管理資訊保安服務(wù)領(lǐng)導(dǎo)供應(yīng)商Verizon Business對(duì)過去幾年里危害程度比較深的90個(gè)安全漏洞進(jìn)行了一次系統(tǒng)分析��,發(fā)現(xiàn)與這90個(gè)安全漏洞相關(guān)的"犯案"記錄竟然高達(dá)2.85億條��,驚人的數(shù)字��,不是嗎?其中大多數(shù)重頭案件都涉及有組織犯罪���,比如非法登錄一個(gè)未加保護(hù)網(wǎng)絡(luò)��,并竊取信用卡資料���、社會(huì)安全號(hào)碼或其他個(gè)人身份信息等等。
而令人驚訝地是��,這些安全漏洞大多是由于網(wǎng)絡(luò)管理員沒有對(duì)自己負(fù)責(zé)的網(wǎng)絡(luò)系統(tǒng)���,尤其是非關(guān)鍵服務(wù)器采取明顯的防護(hù)措施造成而造成的���。
"根本原因就在于網(wǎng)絡(luò)管理員沒有做好最基本的工作��,就這么簡單���。" Verizon Business技術(shù)創(chuàng)新部副總裁Peter Tippett說,Tippett是安全領(lǐng)域的權(quán)威人士���,從事安全漏洞審計(jì)工作長達(dá)18年之久���。
在Tippett的幫助下,我們總結(jié)了以下網(wǎng)絡(luò)管理人員們最常見的錯(cuò)誤清單���,這些錯(cuò)誤將直接導(dǎo)致網(wǎng)絡(luò)一片混亂并導(dǎo)致嚴(yán)重的安全漏洞���。針對(duì)每個(gè)錯(cuò)誤,我們給出了最簡單的解決方案��,希望能眾多網(wǎng)絡(luò)管理員有所幫助��。
1.未更改網(wǎng)絡(luò)設(shè)備的缺省密碼
"我們發(fā)現(xiàn)��,很多企業(yè)的服務(wù)器、交換機(jī)���、路由器以及其它網(wǎng)絡(luò)設(shè)備都使用缺省密碼——通常是‘password’或‘a(chǎn)dmin’,這是多么令人難以置信��。" Tippett說��。"大多數(shù)CIO們認(rèn)為���,這個(gè)問題不可能發(fā)生在他們身上��,而事實(shí)則恰恰相反���。"
為了避免這個(gè)問題,你需要對(duì)你網(wǎng)絡(luò)中的每一臺(tái)網(wǎng)絡(luò)設(shè)備進(jìn)行一次徹底的漏洞掃描��,而不僅僅是核心或關(guān)鍵設(shè)備���,Tippett說���。然后修改每臺(tái)設(shè)備的缺省密碼。根據(jù)Verizon Business的研究結(jié)果���,在過去的一年中所發(fā)生的網(wǎng)絡(luò)侵害案件中��,有一半以上是由于某個(gè)網(wǎng)絡(luò)設(shè)備使用缺省密碼而給犯案人員留下了可乘之機(jī)��。
2. 多臺(tái)網(wǎng)絡(luò)設(shè)備"共享"同一個(gè)密碼
企業(yè)的IT部門常常對(duì)多個(gè)服務(wù)器使用相同的密碼���,并且很多人都知道這個(gè)密碼���。就密碼本省而言,它的安全性可能非常高——一個(gè)數(shù)字和字母的復(fù)雜組合��,但是���,一旦它被多個(gè)系統(tǒng)共享��,那么所有這些系統(tǒng)都處于危險(xiǎn)之中���。
例如,某個(gè)知道這一"通用"密碼的人離職了��,而他很有可能在新公司還是使用同一密碼��?��;蛘吣硞€(gè)負(fù)責(zé)部署非關(guān)鍵系統(tǒng)比如數(shù)據(jù)中心冷卻系統(tǒng)的外包人員��,很有可能對(duì)其負(fù)責(zé)的所有客戶的所有系統(tǒng)使用相同的密碼��。在這些情況下��,如果密碼被某個(gè)黑客得到���,那么他就可以進(jìn)入許多服務(wù)器并且造成很大的破壞。
