎn)導(dǎo)向編程（ROP/JOP）以及受損的硬件和軟件供應(yīng)鏈攻擊等。

雖然數(shù)據(jù)中心傳統(tǒng)上依賴于檢測(cè)和采取周邊安全解決方案來(lái)降低風(fēng)險(xiǎn)，但新型網(wǎng)絡(luò)威脅的激增已經(jīng)提高了對(duì)預(yù)防的需求。根據(jù)波洛蒙研究所的研究，估計(jì)數(shù)據(jù)中心停機(jī)的平均成本超過(guò)740 000美元（自2010年以來(lái)增長(zhǎng)近40 %），負(fù)責(zé)數(shù)據(jù)中心網(wǎng)絡(luò)安全的工作人員必須尋求采用下一代預(yù)防策略來(lái)減少和關(guān)閉攻擊面，并提高現(xiàn)有基礎(chǔ)設(shè)施、流程和人員的效率。

幾十年來(lái)，外圍安全一直是保護(hù)數(shù)據(jù)中心的主要手段。然而，這種策略類似于一個(gè)中世紀(jì)城堡，其中保護(hù)的目標(biāo)只限制在一個(gè)小區(qū)域內(nèi)，并由具有嚴(yán)密防護(hù)入口點(diǎn)的堅(jiān)固墻壁保護(hù)。數(shù)據(jù)中心在其周邊建立了安全層，這些安全層深入?yún)f(xié)作，其理念是如果一個(gè)安全層沒有抵御某些攻擊，那可以通過(guò)下一個(gè)安全層進(jìn)行防護(hù)。

與城堡一樣，數(shù)據(jù)中心強(qiáng)調(diào)檢測(cè)進(jìn)出組織的流量。傳統(tǒng)的流量檢測(cè)方法包括映射出網(wǎng)絡(luò)接入點(diǎn)以創(chuàng)建不斷測(cè)試和加固周邊設(shè)施。這對(duì)于檢測(cè)攻擊和生成警報(bào)非常有效，希望具有足夠的安全性來(lái)防止安全層的破壞，而這可能導(dǎo)致停機(jī)、經(jīng)濟(jì)損失、聲譽(yù)受損甚至環(huán)境危害。

數(shù)據(jù)中心的安全不再只考慮內(nèi)部的保護(hù)事物。城堡型解決方案在大型機(jī)和有線終端的時(shí)代運(yùn)作良好，但它們對(duì)于當(dāng)今的威脅并不那么有效。事實(shí)上，無(wú)線通信（OTA）、物聯(lián)網(wǎng)設(shè)備和云計(jì)算的出現(xiàn)使得數(shù)據(jù)中心的安全性降低。

目前，數(shù)據(jù)中心面臨的主要安全挑戰(zhàn)是，他們必須努力在內(nèi)部部署數(shù)據(jù)中心、公共云、私有云和混合云中運(yùn)行應(yīng)用程序時(shí)保持其數(shù)據(jù)的私密性。雖然他們的許多客戶將業(yè)務(wù)進(jìn)一步擴(kuò)展到云中，但這也可能無(wú)意中增加了克隆配置擴(kuò)展攻擊的風(fēng)險(xiǎn)。攻擊者可以定位路由器、交換機(jī)、存儲(chǔ)控制器、服務(wù)器以及傳感器和交換機(jī)等操作技術(shù)組件的所有內(nèi)容。一旦黑客獲得對(duì)設(shè)備的控制權(quán)，他們就可以進(jìn)行更多擴(kuò)展，從而可能跨網(wǎng)絡(luò)攻擊所有相同的設(shè)備。

