管理資訊保安服務(wù)領(lǐng)導(dǎo)供應(yīng)商Verizon Business對(duì)過(guò)去幾年里危害程度比較深的90個(gè)安全漏洞進(jìn)行了一次系統(tǒng)分析,發(fā)現(xiàn)與這90個(gè)安全漏洞相關(guān)的"犯案"記錄竟然高達(dá)2.85億條�����,驚人的數(shù)字���,不是嗎?其中大多數(shù)重頭案件都涉及有組織犯罪��,比如非法登錄一個(gè)未加保護(hù)網(wǎng)絡(luò)��,并竊取信用卡資料、社會(huì)安全號(hào)碼或其他個(gè)人身份信息等等�。
而令人驚訝地是,這些安全漏洞大多是由于網(wǎng)絡(luò)管理員沒(méi)有對(duì)自己負(fù)責(zé)的網(wǎng)絡(luò)系統(tǒng)�����,尤其是非關(guān)鍵服務(wù)器采取明顯的防護(hù)措施造成而造成的。
"根本原因就在于網(wǎng)絡(luò)管理員沒(méi)有做好最基本的工作���,就這么簡(jiǎn)單���。" Verizon Business技術(shù)創(chuàng)新部副總裁Peter Tippett說(shuō),Tippett是安全領(lǐng)域的權(quán)威人士����,從事安全漏洞審計(jì)工作長(zhǎng)達(dá)18年之久。
在Tippett的幫助下��,我們總結(jié)了以下網(wǎng)絡(luò)管理人員們最常見(jiàn)的錯(cuò)誤清單����,這些錯(cuò)誤將直接導(dǎo)致網(wǎng)絡(luò)一片混亂并導(dǎo)致嚴(yán)重的安全漏洞。針對(duì)每個(gè)錯(cuò)誤�,我們給出了最簡(jiǎn)單的解決方案,希望能眾多網(wǎng)絡(luò)管理員有所幫助����。
1.未更改網(wǎng)絡(luò)設(shè)備的缺省密碼
"我們發(fā)現(xiàn),很多企業(yè)的服務(wù)器�、交換機(jī)����、路由器以及其它網(wǎng)絡(luò)設(shè)備都使用缺省密碼——通常是‘password’或‘a(chǎn)dmin’�,這是多么令人難以置信。" Tippett說(shuō)�。"大多數(shù)CIO們認(rèn)為,這個(gè)問(wèn)題不可能發(fā)生在他們身上��,而事實(shí)則恰恰相反���。"
為了避免這個(gè)問(wèn)題���,你需要對(duì)你網(wǎng)絡(luò)中的每一臺(tái)網(wǎng)絡(luò)設(shè)備進(jìn)行一次徹底的漏洞掃描,而不僅僅是核心或關(guān)鍵設(shè)備�����,Tippett說(shuō)����。然后修改每臺(tái)設(shè)備的缺省密碼。根據(jù)Verizon Business的研究結(jié)果�,在過(guò)去的一年中所發(fā)生的網(wǎng)絡(luò)侵害案件中,有一半以上是由于某個(gè)網(wǎng)絡(luò)設(shè)備使用缺省密碼而給犯案人員留下了可乘之機(jī)。
2. 多臺(tái)網(wǎng)絡(luò)設(shè)備"共享"同一個(gè)密碼
企業(yè)的IT部門(mén)常常對(duì)多個(gè)服務(wù)器使用相同的密碼���,并且很多人都知道這個(gè)密碼。就密碼本省而言��,它的安全性可能非常高——一個(gè)數(shù)字和字母的復(fù)雜組合�����,但是����,一旦它被多個(gè)系統(tǒng)共享,那么所有這些系統(tǒng)都處于危險(xiǎn)之中�����。
例如��,某個(gè)知道這一"通用"密碼的人離職了���,而他很有可能在新公司還是使用同一密碼���。或者某個(gè)負(fù)責(zé)部署非關(guān)鍵系統(tǒng)比如數(shù)據(jù)中心冷卻系統(tǒng)的外包人員����,很有可能對(duì)其負(fù)責(zé)的所有客戶(hù)的所有系統(tǒng)使用相同的密碼��。在這些情況下����,如果密碼被某個(gè)黑客得到����,那么他就可以進(jìn)入許多服務(wù)器并且造成很大的破壞。
