近日,部分知名厂商的服务器系统被发现存在KVM漏洞,该漏洞理论上可能会被黑客利用以获取对受害用户设备系统的控制权限。然而,仍有厂商拒绝公开承认其多款产品存在该漏洞。”由于该漏洞可能会导致黑客入侵后端的主机,致使企业的核心信息资产被窃取或是破坏。加之这些厂商的服务器在国内被广泛应用,因此使用这些厂商的服务器无疑会给相关组织带来极大的风险。
由于服务器管理系统漏洞主要发生在某服务器的KVM交换机设备上,而其在企业网或数据中心又具有绝对的“权利”,通常处于整个网络的控制核心位置,这一地位使它成为黑客入侵的重点对象,即:核心风险点。从黑客入侵者的角度来讲,KVM的漏洞只是一个通道,后端的主机才是目标。主机在网络环境中是整个信息安全核心资产的载体,是攻防的核心焦点,也网络中最易遭受攻击的领域,如果其受到攻击和破坏,轻则系统瘫痪,关键业务无法运行,重则信息被篡改,关键机密信息被泄露,将会造成无法估量的损失。而在本次事件中,由于KVM安全漏洞的客观存在,黑客利用KVM漏洞控制后端主机的可能性已被证实,这有可能会对企业造成毁灭性的打击。因此,在对其安全风险和影响范围分析之后,建议企业在第一时间对其修补。
用户在关键位置的核心安全产品绝对不允许只有一个解决方案,要做到“内外有别”。例如:在KVM交换机被攻陷后,后端服务器及路由交换设备的控制权绝不能让黑客轻易获取。另外,对于承载核心资产的主机,控制权更不能够只交给一台设备负责,应采用纵深防御的架构,防止“一击致命”。
假设KVM漏洞已被黑客利用,但在后端服务器如果部署了系统加固产品,即便是突破了服务器的管理系统,获取到了服务器的用户权限,仍然有安全防护措施可限制黑客的进一步操作。黑客如果想要再进一步登录后台服务器操作系统,还需要对安全加固产品进行硬件载体的认证机制突破。在这种纵深防御体系的网络安全架构中,KVM漏洞的危害不会在网络中延伸,主机的管理权不会丢失,信息资产便不会被黑客轻易盗取。
所以,在强调整体安全管理的策略下,讲究的就是纵深防御(Defense in Depth),虽然它没有最小特权原则(Least Privilege)被人们熟知,但却是应对漏洞威胁最有效的方法。
2013年,浪潮在国内发布了首个集硬件、操作系统、安全软件“三位一体”的主机安全方案,实现了“三点一面,纵深防御”全方位安全防护体系。作为安全软件环节的核心,浪潮SSR操作系统安全增强系统提供了针对于服务器操作系统内核层面的安全加固,它采用主动防御模式,将原操作系统厂商的安全防护控制模型接管,让用户从根本上对主机的安全性做到自主可控。
目前市场上的主流信息安全产品如防病毒软件、防火墙等都是从网络层和系统上层通过黑名单的方式对已知病毒和木马进行安全防护,国内缺少成熟的自主可控的操作系统产品及相关核心安全技术,市场迫切需要针对主机安全而提供的解决方案和产品。为此,浪潮通过对SSR产品进行的技术创新,研制出了针对主机的“疫苗”,在帮助用户达到等级保护三级要求的同时,有效应对已知及未知的漏洞。