如今的攻擊來(lái)各種各樣的地方，因?yàn)榫W(wǎng)絡(luò)攻擊者現(xiàn)在擁有更多的工具來(lái)規(guī)避周邊安全檢測(cè)，并從數(shù)據(jù)中心內(nèi)部攻擊目標(biāo)。美國(guó)國(guó)防部信息網(wǎng)絡(luò)聯(lián)合部隊(duì)總部運(yùn)營(yíng)總監(jiān)Paul Craft上校在2018年5月舉行的AFCEA防御網(wǎng)絡(luò)運(yùn)營(yíng)研討會(huì)上表示：“安全不僅僅與基礎(chǔ)設(shè)施有關(guān)，這是我們的IT平臺(tái)，將記錄我們所有的數(shù)據(jù)，它也是我們的ICS和SCADA系統(tǒng)，也涉及我們所有跨域的網(wǎng)絡(luò)?！?/p>

根據(jù)波洛蒙研究所的調(diào)查，許多攻擊現(xiàn)在可以迅速?gòu)囊粋€(gè)設(shè)備擴(kuò)展到所有設(shè)備，這可以從黑客訪問使用相同代碼構(gòu)建的200 000個(gè)網(wǎng)絡(luò)設(shè)備的缺陷中看出。例如內(nèi)存損壞（緩沖區(qū)、棧和堆）和ROP/JOP執(zhí)行重新排序這樣的無(wú)文件攻擊，也成為了一種日益嚴(yán)重的威脅，其感染設(shè)備的可能性是傳統(tǒng)攻擊的10倍。

根據(jù)賽門鐵克公司的2018年互聯(lián)網(wǎng)安全威脅報(bào)告，過(guò)去一年中，對(duì)供應(yīng)鏈攻擊增加了200 %。很多組織和供應(yīng)商現(xiàn)在只能控制其源代碼的一小部分，因?yàn)楝F(xiàn)代軟件堆棧由來(lái)自全球供應(yīng)鏈第三方的二進(jìn)制文件組成，這些二進(jìn)制文件來(lái)自包含隱藏漏洞的專有和開源代碼。此外，零日攻擊迅速增長(zhǎng)，很多黑客正在利用軟件、硬件或固件中的未知漏洞攻擊系統(tǒng)。

數(shù)據(jù)中心必須從只關(guān)注檢測(cè)的安全性轉(zhuǎn)向強(qiáng)調(diào)預(yù)防的安全性。由于許多新的攻擊完全避開傳統(tǒng)的網(wǎng)絡(luò)和端點(diǎn)保護(hù)，最新一代的工具旨在抵御不斷增長(zhǎng)的攻擊媒介類別。這不僅可以提高抵御最新威脅的安全性，還可以提高工具和流程在處理剩余內(nèi)容方面的有效性。

如今，必須假設(shè)供應(yīng)鏈中的硬件受到損害。這意味著企業(yè)需要在可能不受信任的硬件之上構(gòu)建和運(yùn)行受保護(hù)的軟件。數(shù)據(jù)中心需要這種新的防御策略，采用深入的方法識(shí)別潛在的漏洞，并直接加強(qiáng)二進(jìn)制文件，以便攻擊無(wú)法實(shí)現(xiàn)或復(fù)制。

實(shí)現(xiàn)此目的的最佳方法之一是以某種方式轉(zhuǎn)換設(shè)備中的軟件二進(jìn)制文件，從而使惡意軟件無(wú)法更改命令并在系統(tǒng)中傳播。這種方法稱為“網(wǎng)絡(luò)硬化”，可防止單個(gè)漏洞利用跨多個(gè)系統(tǒng)傳播。它縮小了攻擊面，并縮小了工業(yè)控制系統(tǒng)和嵌入式系統(tǒng)和設(shè)備中的漏洞，減少了物理?yè)p壞和人為破壞的機(jī)會(huì)。

最好的安全性總是假設(shè)黑客最終會(huì)入侵。而不是在漏洞利用后對(duì)受到攻擊的漏洞作出反應(yīng)，網(wǎng)絡(luò)硬化可以防止惡意軟件針對(duì)數(shù)據(jù)中心的攻擊，而那些防御比較薄弱的組織最好不要取消這樣的基礎(chǔ)設(shè)施。