Tippett說���,企業(yè)IT部門需要制定一個(gè)流程——無論是自動(dòng)還是手動(dòng)——以確保服務(wù)器密碼不會(huì)在多個(gè)系統(tǒng)之間共享��,并且還要定期更換���,這樣才能保證密碼安全。最簡單也最有效的辦法就是專門找一個(gè)人負(fù)責(zé)保管企業(yè)目前服務(wù)器的所有密碼��。
3.未能有效找出Web服務(wù)器的SQL編碼錯(cuò)誤
根據(jù)Verizon Business的研究結(jié)果���,最常見的黑客攻擊是對(duì)連接到Web服務(wù)器的SQL數(shù)據(jù)庫的攻擊���,這大約占到了研究記錄的79%.而黑客侵入這些系統(tǒng)的方式是利用Web表單提交一個(gè)SQL命令��。如果表單的編碼是正確的��,那么它是不會(huì)接受SQL命令的���。但是,有時(shí)開發(fā)人員的編碼食物就可能"創(chuàng)造"所謂的SQL注入漏洞��,黑客可以一用這些漏洞直接從數(shù)據(jù)庫中查詢他們所需要的信息���。
Tippett說��,避免SQL注入攻擊的最簡單方法就是運(yùn)行一個(gè)應(yīng)用防火墻���,首先把它設(shè)置為"學(xué)習(xí)"模式,以便能夠觀察用戶如何把數(shù)據(jù)輸入字段中���,然后將該應(yīng)用防火墻設(shè)置為"操作"模式��,這樣SQL命令就不能"注入"字段中了��。SQL編碼問題十分普遍���。"如果一個(gè)企業(yè)對(duì)自己的100臺(tái)服務(wù)器進(jìn)行測(cè)試���,它們可能會(huì)發(fā)現(xiàn)其中90臺(tái)有SQL注入問題。" Tippett說��。
通常情況下��,企業(yè)僅僅解決了核心服務(wù)器的SQL注入漏洞���,但是他們忽略了很重要的一點(diǎn):黑客往往是通過非關(guān)鍵系統(tǒng)進(jìn)入到他們的網(wǎng)絡(luò)的���。Tippett建議網(wǎng)絡(luò)管理員利用訪問控制列表對(duì)網(wǎng)絡(luò)進(jìn)行劃分���,限制服務(wù)器同非重要設(shè)備的通訊���。這樣就可以有些地防止黑客利用一個(gè)小小的SQL編碼錯(cuò)誤非法獲取數(shù)據(jù)。
4.未正確配置訪問控制列表
使用訪問控制列表分割網(wǎng)絡(luò)是確保服務(wù)器不會(huì)越界的最簡單有效的方式���,它能確保每臺(tái)網(wǎng)絡(luò)設(shè)備或系統(tǒng)只與它們需要的服務(wù)器或系統(tǒng)進(jìn)行通訊���。例如,如果你允許業(yè)務(wù)合作伙伴可以通過你的VPN訪問你內(nèi)網(wǎng)中的兩臺(tái)服務(wù)器��,那么你應(yīng)該在訪問控制列表中進(jìn)行設(shè)置,確保這些業(yè)務(wù)合作伙伴只能訪問這兩臺(tái)服務(wù)器���,而不能越界���。即便是某個(gè)黑客利用合作伙伴的這個(gè)通道進(jìn)入你的企業(yè)內(nèi)網(wǎng),那么他也僅僅能竊取這兩臺(tái)服務(wù)器上的數(shù)據(jù)���,危害范圍大大降低���。
"但是,現(xiàn)實(shí)情況卻是��,利用VPN進(jìn)入企業(yè)網(wǎng)絡(luò)的黑客往往在內(nèi)網(wǎng)中暢通無阻��," Tippett說���。事實(shí)上���,如果所有企業(yè)都能正確配置訪問控制列表,那么過去的一年中所發(fā)生的網(wǎng)絡(luò)侵害事件就能減少66%.配置訪問控制列表是一件非常簡單的工作���,而CIO們不愿做這件事的理由是它涉及到將路由器用作防火墻���,這是許多網(wǎng)絡(luò)管理員并不希望的��。
