管理資訊保安服務領導供應商Verizon Business對過去幾年里危害程度比較深的90個安全漏洞進行了一次系統(tǒng)分析,發(fā)現(xiàn)與這90個安全漏洞相關(guān)的“犯案”記錄竟然高達2.85億條,驚人的數(shù)字,不是嗎?其中大多數(shù)重頭案件都涉及有組織犯罪,比如非法登錄一個未加保護網(wǎng)絡,并竊取信用卡資料、社會安全號碼或其他個人身份信息等等。
而令人驚訝地是,這些安全漏洞大多是由于網(wǎng)絡管理員沒有對自己負責的網(wǎng)絡系統(tǒng),尤其是非關(guān)鍵服務器采取明顯的防護措施造成而造成的。
“根本原因就在于網(wǎng)絡管理員沒有做好最基本的工作,就這么簡單。” Verizon Business技術(shù)創(chuàng)新部副總裁Peter Tippett說,Tippett是安全領域的權(quán)威人士,從事安全漏洞審計工作長達18年之久。
在Tippett的幫助下,我們總結(jié)了以下網(wǎng)絡管理人員們最常見的錯誤清單,這些錯誤將直接導致網(wǎng)絡一片混亂并導致嚴重的安全漏洞。針對每個錯誤,我們給出了最簡單的解決方案,希望能眾多網(wǎng)絡管理員有所幫助。
1.未更改網(wǎng)絡設備的缺省密碼
“我們發(fā)現(xiàn),很多企業(yè)的服務器、交換機、路由器以及其它網(wǎng)絡設備都使用缺省密碼——通常是‘password’或‘a(chǎn)dmin’,這是多么令人難以置信。” Tippett說。“大多數(shù)CIO們認為,這個問題不可能發(fā)生在他們身上,而事實則恰恰相反。”
為了避免這個問題,你需要對你網(wǎng)絡中的每一臺網(wǎng)絡設備進行一次徹底的漏洞掃描,而不僅僅是核心或關(guān)鍵設備,Tippett說。然后修改每臺設備的缺省密碼。根據(jù)Verizon Business的研究結(jié)果,在過去的一年中所發(fā)生的網(wǎng)絡侵害案件中,有一半以上是由于某個網(wǎng)絡設備使用缺省密碼而給犯案人員留下了可乘之機。
2. 多臺網(wǎng)絡設備“共享”同一個密碼
企業(yè)的IT部門常常對多個服務器使用相同的密碼,并且很多人都知道這個密碼。就密碼本省而言,它的安全性可能非常高——一個數(shù)字和字母的復雜組合,但是,一旦它被多個系統(tǒng)共享,那么所有這些系統(tǒng)都處于危險之中。
例如,某個知道這一“通用”密碼的人離職了,而他很有可能在新公司還是使用同一密碼。或者某個負責部署非關(guān)鍵系統(tǒng)比如數(shù)據(jù)中心冷卻系統(tǒng)的外包人員,很有可能對其負責的所有客戶的所有系統(tǒng)使用相同的密碼。在這些情況下,如果密碼被某個黑客得到,那么他就可以進入許多服務器并且造成很大的破壞。
Tippett說,企業(yè)IT部門需要制定一個流程——無論是自動還是手動——以確保服務器密碼不會在多個系統(tǒng)之間共享,并且還要定期更換,這樣才能保證密碼安全。最簡單也最有效的辦法就是專門找一個人負責保管企業(yè)目前服務器的所有密碼。
3.未能有效找出Web服務器的SQL編碼錯誤
根據(jù)Verizon Business的研究結(jié)果,最常見的黑客攻擊是對連接到Web服務器的SQL數(shù)據(jù)庫的攻擊,這大約占到了研究記錄的79%.而黑客侵入這些系統(tǒng)的方式是利用Web表單提交一個SQL命令。如果表單的編碼是正確的,那么它是不會接受SQL命令的。但是,有時開發(fā)人員的編碼食物就可能“創(chuàng)造”所謂的SQL注入漏洞,黑客可以一用這些漏洞直接從數(shù)據(jù)庫中查詢他們所需要的信息。
Tippett說,避免SQL注入攻擊的最簡單方法就是運行一個應用防火墻,首先把它設置為“學習”模式,以便能夠觀察用戶如何把數(shù)據(jù)輸入字段中,然后將該應用防火墻設置為“操作”模式,這樣SQL命令就不能“注入”字段中了。SQL編碼問題十分普遍。“如果一個企業(yè)對自己的100臺服務器進行測試,它們可能會發(fā)現(xiàn)其中90臺有SQL注入問題。” Tippett說。
通常情況下,企業(yè)僅僅解決了核心服務器的SQL注入漏洞,但是他們忽略了很重要的一點:黑客往往是通過非關(guān)鍵系統(tǒng)進入到他們的網(wǎng)絡的。Tippett建議網(wǎng)絡管理員利用訪問控制列表對網(wǎng)絡進行劃分,限制服務器同非重要設備的通訊。這樣就可以有些地防止黑客利用一個小小的SQL編碼錯誤非法獲取數(shù)據(jù)。
