仔細觀察一下那些最嚴重的企業安全漏洞,你會發現網路主管們很明顯在一遍又一遍的犯著同樣的錯誤,而且這些錯誤都是很容易避免的。
2023年,verizon business對代表了2億8500萬次入侵記錄的90種安全漏洞進行了分析,其中大多數有組織的入侵事件都上了新聞頭條。這些犯罪活動遍布網路,竊取信用卡資料、社會保險號碼或其他私人的身份資訊。
但令人驚訝的是,這些安全漏洞頻繁發作的原因竟然是網路管理者們忘掉了使用一些簡單的防護措施,尤其是對那些非關鍵的伺服器。
「我們只是沒有做到最基礎的工作,」從事安全漏洞審計工作已有18年之久的verizon business創新與技術副總裁peter tippett這樣說。他幫助我們整理了乙份錯誤操作的清單,列出了最容易出現的十項錯誤,只要你能夠照著清單來改正錯誤,那麼絕大多數的安全漏洞將不會影響到你。
1. 沒有更改所有網路裝置的預設密碼
tippett說,有些企業的伺服器、交換機、路由或者網路裝置一直在使用預設密碼,而且這種情況常見的「難以置信」,那些通常設定為「password」或者「admin」的預設密碼仍然大量被使用。大多數cio們都自以為這個問題絕不會在他們的公司出現,但是tippett說他每天都會看到它發生。
2. 多個網路裝置共享同乙個密碼
it部門經常在多台伺服器中使用相同的密碼,而且有不少人知道這個密碼。即使這個密碼的強度可能足夠,但是一旦在多個系統之間共享,這幾個系統就都處於危險之中。
例如,乙個人知道密碼的員工可能會離開公司,在新公司他可能也會使用相同的密碼。或者比如你把一些非關鍵系統比如資料中心的製冷系統外包給了某公司,而他們就有可能使用他們經常使用的密碼。在任何一種情況下,如果密碼被黑客破解,他們就能夠入侵更多台伺服器,造成更大的傷害。
3. 沒有發現sql**錯誤
最常見的一種黑客攻擊就是針對連線網路伺服器的sql資料庫,據統計佔到了入侵記錄的79%。黑客的攻擊方法是在web**中鍵入sql命令列。而如果web**的編碼正確,它不應該接受sql命令列。但有時開發者會犯錯,讓sql注入攻擊有機可乘。
tippett說,阻止錯誤發生的最簡單方法是在學習(learn)模式中執行應用防火牆,觀察使用者是怎樣在field中輸入資料,然後在執行(operate)模式下設定防火牆,這樣sql命令就不會被注入field中。sql**問題非常普遍。tippett說,「如果測試100臺伺服器,可能有90臺伺服器都會發現存在sql注入問題。」另外tippett提醒到,企業經常只注意關鍵伺服器,而忘記了大多數黑客是通過非關鍵系統入侵網路的。
4. 沒有正確配置訪問控制清單
使用訪問控制清單來分割網路,這是確保你的系統只和它們需要的物件相連線的最簡單方法。例如,如果你允許合作夥伴通過你的vpn(virtual private network,虛擬專用網路)來訪問兩台伺服器,你應該使用訪問控制清單來確保合作夥伴只能訪問這兩台伺服器。這樣即使有黑客通過開放的vpn入口入侵了你的網路,他也只能得到這兩台伺服器上的資料。
「罪犯們經常會通過vpn入侵網路,並且能夠得到所有許可權,」tippett說。verizon的報告顯示,如果正確配置了訪問控制清單,那麼去年的入侵事件中將有66%得到保護。cio們不採取這種簡單措施的原因是要將路由作為防火牆,許多網路管理者也不想這樣做。
5. 允許不安全的遠端訪問和管理軟體
黑客入侵網路的最常用手段之一是利用遠端訪問和管理軟體包,比如pcanywhere、virtual network computing(vnc)或者secure shell(ssh)。這些軟體通常都缺乏最基本的安全防護措施,比如密碼就不夠強大。
發現這種問題的最簡單方法是對整個it位址空間進行外部掃瞄,尋找pcanywhere、vnc或者ssh的流量。一旦你發現了這些軟體,要對它們部署額外的安全措施,比如在密碼之外另加證書等方式。另一種方法是掃瞄外部路由器的netflow資料,查詢網路內是否存在遠端訪問管理操作的流量。
這個問題非常普遍,在verizon business報告的入侵統計中佔到了27%。
6. 沒有測試非關鍵應用的基本漏洞