Tippett說(shuō)�����,企業(yè)IT部門(mén)需要制定一個(gè)流程——無(wú)論是自動(dòng)還是手動(dòng)——以確保服務(wù)器密碼不會(huì)在多個(gè)系統(tǒng)之間共享��,并且還要定期更換����,這樣才能保證密碼安全。最簡(jiǎn)單也最有效的辦法就是專(zhuān)門(mén)找一個(gè)人負(fù)責(zé)保管企業(yè)目前服務(wù)器的所有密碼��。
3.未能有效找出Web服務(wù)器的SQL編碼錯(cuò)誤
根據(jù)Verizon Business的研究結(jié)果��,最常見(jiàn)的黑客攻擊是對(duì)連接到Web服務(wù)器的SQL數(shù)據(jù)庫(kù)的攻擊,這大約占到了研究記錄的79%.而黑客侵入這些系統(tǒng)的方式是利用Web表單提交一個(gè)SQL命令����。如果表單的編碼是正確的,那么它是不會(huì)接受SQL命令的�。但是��,有時(shí)開(kāi)發(fā)人員的編碼食物就可能"創(chuàng)造"所謂的SQL注入漏洞�,黑客可以一用這些漏洞直接從數(shù)據(jù)庫(kù)中查詢(xún)他們所需要的信息。
Tippett說(shuō)����,避免SQL注入攻擊的最簡(jiǎn)單方法就是運(yùn)行一個(gè)應(yīng)用防火墻,首先把它設(shè)置為"學(xué)習(xí)"模式�,以便能夠觀(guān)察用戶(hù)如何把數(shù)據(jù)輸入字段中,然后將該應(yīng)用防火墻設(shè)置為"操作"模式�,這樣SQL命令就不能"注入"字段中了。SQL編碼問(wèn)題十分普遍����。"如果一個(gè)企業(yè)對(duì)自己的100臺(tái)服務(wù)器進(jìn)行測(cè)試,它們可能會(huì)發(fā)現(xiàn)其中90臺(tái)有SQL注入問(wèn)題��。" Tippett說(shuō)��。
通常情況下,企業(yè)僅僅解決了核心服務(wù)器的SQL注入漏洞�����,但是他們忽略了很重要的一點(diǎn):黑客往往是通過(guò)非關(guān)鍵系統(tǒng)進(jìn)入到他們的網(wǎng)絡(luò)的���。Tippett建議網(wǎng)絡(luò)管理員利用訪(fǎng)問(wèn)控制列表對(duì)網(wǎng)絡(luò)進(jìn)行劃分��,限制服務(wù)器同非重要設(shè)備的通訊��。這樣就可以有些地防止黑客利用一個(gè)小小的SQL編碼錯(cuò)誤非法獲取數(shù)據(jù)�����。
4.未正確配置訪(fǎng)問(wèn)控制列表
使用訪(fǎng)問(wèn)控制列表分割網(wǎng)絡(luò)是確保服務(wù)器不會(huì)越界的最簡(jiǎn)單有效的方式�����,它能確保每臺(tái)網(wǎng)絡(luò)設(shè)備或系統(tǒng)只與它們需要的服務(wù)器或系統(tǒng)進(jìn)行通訊����。例如�����,如果你允許業(yè)務(wù)合作伙伴可以通過(guò)你的VPN訪(fǎng)問(wèn)你內(nèi)網(wǎng)中的兩臺(tái)服務(wù)器,那么你應(yīng)該在訪(fǎng)問(wèn)控制列表中進(jìn)行設(shè)置���,確保這些業(yè)務(wù)合作伙伴只能訪(fǎng)問(wèn)這兩臺(tái)服務(wù)器��,而不能越界����。即便是某個(gè)黑客利用合作伙伴的這個(gè)通道進(jìn)入你的企業(yè)內(nèi)網(wǎng)��,那么他也僅僅能竊取這兩臺(tái)服務(wù)器上的數(shù)據(jù)���,危害范圍大大降低。
"但是����,現(xiàn)實(shí)情況卻是,利用VPN進(jìn)入企業(yè)網(wǎng)絡(luò)的黑客往往在內(nèi)網(wǎng)中暢通無(wú)阻����," Tippett說(shuō)。事實(shí)上���,如果所有企業(yè)都能正確配置訪(fǎng)問(wèn)控制列表���,那么過(guò)去的一年中所發(fā)生的網(wǎng)絡(luò)侵害事件就能減少66%.配置訪(fǎng)問(wèn)控制列表是一件非常簡(jiǎn)單的工作���,而CIO們不愿做這件事的理由是它涉及到將路由器用作防火墻,這是許多網(wǎng)絡(luò)管理員并不希望的���。
5.允許不安全的遠(yuǎn)程訪(fǎng)問(wèn)和管理軟件
