邦克监狱:对于银行IT基础设施的安全性提供了应用级防火墙保护
信息技术(IT)基础设施,巩固金融业。几十年来,这些基础设施仅限于该机构的后台,满足关键任务,如在大型计算机storaging数据。如今,银行的IT基础设施是由硬件和软件的各式各样的了。这包括员工的笔记本和台式机,网络连接办公室和数据中心在世界各地,和物联网(IOT)设备上网。互联网和移动以后革命的发展意味着银行的IT基础架构,现在是企业的推动者以及他们的消费者是一部分的日常生活。
这些进步一起来到增加到谁必须拆除银行的关键基础设施的能力饼干漏洞的威胁。对于需要安全的IT基础设施从未像今天这样突出。阿林 - 阿德里安安东博士和勒兹万·-了Dorel Cioarga博士,计算机与信息技术,蒂米什瓦拉布加勒斯特大学在罗马尼亚系讲师,开发邦克监狱提供了银行IT基础设施的安全应用级防火墙保护。
邦克监狱
研究人员解释说,这些创新的碉堡是网络隔离HardenedBSD监狱,将只允许比特精确验证软件的执行。HardenedBSD是FreeBSD的,免费的,开源的操作系统,一个安全增强型分支类似Unix的。系统管理员可以分区FreeBSD系统成多个称为监狱独立的安全系统。这些监狱是有效安全的监狱;每个运行作为一个重量轻(在系统开销方面)操作系统,其中,诸如数据库,服务器或防病毒发动机的关键服务,可以位于。
监狱在他们的虚拟化,安全性方面提供了三个主要的优势,缓解代表团。每个单独的监狱提供了一个虚拟环境中有自己的文件和进程的主机上运行具有相同内核的副本,所以它可以有自己的用户和超级用户帐户。甲监狱从其他监狱,以便提供额外的安全水平分离的,但是重叠的监狱是可能的。只有每个监狱执行一些特定任务,使系统管理员可以委派任务,并允许超级用户访问特定的监狱,而不是完整的系统。非特权用户级别也可以监狱范围内执行。
主要目标是确保远程攻击和有效载荷在地堡内没有响应。
在网络安全的新型范例
Anton博士和Cioarga博士的研究实现了网络安全领域的一个新范式,即网络服务在虚拟地堡中被隔离和保护的封闭环境中静态编译和保护。一个特定的二进制文件和服务的精确验证列表可以在每个Bunker中进行操作,该Bunker只包含操作它所包含的特定服务所需的二进制文件。
如果恶意攻击在穿透掩体,无论是由于软件漏洞,用户身份验证或配置错误成功,国外的shellcode将无法加载和执行一个新的进程或运行任何命令以外的许可服务在目标系统上已经在运行。研究人员禁用内碉堡网络堆栈,使居住在碉堡的关键服务必须通过本地文件,而不是使用互联网插座与外部世界沟通。这特别适合于数据库系统和防病毒引擎。
防病毒邦克目标
研究人员的主要目标是确保远程攻击和有效载荷碉堡内再现响应。这是通过隔离远程攻击者,并确保它不会与易受攻击的系统连接实现。
他们的第二个目标是利用全球系统日志记录任何企图执行与AF_INET联网功能的socket()函数,以提供HardenedBSD监狱系统的入侵检测。插座()函数允许的信息或者过程之间的相同的机器上或网络上的交换。AF_INET用于指定网络类型,你的座可与之通信的地址。
该研究小组提出了两种使用情况,展示他们的地堡监狱应用如何满足这些目标。
银行电子邮件防病毒碉堡
一个真正的电子邮件服务被用来比较邦克监狱与监狱定期的性能。电子邮件服务,存储转发系统,存储和将它们插入到员工的收件箱之前扫描的文件附件。两个测试用例被部署:第一,其包括10个线程与每个线程500名的电子邮件;而第二由20个线程,每个线程100封邮件了。两个测试例具有和不具有仓模式在2小时的时间内进行的。研究人员分析了从他们的地堡机制与那些从正规监狱和对手的方法Integriforce测试结果。碉堡监狱产生类似的性能的结果,在电子函件数据速率容量方面,与其他系统。
这就像捕捉冷冻库里面的攻击者和警报主机操作系统。
银行Web代理杀毒邦克
银行员工的网络流量通常是通过与银行的IT安全专家的杀毒能力的出站安全代理路由。使用ClamAV的一个研究人员信任常用的邮件服务器上的电子邮件病毒扫描的开源杀毒引擎。这种通过扫描恶意网页内容的交通文件,而无需中断保护网络用户。两个测试用例在有和没有使用沙坑监狱,定期监狱和Integriforce杀毒引擎来实现。再次,邦克监狱实时显示网络浏览器在高负载情况下,类似的性能。
Bit-exact验证
该研究小组已建立了由燃油监狱使用的服务二进制的比特精确的验证是相媲美的经典密码校验在性能影响方面的做法。他们还证实,它仍然是100%对未来冲突攻击和漏洞在现代密码算法,包括量子计算机攻击的安全。
基准测试
用含有数百万个条目的数据库广泛基准揭示的10-20%百分比中的CPU响应时间方面产生影响。作为回报系统上这个影响可以忽略,碉堡运行关键业务时提供了坚实的网络安全模式。研究人员描述了如何,取决于软件包中使用,专用的CPU将已经在10-20%的产能服务在操作前应开始。在现代CPU硬件方面,这是一个关键的系统绰绰有余。
利用减排技术
Bunkers可以部署在任何UNIX服务中,这些服务构成任何Bank关键基础设施的一部分,条件是服务的二进制可执行文件是静态编译的,并且服务可以通过本地UNIX套接字通信。研究小组选择使用HardenedBSD作为操作系统来开发Bunker服务,包括上面描述的Bank e-mail antivirus Bunker和Bank web proxy antivirus Bunker,因为它为未知漏洞和零日漏洞提供了增强的exploit mitigation techniques,也就是说,网络攻击发生在软件弱点被发现的同一天,因此它可以在修复可用之前被利用,这可能会影响关键的金融服务。
地堡服务启用安全监狱和网络服务,以消除威胁和惊喜。如果任何其他的安全机制的被击败,碉堡监狱级防火墙操作,有效地冻结所述虚拟实例成由此它们不能与攻击者进行通信的状态。研究人员解释说“这就像捕捉攻击者的冷冻库中,并提醒主机操作系统,所有的系统日志和白名单的位置,远离外面的地堡,在表面上,瘫痪的攻击者的范围之外。”运行外部代码碉堡内部或与Internet通信的任何企图都会被记录在主机系统上,系统管辖的警告。
安东博士和博士Cioarga已经应要求提供给读者他们的源代码。
个人的反应
是什么启发你开发邦克监狱的?