根據verizon business的報告,將近80%的黑客攻擊是因為web應用存在安全漏洞。網路管理者們也知道最大的弱點就在於web應用,因此他們不遺餘力的測試關鍵的應用和面向網際網路的系統。
但問題是黑客攻擊的卻是那些網路內部的非關鍵系統的安全漏洞。tippett說,「主要問題是我們瘋狂的測試那些關鍵的web應用,卻忽視了那些非關鍵的應用」。他建議網路管理者應該對所有應用的基本漏洞都進行測試。
「人們總是過於關注關鍵的應用,但是罪犯們不會管什麼關鍵什麼不關鍵,他們只挑最容易的下手,」tippett說。
7. 沒有充分保護伺服器遠離惡意軟體
verizon business的報告說伺服器上的惡意軟體佔到了所有安全漏洞的38%。大多數惡意軟體是被遠端攻擊者安裝的,用來捕獲資料。某些惡意軟體可以自定義,因此防病毒軟體無法識別。對於網路管理者來說,一種在伺服器上查詢惡意軟體比如木馬或間諜軟體的方法是在每台伺服器上本地執行入侵檢測系統軟體,當然不僅僅是針對關鍵伺服器。
tippett推薦了一種可以阻止這類攻擊的簡單方法:鎖定伺服器,讓新的應用軟體無法在這些伺服器上執行。「很多網路管理者們不喜歡這麼做,因為他們總想著以後可能會安裝新的軟體。但我要告訴他們的是,到時候再解鎖,然後安裝新軟體,然後再重新鎖定。」
8. 沒有讓路由禁止不必要的外部流量
惡意軟體的一種常用做法是在伺服器上安裝後門或命令外殼。有一種阻止它們的方法是使用訪問控制清單分割網路。這種方法可以阻止伺服器傳送不該傳送的流量。例如,電子郵件伺服器應該只傳送郵件流量,而不是ssh流量。另一種辦法是讓路由預設拒絕出口過濾,阻止所有出站流量,除了那些你安排離開的。
「只有2%的企業這樣做。令我困惑的是另外的98%為什麼不這麼做。」tippett說,「預設拒絕出口過濾是非常簡單的。」
9. 不知道信用卡或其他關鍵使用者資料儲存在**
大多數企業自認為他們知道關鍵資料比如信用卡資訊、社會保險號碼或者其他私人身份資訊等等的儲存位置,他們對這些伺服器設定最高端別的安全防禦措施。但是往往這些資料還會儲存在網路的其它地方,比如備份站點或者軟體開發部門。
這些第二等級的非關鍵伺服器經常遭到攻擊,導致絕大多數的資料洩露。查詢關鍵資料儲存位置的一種簡單方法是進行網路探測。「我們通常會在網路上設定嗅探器,查詢關鍵資料可能存在的位置,還要觀察它們可能流向**。」tippett說。
10. 沒有遵守支付卡行業資料安全標準
支付卡行業資料安全標準(pci dss)為保護持卡人資訊設定了12條控制條款,tippett說,「然而大多數使用者甚至沒有試著去達到pci標準。」有時,企業會遵循這些標準來管理他們已知的儲存信用卡資料的伺服器,但對其他未知的伺服器卻無法控制。
verizon business的報告顯示,儘管入侵記錄中有98%涉及到盜取支付卡資料,但是這些遭受入侵的企業中僅有19%遵守了pci標準。「很顯然,遵循pci規定,它們絕對可以保護你。」tippett最後說。
【網管必讀】
網管必備區域網常見十大錯誤及解決
讓你不差錢的9款開源網管工具(**)
十大被忽視的優秀免費網管軟體
網管秘籍審核網路安全的十大必備工具
10種常見網管錯誤
新手程式設計師常犯的十個錯誤
先介紹下背景,博主由運營轉行前端,入職乙個月,完成了乙個相對較大的模組。由於基礎相對薄弱,犯下了不少錯誤,故想記錄下來警醒自己和分享各位。前端技術棧是es6 backbone react antdui,後端使用的ruby on rails。mvc說起來非常簡單易懂,即model view contr...
軟體開發團隊 主管 易犯的十個錯誤
英文原文 10 mistakes that software team leads make 本文是roy osherove在skills matter的一次發言,他介紹了團隊領導經常會犯的十個錯誤,並提出了一些解決方案。roy首先提出幾個團隊領袖可能遇到的一些問題 我如何說服我的團隊做某件事情?我...
網路綜合佈線容易犯的十個錯誤
網路綜合佈線是十分繁瑣的工作,目前在這項工作的人中普遍存在相關知識經驗不足現象。例如,工程及電工同時也兼著佈線的工作。事實證明,這種做法有很多隱患,對 系統來講,突發錯誤的是可以被容忍的,在資料線路中就需求杜絕這種事情發生。下面提出了在網路綜合佈線中需要大家知道的十項錯誤。一 未對整體網路進行前瞻性...