黑客侵入企業(yè)內(nèi)網(wǎng)最常用的手段之一就是使用遠(yuǎn)程訪(fǎng)問(wèn)和管理軟件包�,比如PCAnywhere���、Virtual Network Computing (VNC)或Secure Shell (SSH)����。通常��,這些應(yīng)用軟件都缺乏最基本的保障措施��,比如安全的密碼�。
解決這一問(wèn)題的最簡(jiǎn)單方法就是對(duì)你的整個(gè)IP地址空間運(yùn)行一個(gè)外部掃描,尋找PCAnywhere�、Virtual Network Computing (VNC)或Secure Shell (SSH)。一旦檢測(cè)到這些應(yīng)用��,立刻對(duì)其增加額外的保障措施��,比如令牌或證書(shū)。除此以外��,另一種方法就是掃描外部路由器的NetFlow數(shù)據(jù)�,看看有沒(méi)有遠(yuǎn)程訪(fǎng)問(wèn)管理流量出現(xiàn)在你的網(wǎng)絡(luò)中。
根據(jù)Verizon Business的報(bào)告�����,不安全的遠(yuǎn)程訪(fǎng)問(wèn)和管理軟件所占的比例也是非常高的�,達(dá)到了27%.
6.沒(méi)有對(duì)非關(guān)鍵應(yīng)用進(jìn)行基本漏洞掃描或測(cè)試
根據(jù)Verizon Business的研究結(jié)果,近80%的黑客攻擊都是由于Web應(yīng)用存在安全漏洞造成的�����。網(wǎng)絡(luò)管理人員知道��,系統(tǒng)最大的漏洞就在Web應(yīng)用中���,所以他們用盡渾身解數(shù)對(duì)關(guān)鍵系統(tǒng)和Web系統(tǒng)進(jìn)行測(cè)試。
現(xiàn)在的問(wèn)題是��,大多數(shù)黑客攻擊利用的都是企業(yè)內(nèi)網(wǎng)非關(guān)鍵系統(tǒng)的安全漏洞���。"主要問(wèn)題是�����,我們瘋狂的測(cè)試核心網(wǎng)絡(luò)應(yīng)用�����,而忽略了非Web應(yīng)用測(cè)試�," Tippett說(shuō)。因此���,他建議網(wǎng)絡(luò)管理員在做漏洞掃描或測(cè)試時(shí)應(yīng)該把網(wǎng)撒的更大更廣泛�。
"我們從小受的教育就是一定要根據(jù)輕重緩解安排工作���,但是不良分子卻不管所謂的輕重緩急����,哪個(gè)容易攻破���,他們就進(jìn)入哪個(gè)����。"Tippett說(shuō)�。"一旦他們進(jìn)入你的網(wǎng)絡(luò)��,他們就在里面為所欲為����。"
7.未能對(duì)服務(wù)器采取有效的保護(hù)措施�����,惡意軟件泛濫
Verizon Business的研究報(bào)告表明�����,服務(wù)器惡意軟件大約占到了所有安全漏洞的38%.大多數(shù)惡意軟件是由黑客遠(yuǎn)程安裝的�����,用來(lái)竊取用戶(hù)的數(shù)據(jù)����。通常情況下���,惡意軟件都是定制的����,所以它們不能被防病毒軟件發(fā)現(xiàn)�。網(wǎng)絡(luò)管理員查找服務(wù)器惡意軟件(比如鍵盤(pán)記錄軟件或間諜軟件)的一個(gè)有效手段就是在自己的每臺(tái)服務(wù)器上運(yùn)行一個(gè)基于主機(jī)的入侵檢測(cè)系統(tǒng)軟件����,而不僅僅是核心服務(wù)器��。
Tippett表示��,一些非常簡(jiǎn)單的方法就可以避免許多這類(lèi)攻擊�����,比如服務(wù)器鎖定����,這樣新的應(yīng)用就無(wú)法在它上面運(yùn)行����。"網(wǎng)絡(luò)管理人員通常不愿意這樣做����,因?yàn)樗麄冋J(rèn)為這可能會(huì)使安裝新軟件變得有些復(fù)雜,"Tippett說(shuō)���。"而事實(shí)上�����,如果你要安裝新應(yīng)用��,你可以先開(kāi)鎖�,安裝完畢后����,再鎖上就OK了。"
8.沒(méi)有正確配置路由器���,從而禁止不必要的流量
