1.3 威脅形勢的演進(jìn)

在互聯(lián)網(wǎng)面世之前，與遠(yuǎn)程計(jì)算機(jī)系統(tǒng)進(jìn)行通信是人們夢寐以求的目標(biāo)，這通常是通過公共電話系統(tǒng)實(shí)現(xiàn)的：用戶和計(jì)算機(jī)系統(tǒng)通過撥號連接到遠(yuǎn)程計(jì)算機(jī)，并將數(shù)據(jù)編碼為音頻信號進(jìn)行傳輸。在那個時候，撥號接口是最常見的攻擊向量，因?yàn)榕c此相比，物理接觸計(jì)算機(jī)要困難得多。

組織將其主機(jī)連接到互聯(lián)網(wǎng)后，攻擊方式從通過電話網(wǎng)絡(luò)發(fā)起變成了從互聯(lián)網(wǎng)發(fā)起，攻擊態(tài)勢發(fā)生了翻天覆地的變化。通過撥號接口發(fā)起攻擊會占用電話線，而通過互聯(lián)網(wǎng)發(fā)起攻擊只需建立TCP連接，因此前者很容易被發(fā)現(xiàn)，而后者要隱蔽得多，攻擊者可長時間地嘗試發(fā)起漏洞利用和暴力破解攻擊而不會引起懷疑。另外，攻擊方式的轉(zhuǎn)變還催生了更有影響力的攻擊方式：利用惡意代碼監(jiān)聽網(wǎng)絡(luò)流量。

20世紀(jì)90年代末，第一款特洛伊木馬程序問世并四處傳播。通常，特洛伊木馬欺騙用戶安裝惡意軟件，從而打開特定的端口并等待連接請求。攻擊者可連接到這個打開的端口，進(jìn)而遠(yuǎn)程控制目標(biāo)計(jì)算機(jī)。

人們很快就認(rèn)識到，需要對面向互聯(lián)網(wǎng)的主機(jī)加以保護(hù)，為此，最佳的方式是使用硬件防火墻（那時大多數(shù)操作系統(tǒng)沒有提供基于主機(jī)的防火墻）。硬件防火墻執(zhí)行安全策略，確保只有位于白名單中的“安全”互聯(lián)網(wǎng)流量能夠通過。如果管理員無意間安裝了暴露開放端口的軟件（如特洛伊木馬），除非有顯式規(guī)則允許訪問該端口，否則防火墻將在物理上阻斷到該端口的連接。同樣，對于從內(nèi)部主機(jī)到面向互聯(lián)網(wǎng)的服務(wù)器之間的流量，也可加以控制，確保內(nèi)部用戶能夠與這種服務(wù)器通信，但反過來不行。這有助于防止攻擊者利用隔離區(qū)中已被攻陷的服務(wù)器進(jìn)入內(nèi)部網(wǎng)絡(luò)。

雖然隔離區(qū)出入站的流量受到嚴(yán)密控制，使得經(jīng)由隔離區(qū)進(jìn)入內(nèi)部網(wǎng)絡(luò)困難重重，但鑒于隔離區(qū)服務(wù)器是面向互聯(lián)網(wǎng)的，它們無疑是主要的攻擊目標(biāo)。攻擊者必須先攻陷由防火墻保護(hù)的服務(wù)器，再安裝用于隱蔽通信的應(yīng)用，以便從內(nèi)部網(wǎng)絡(luò)竊取數(shù)據(jù)。要訪問內(nèi)部網(wǎng)絡(luò)，利用撥號接口發(fā)起攻擊依然是最容易得逞的。

這里發(fā)生了一個有趣的轉(zhuǎn)折。NAT最初被引入，是為了讓內(nèi)部網(wǎng)絡(luò)中的客戶端能夠訪問互聯(lián)網(wǎng)。雖然內(nèi)部客戶端或許能夠自由地訪問外部資源，但鑒于NAT采取的機(jī)制以及對現(xiàn)實(shí)安全的擔(dān)憂，網(wǎng)絡(luò)管理人員依然對入站流量進(jìn)行了嚴(yán)格控制。在部署了NAT和沒有部署NAT的網(wǎng)絡(luò)之間，有一個重要的區(qū)別，那就是前者對出站網(wǎng)絡(luò)流量的控制策略比較寬松。