管理資訊保安服務領導供應商Verizon Business對過去幾年里危害程度比較深的90個安全漏洞進行了一次系統(tǒng)分析,發(fā)現(xiàn)與這90個安全漏洞相關(guān)的“犯案”記錄竟然高達2.85億條,驚人的數(shù)字,不是嗎?其中大多數(shù)重頭案件都涉及有組織犯罪,比如非法登錄一個未加保護網(wǎng)絡,并竊取信用卡資料、社會安全號碼或其他個人身份信息等等。
而令人驚訝地是,這些安全漏洞大多是由于網(wǎng)絡管理員沒有對自己負責的網(wǎng)絡系統(tǒng),尤其是非關(guān)鍵服務器采取明顯的防護措施造成而造成的。
“根本原因就在于網(wǎng)絡管理員沒有做好最基本的工作,就這么簡單。” Verizon Business技術(shù)創(chuàng)新部副總裁Peter Tippett說,Tippett是安全領域的權(quán)威人士,從事安全漏洞審計工作長達18年之久。
在Tippett的幫助下,我們總結(jié)了以下網(wǎng)絡管理人員們最常見的錯誤清單,這些錯誤將直接導致網(wǎng)絡一片混亂并導致嚴重的安全漏洞。針對每個錯誤,我們給出了最簡單的解決方案,希望能眾多網(wǎng)絡管理員有所幫助。
1.未更改網(wǎng)絡設備的缺省密碼
“我們發(fā)現(xiàn),很多企業(yè)的服務器、交換機、路由器以及其它網(wǎng)絡設備都使用缺省密碼——通常是‘password’或‘a(chǎn)dmin’,這是多么令人難以置信。” Tippett說。“大多數(shù)CIO們認為,這個問題不可能發(fā)生在他們身上,而事實則恰恰相反。”
為了避免這個問題,你需要對你網(wǎng)絡中的每一臺網(wǎng)絡設備進行一次徹底的漏洞掃描,而不僅僅是核心或關(guān)鍵設備,Tippett說。然后修改每臺設備的缺省密碼。根據(jù)Verizon Business的研究結(jié)果,在過去的一年中所發(fā)生的網(wǎng)絡侵害案件中,有一半以上是由于某個網(wǎng)絡設備使用缺省密碼而給犯案人員留下了可乘之機。
2. 多臺網(wǎng)絡設備“共享”同一個密碼
企業(yè)的IT部門常常對多個服務器使用相同的密碼,并且很多人都知道這個密碼。就密碼本省而言,它的安全性可能非常高——一個數(shù)字和字母的復雜組合,但是,一旦它被多個系統(tǒng)共享,那么所有這些系統(tǒng)都處于危險之中。
例如,某個知道這一“通用”密碼的人離職了,而他很有可能在新公司還是使用同一密碼。或者某個負責部署非關(guān)鍵系統(tǒng)比如數(shù)據(jù)中心冷卻系統(tǒng)的外包人員,很有可能對其負責的所有客戶的所有系統(tǒng)使用相同的密碼。在這些情況下,如果密碼被某個黑客得到,那么他就可以進入許多服務器并且造成很大的破壞。
Tippett說,企業(yè)IT部門需要制定一個流程——無論是自動還是手動——以確保服務器密碼不會在多個系統(tǒng)之間共享,并且還要定期更換,這樣才能保證密碼安全。最簡單也最有效的辦法就是專門找一個人負責保管企業(yè)目前服務器的所有密碼。
3.未能有效找出Web服務器的SQL編碼錯誤
根據(jù)Verizon Business的研究結(jié)果,最常見的黑客攻擊是對連接到Web服務器的SQL數(shù)據(jù)庫的攻擊,這大約占到了研究記錄的79%.而黑客侵入這些系統(tǒng)的方式是利用Web表單提交一個SQL命令。如果表單的編碼是正確的,那么它是不會接受SQL命令的。但是,有時開發(fā)人員的編碼食物就可能“創(chuàng)造”所謂的SQL注入漏洞,黑客可以一用這些漏洞直接從數(shù)據(jù)庫中查詢他們所需要的信息。
Tippett說,避免SQL注入攻擊的最簡單方法就是運行一個應用防火墻,首先把它設置為“學習”模式,以便能夠觀察用戶如何把數(shù)據(jù)輸入字段中,然后將該應用防火墻設置為“操作”模式,這樣SQL命令就不能“注入”字段中了。SQL編碼問題十分普遍。“如果一個企業(yè)對自己的100臺服務器進行測試,它們可能會發(fā)現(xiàn)其中90臺有SQL注入問題。” Tippett說。