5.允許不安全的遠(yuǎn)程訪問和管理軟件
黑客侵入企業(yè)內(nèi)網(wǎng)最常用的手段之一就是使用遠(yuǎn)程訪問和管理軟件包���,比如PCAnywhere、Virtual Network Computing (VNC)或Secure Shell (SSH)��。通常��,這些應(yīng)用軟件都缺乏最基本的保障措施��,比如安全的密碼���。
解決這一問題的最簡單方法就是對(duì)你的整個(gè)IP地址空間運(yùn)行一個(gè)外部掃描,尋找PCAnywhere���、Virtual Network Computing (VNC)或Secure Shell (SSH)���。一旦檢測(cè)到這些應(yīng)用,立刻對(duì)其增加額外的保障措施���,比如令牌或證書���。除此以外��,另一種方法就是掃描外部路由器的NetFlow數(shù)據(jù)���,看看有沒有遠(yuǎn)程訪問管理流量出現(xiàn)在你的網(wǎng)絡(luò)中。
根據(jù)Verizon Business的報(bào)告��,不安全的遠(yuǎn)程訪問和管理軟件所占的比例也是非常高的��,達(dá)到了27%.
6.沒有對(duì)非關(guān)鍵應(yīng)用進(jìn)行基本漏洞掃描或測(cè)試
根據(jù)Verizon Business的研究結(jié)果��,近80%的黑客攻擊都是由于Web應(yīng)用存在安全漏洞造成的���。網(wǎng)絡(luò)管理人員知道���,系統(tǒng)最大的漏洞就在Web應(yīng)用中,所以他們用盡渾身解數(shù)對(duì)關(guān)鍵系統(tǒng)和Web系統(tǒng)進(jìn)行測(cè)試���。
現(xiàn)在的問題是��,大多數(shù)黑客攻擊利用的都是企業(yè)內(nèi)網(wǎng)非關(guān)鍵系統(tǒng)的安全漏洞��。"主要問題是��,我們瘋狂的測(cè)試核心網(wǎng)絡(luò)應(yīng)用���,而忽略了非Web應(yīng)用測(cè)試��," Tippett說���。因此,他建議網(wǎng)絡(luò)管理員在做漏洞掃描或測(cè)試時(shí)應(yīng)該把網(wǎng)撒的更大更廣泛���。
"我們從小受的教育就是一定要根據(jù)輕重緩解安排工作��,但是不良分子卻不管所謂的輕重緩急��,哪個(gè)容易攻破��,他們就進(jìn)入哪個(gè)���。"Tippett說��。"一旦他們進(jìn)入你的網(wǎng)絡(luò)���,他們就在里面為所欲為��。"
7.未能對(duì)服務(wù)器采取有效的保護(hù)措施��,惡意軟件泛濫
Verizon Business的研究報(bào)告表明��,服務(wù)器惡意軟件大約占到了所有安全漏洞的38%.大多數(shù)惡意軟件是由黑客遠(yuǎn)程安裝的���,用來竊取用戶的數(shù)據(jù)��。通常情況下��,惡意軟件都是定制的���,所以它們不能被防病毒軟件發(fā)現(xiàn)。網(wǎng)絡(luò)管理員查找服務(wù)器惡意軟件(比如鍵盤記錄軟件或間諜軟件)的一個(gè)有效手段就是在自己的每臺(tái)服務(wù)器上運(yùn)行一個(gè)基于主機(jī)的入侵檢測(cè)系統(tǒng)軟件���,而不僅僅是核心服務(wù)器��。
Tippett表示���,一些非常簡單的方法就可以避免許多這類攻擊,比如服務(wù)器鎖定���,這樣新的應(yīng)用就無法在它上面運(yùn)行��。"網(wǎng)絡(luò)管理人員通常不愿意這樣做��,因?yàn)樗麄冋J(rèn)為這可能會(huì)使安裝新軟件變得有些復(fù)雜���,"Tippett說���。"而事實(shí)上,如果你要安裝新應(yīng)用��,你可以先開鎖���,安裝完畢后��,再鎖上就OK了���。"
8.沒有正確配置路由器,從而禁止不必要的流量