惡意軟件的一種很流行的破壞方式就是在服務(wù)器上安裝后門(mén)或命令腳本����。而防止黑客利用后門(mén)或命令腳本進(jìn)行破壞的方法之一就是使用訪(fǎng)問(wèn)空盒子列表對(duì)網(wǎng)絡(luò)進(jìn)行劃分。這樣就可以防止服務(wù)器向非法的方向發(fā)送數(shù)據(jù)。例如�,郵件服務(wù)器只能發(fā)送郵件流,而不是SSH流。除此以外�����,另一種方法就是將路由器用于缺省拒絕出口過(guò)濾���,阻止所有出站流量,除非你想要留下某些有用信息��。
"只有2%的企業(yè)這樣做了����。我感到困惑的是為什么這樣一項(xiàng)簡(jiǎn)單的工作其余98%的企業(yè)沒(méi)有做��," Tippett說(shuō)。
9.不清楚重要數(shù)據(jù)信息的存儲(chǔ)位置���,沒(méi)有嚴(yán)格遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)
大多數(shù)企業(yè)網(wǎng)絡(luò)管理人員認(rèn)為�����,他們確切地知道關(guān)鍵數(shù)據(jù)的存儲(chǔ)位置���,比如信用卡信息、社會(huì)安全號(hào)碼或其它個(gè)人身份識(shí)別信息����,并且對(duì)這些存儲(chǔ)關(guān)鍵信息的服務(wù)器采用了最高級(jí)別的安全措施�。但是�,顯示情況卻是這些數(shù)據(jù)還有可能存儲(chǔ)在網(wǎng)絡(luò)上的其它地方�����,比如備份網(wǎng)站或軟件開(kāi)發(fā)部����。
正是這些次要的、非關(guān)鍵服務(wù)器才更容易受到攻擊�,從而導(dǎo)致核心數(shù)據(jù)被竊�����,給企業(yè)帶來(lái)嚴(yán)重的災(zāi)難��。查找所有關(guān)鍵數(shù)據(jù)存儲(chǔ)位置的一個(gè)簡(jiǎn)單方法就是執(zhí)行網(wǎng)絡(luò)發(fā)現(xiàn)過(guò)程��。"我們通常會(huì)在網(wǎng)絡(luò)上安裝一個(gè)探測(cè)器,這樣我們就能看到關(guān)鍵數(shù)據(jù)從哪里出來(lái)的�����,并且要用到哪里去�," Tippett說(shuō)�。
所謂的PCI DSS 實(shí)施包括對(duì)銀行信用卡/借記卡不同品牌12項(xiàng)非常嚴(yán)格的安全標(biāo)準(zhǔn)審查,審查其使用環(huán)境與信息安全問(wèn)題的政策和程序��,從而有效地保護(hù)持卡人的個(gè)人信息。"但大多數(shù)企業(yè)網(wǎng)絡(luò)管理人員沒(méi)有遵守PCI標(biāo)準(zhǔn)��。" Tippett說(shuō)�����。有時(shí)�,雖然網(wǎng)絡(luò)管理人員對(duì)他們所知道的信用卡數(shù)據(jù)存儲(chǔ)服務(wù)器執(zhí)行了PCI標(biāo)準(zhǔn)�,但是�����,在托管這些重要數(shù)據(jù)的其它未知服務(wù)器上卻沒(méi)有采取任何措施����。
根據(jù)Verizon Business的報(bào)告�����,98%的網(wǎng)絡(luò)犯案記錄都涉及到信用卡數(shù)據(jù)���,但是�����,只有19%的企業(yè)遵循PCI標(biāo)準(zhǔn)。"顯而易見(jiàn)的,遵循PCI標(biāo)準(zhǔn)真的很有效��," Tippett說(shuō)����。
10.沒(méi)有一個(gè)全面的備份/災(zāi)難恢復(fù)計(jì)劃
并不是做備份有多么困難。問(wèn)題是很多時(shí)候你會(huì)因?yàn)槊y而忘記了他們���。因?yàn)榇蠖鄶?shù)的系統(tǒng)管理員往往一天下來(lái)都忙得頭昏腦漲��,而備份看起 來(lái)是件浪費(fèi)時(shí)
關(guān)鍵詞標(biāo)簽:網(wǎng)絡(luò)安全
火絨安全軟件開(kāi)啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程