通常情況下,企業(yè)僅僅解決了核心服務器的SQL注入漏洞,但是他們忽略了很重要的一點:黑客往往是通過非關(guān)鍵系統(tǒng)進入到他們的網(wǎng)絡的。Tippett建議網(wǎng)絡管理員利用訪問控制列表對網(wǎng)絡進行劃分,限制服務器同非重要設備的通訊。這樣就可以有些地防止黑客利用一個小小的SQL編碼錯誤非法獲取數(shù)據(jù)。
4.未正確配置訪問控制列表
使用訪問控制列表分割網(wǎng)絡是確保服務器不會越界的最簡單有效的方式,它能確保每臺網(wǎng)絡設備或系統(tǒng)只與它們需要的服務器或系統(tǒng)進行通訊。例如,如果你允許業(yè)務合作伙伴可以通過你的VPN訪問你內(nèi)網(wǎng)中的兩臺服務器,那么你應該在訪問控制列表中進行設置,確保這些業(yè)務合作伙伴只能訪問這兩臺服務器,而不能越界。即便是某個黑客利用合作伙伴的這個通道進入你的企業(yè)內(nèi)網(wǎng),那么他也僅僅能竊取這兩臺服務器上的數(shù)據(jù),危害范圍大大降低。
“但是,現(xiàn)實情況卻是,利用VPN進入企業(yè)網(wǎng)絡的黑客往往在內(nèi)網(wǎng)中暢通無阻,” Tippett說。事實上,如果所有企業(yè)都能正確配置訪問控制列表,那么過去的一年中所發(fā)生的網(wǎng)絡侵害事件就能減少66%.配置訪問控制列表是一件非常簡單的工作,而CIO們不愿做這件事的理由是它涉及到將路由器用作防火墻,這是許多網(wǎng)絡管理員并不希望的。
5.允許不安全的遠程訪問和管理軟件
黑客侵入企業(yè)內(nèi)網(wǎng)最常用的手段之一就是使用遠程訪問和管理軟件包,比如PCAnywhere、Virtual Network Computing (VNC)或Secure Shell (SSH)。通常,這些應用軟件都缺乏最基本的保障措施,比如安全的密碼。
解決這一問題的最簡單方法就是對你的整個IP地址空間運行一個外部掃描,尋找PCAnywhere、Virtual Network Computing (VNC)或Secure Shell (SSH)。一旦檢測到這些應用,立刻對其增加額外的保障措施,比如令牌或證書。除此以外,另一種方法就是掃描外部路由器的NetFlow數(shù)據(jù),看看有沒有遠程訪問管理流量出現(xiàn)在你的網(wǎng)絡中。
根據(jù)Verizon Business的報告,不安全的遠程訪問和管理軟件所占的比例也是非常高的,達到了27%.
6.沒有對非關(guān)鍵應用進行基本漏洞掃描或測試
根據(jù)Verizon Business的研究結(jié)果,近80%的黑客攻擊都是由于Web應用存在安全漏洞造成的。網(wǎng)絡管理人員知道,系統(tǒng)最大的漏洞就在Web應用中,所以他們用盡渾身解數(shù)對關(guān)鍵系統(tǒng)和Web系統(tǒng)進行測試。
現(xiàn)在的問題是,大多數(shù)黑客攻擊利用的都是企業(yè)內(nèi)網(wǎng)非關(guān)鍵系統(tǒng)的安全漏洞。“主要問題是,我們瘋狂的測試核心網(wǎng)絡應用,而忽略了非Web應用測試,” Tippett說。因此,他建議網(wǎng)絡管理員在做漏洞掃描或測試時應該把網(wǎng)撒的更大更廣泛。
“我們從小受的教育就是一定要根據(jù)輕重緩解安排工作,但是不良分子卻不管所謂的輕重緩急,哪個容易攻破,他們就進入哪個。”Tippett說。“一旦他們進入你的網(wǎng)絡,他們就在里面為所欲為。”
7.未能對服務器采取有效的保護措施,惡意軟件泛濫
Verizon Business的研究報告表明,服務器惡意軟件大約占到了所有安全漏洞的38%.大多數(shù)惡意軟件是由黑客遠程安裝的,用來竊取用戶的數(shù)據(jù)。通常情況下,惡意軟件都是定制的,所以它們不能被防病毒軟件發(fā)現(xiàn)。網(wǎng)絡管理員查找服務器惡意軟件(比如鍵盤記錄軟件或間諜軟件)的一個有效手段就是在自己的每臺服務器上運行一個基于主機的入侵檢測系統(tǒng)軟件,而不僅僅是核心服務器。
Tippett表示,一些非常簡單的方法就可以避免許多這類攻擊,比如服務器鎖定,這樣新的應用就無法在它上面運行。“網(wǎng)絡管理人員通常不愿意這樣做,因為他們認為這可能會使安裝新軟件變得有些復雜,”Tippett說。“而事實上,如果你要安裝新應用,你可以先開鎖,安裝完畢后,再鎖上就OK了。”