惡意軟件的一種很流行的破壞方式就是在服務(wù)器上安裝后門或命令腳本���。而防止黑客利用后門或命令腳本進(jìn)行破壞的方法之一就是使用訪問空盒子列表對(duì)網(wǎng)絡(luò)進(jìn)行劃分���。這樣就可以防止服務(wù)器向非法的方向發(fā)送數(shù)據(jù)。例如���,郵件服務(wù)器只能發(fā)送郵件流��,而不是SSH流���。除此以外,另一種方法就是將路由器用于缺省拒絕出口過濾��,阻止所有出站流量��,除非你想要留下某些有用信息��。
"只有2%的企業(yè)這樣做了���。我感到困惑的是為什么這樣一項(xiàng)簡單的工作其余98%的企業(yè)沒有做��," Tippett說��。
9.不清楚重要數(shù)據(jù)信息的存儲(chǔ)位置��,沒有嚴(yán)格遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)
大多數(shù)企業(yè)網(wǎng)絡(luò)管理人員認(rèn)為��,他們確切地知道關(guān)鍵數(shù)據(jù)的存儲(chǔ)位置���,比如信用卡信息��、社會(huì)安全號(hào)碼或其它個(gè)人身份識(shí)別信息��,并且對(duì)這些存儲(chǔ)關(guān)鍵信息的服務(wù)器采用了最高級(jí)別的安全措施��。但是���,顯示情況卻是這些數(shù)據(jù)還有可能存儲(chǔ)在網(wǎng)絡(luò)上的其它地方,比如備份網(wǎng)站或軟件開發(fā)部��。
正是這些次要的��、非關(guān)鍵服務(wù)器才更容易受到攻擊���,從而導(dǎo)致核心數(shù)據(jù)被竊���,給企業(yè)帶來嚴(yán)重的災(zāi)難。查找所有關(guān)鍵數(shù)據(jù)存儲(chǔ)位置的一個(gè)簡單方法就是執(zhí)行網(wǎng)絡(luò)發(fā)現(xiàn)過程��。"我們通常會(huì)在網(wǎng)絡(luò)上安裝一個(gè)探測(cè)器��,這樣我們就能看到關(guān)鍵數(shù)據(jù)從哪里出來的��,并且要用到哪里去," Tippett說��。
所謂的PCI DSS 實(shí)施包括對(duì)銀行信用卡/借記卡不同品牌12項(xiàng)非常嚴(yán)格的安全標(biāo)準(zhǔn)審查��,審查其使用環(huán)境與信息安全問題的政策和程序���,從而有效地保護(hù)持卡人的個(gè)人信息。"但大多數(shù)企業(yè)網(wǎng)絡(luò)管理人員沒有遵守PCI標(biāo)準(zhǔn)��。" Tippett說��。有時(shí)���,雖然網(wǎng)絡(luò)管理人員對(duì)他們所知道的信用卡數(shù)據(jù)存儲(chǔ)服務(wù)器執(zhí)行了PCI標(biāo)準(zhǔn)��,但是��,在托管這些重要數(shù)據(jù)的其它未知服務(wù)器上卻沒有采取任何措施��。
根據(jù)Verizon Business的報(bào)告���,98%的網(wǎng)絡(luò)犯案記錄都涉及到信用卡數(shù)據(jù),但是��,只有19%的企業(yè)遵循PCI標(biāo)準(zhǔn)。"顯而易見的���,遵循PCI標(biāo)準(zhǔn)真的很有效���," Tippett說。
10.沒有一個(gè)全面的備份/災(zāi)難恢復(fù)計(jì)劃
并不是做備份有多么困難��。問題是很多時(shí)候你會(huì)因?yàn)槊y而忘記了他們���。因?yàn)榇蠖鄶?shù)的系統(tǒng)管理員往往一天下來都忙得頭昏腦漲��,而備份看起 來是件浪費(fèi)時(shí)
關(guān)鍵詞標(biāo)簽:網(wǎng)絡(luò)安全
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程