這導(dǎo)致網(wǎng)絡(luò)安全模型發(fā)生了翻天覆地的變化：位于可信的內(nèi)部網(wǎng)絡(luò)中的主機(jī)能夠直接與不可信的互聯(lián)網(wǎng)主機(jī)通信，這讓不可信的互聯(lián)網(wǎng)主機(jī)能夠利用想與自己通信的客戶端，雪上加霜的是，能夠利用惡意代碼從內(nèi)部網(wǎng)絡(luò)向互聯(lián)網(wǎng)主機(jī)發(fā)送消息，這種攻擊方式現(xiàn)在被稱為回連（Phoning Home）。

回連在大多數(shù)現(xiàn)代攻擊方式中扮演著重要角色，讓攻擊者能夠從受保護(hù)的網(wǎng)絡(luò)中竊取數(shù)據(jù)，但更重要的是，鑒于TCP連接是雙向的，回連也讓攻擊者能夠向受保護(hù)的網(wǎng)絡(luò)注入數(shù)據(jù)。典型的攻擊包含多個步驟，如圖1-6所示。首先，攻擊者需要攻陷內(nèi)部網(wǎng)絡(luò)中的一臺計(jì)算機(jī)，為此可在用戶訪問特定網(wǎng)頁時利用瀏覽器存在的漏洞，也可向用戶發(fā)送電子郵件，其中的附件可利用用戶本地安裝的某個軟件存在的漏洞。漏洞利用程序的有效負(fù)載很小，能夠連接遠(yuǎn)程互聯(lián)網(wǎng)主機(jī)并執(zhí)行接收到的響應(yīng)中的代碼即可。這種有效負(fù)載有時被稱為撥號器。

撥號器會下載并安裝真正的惡意軟件。惡意軟件的作用通常是建立到遠(yuǎn)程互聯(lián)網(wǎng)主機(jī)的新連接，而該主機(jī)是由攻擊者控制的。攻擊者使用這個連接向惡意軟件發(fā)送指令、竊取敏感數(shù)據(jù)甚至建立交互式會話。攻擊者可將這個“零號病人”（內(nèi)部網(wǎng)絡(luò)中被攻陷的主機(jī)）作為跳板，在網(wǎng)絡(luò)內(nèi)部發(fā)起進(jìn)一步的攻擊。

內(nèi)部網(wǎng)絡(luò)中的主機(jī)的攻擊能力是強(qiáng)大的，因?yàn)檫@些主機(jī)幾乎都具備訪問當(dāng)前安全區(qū)域內(nèi)其他主機(jī)的權(quán)限（橫向移動），甚至能夠訪問比當(dāng)前安全區(qū)域更安全的區(qū)域內(nèi)的主機(jī)。因此，攻擊者會先攻陷內(nèi)部網(wǎng)絡(luò)中安全等級較低的區(qū)域內(nèi)的主機(jī)，再在網(wǎng)絡(luò)中移動，最終獲得進(jìn)入安全等級較高的區(qū)域的權(quán)限。

從前面的介紹可知，這種攻擊方式從根本上瓦解了邊界安全模型。其關(guān)鍵漏洞雖微妙卻顯而易見：安全策略是基于網(wǎng)絡(luò)區(qū)域制定的，只在區(qū)域邊界執(zhí)行，且判斷依據(jù)僅包含源信息和目標(biāo)信息。

近年來，隨著互聯(lián)網(wǎng)的普及，出現(xiàn)了一些其他類型的攻擊。由于自帶設(shè)備（Bring Your Own Device，BYOD）的普及，現(xiàn)在很多公司允許員工使用自己的設(shè)備辦公，這提高了員工的工作效率，因?yàn)樵诩肄k公的情況比以往任何時候都普遍。然而，這也增大了攻擊面，因?yàn)橄啾扔诮o單臺設(shè)備打上最新的安全補(bǔ)丁，給大量設(shè)備打上這樣的補(bǔ)丁要難得多。在這些新興的攻擊類型中，有一種零點(diǎn)擊攻擊，它甚至不需要與用戶進(jìn)行交互（下面對此做了更詳細(xì)的介紹）。在這種攻擊中，攻擊者尋找沒有安裝最新安全補(bǔ)丁的設(shè)備，以便利用安全漏洞來獲得對這些設(shè)備的未授權(quán)訪問權(quán)限。有關(guān)安全補(bǔ)丁的影響以及如何自動提高設(shè)備的可信度，將在第5章詳細(xì)介紹。