1、未更改網絡設備的缺省密碼
“我(wǒ)們發現,很多企業的服務器、交換機、路由器以及其它網絡設備都使用缺省密碼通常是"password"或"admin",這是多麽令人難以置信。” Tippett說。“大(dà)多數CIO們認爲,這個問題不可能發生(shēng)在他們身上,而事實則恰恰相反。”
爲了避免這個問題,你需要對你網絡中(zhōng)的每一(yī)台網絡設備進行一(yī)次徹底的漏洞掃描,而不僅僅是核心或關鍵設備,Tippett說。然後修改每台設備的缺省密碼。根據Verizon Business的研究結果,在過去(qù)的一(yī)年中(zhōng)所發生(shēng)的網絡侵害案件中(zhōng),有一(yī)半以上是由于某個網絡設備使用缺省密碼而給犯案人員(yuán)留下(xià)了可乘之機。
2、多台網絡設備“共享”同一(yī)個密碼
企業的IT部門常常對多個服務器使用相同的密碼,并且很多人都知(zhī)道這個密碼。就密碼本省而言,它的安全性可能非常高一(yī)個數字和字母的複雜(zá)組合,但是,一(yī)旦它被多個系統共享,那麽所有這些系統都處于危險之中(zhōng)。
例如,某個知(zhī)道這一(yī)“通用”密碼的人離(lí)職了,而他很有可能在新公司還是使用同一(yī)密碼。或者某個負責部署非關鍵系統比如數據中(zhōng)心冷卻系統的外(wài)包人員(yuán),很有可能對其負責的所有客戶的所有系統使用相同的密碼。在這些情況下(xià),如果密碼被某個黑客得到,那麽他就可以進入許多服務器并且造成很大(dà)的破壞。
Tippett說,企業IT部門需要制定一(yī)個流程無論是自動還是手動以确保服務器密碼不會在多個系統之間共享,并且還要定期更換,這樣才能保證密碼安全。最簡單也最有效的辦法就是專門找一(yī)個人負責保管企業目前服務器的所有密碼。
3、未能有效找出Web服務器的SQL編碼錯誤
根據Verizon Business的研究結果,最常見的黑客攻擊是對連接到Web服務器的SQL數據庫的攻擊,這大(dà)約占到了研究記錄的79%.而黑客侵入這些系統的方式是利用Web表單提交一(yī)個SQL命令。如果表單的編碼是正确的,那麽它是不會接受SQL命令的。但是,有時開(kāi)發人員(yuán)的編碼食物(wù)就可能“創造”所謂的SQL注入漏洞,黑客可以一(yī)用這些漏洞直接從數據庫中(zhōng)查詢他們所需要的信息。
Tippett說,避免SQL注入攻擊的最簡單方法就是運行一(yī)個應用防火(huǒ)牆,首先把它設置爲“學習”模式,以便能夠觀察用戶如何把數據輸入字段中(zhōng),然後将該應用防火(huǒ)牆設置爲“操作”模式,這樣SQL命令就不能“注入”字段中(zhōng)了。SQL編碼問題十分(fēn)普遍。“如果一(yī)個企業對自己的100台服務器進行測試,它們可能會發現其中(zhōng)90台有SQL注入問題。” Tippett說。
通常情況下(xià),企業僅僅解決了核心服務器的SQL注入漏洞,但是他們忽略了很重要的一(yī)點:黑客往往是通過非關鍵系統進入到他們的網絡的。Tippett建議網絡管理員(yuán)利用訪問控制列表對網絡進行劃分(fēn),限制服務器同非重要設備的通訊。這樣就可以有些地防止黑客利用一(yī)個小(xiǎo)小(xiǎo)的SQL編碼錯誤非法獲取數據。
4、未正确配置訪問控制列表
使用訪問控制列表分(fēn)割網絡是确保服務器不會越界的最簡單有效的方式,它能确保每台網絡設備或系統隻與它們需要的服務器或系統進行通訊。例如,如果你允許業務合作夥伴可以通過你的VPN訪問你内網中(zhōng)的兩台服務器,那麽你應該在訪問控制列表中(zhōng)進行設置,确保這些業務合作夥伴隻能訪問這兩台服務器,而不能越界。即便是某個黑客利用合作夥伴的這個通道進入你的企業内網,那麽他也僅僅能竊取這兩台服務器上的數據,危害範圍大(dà)大(dà)降低。
“但是,現實情況卻是,利用VPN進入企業網絡的黑客往往在内網中(zhōng)暢通無阻,” Tippett說。事實上,如果所有企業都能正确配置訪問控制列表,那麽過去(qù)的一(yī)年中(zhōng)所發生(shēng)的網絡侵害事件就能減少66%.配置訪問控制列表是一(yī)件非常簡單的工(gōng)作,而CIO們不願做這件事的理由是它涉及到将路由器用作防火(huǒ)牆,這是許多網絡管理員(yuán)并不希望的。
5、允許不安全的遠程訪問和管理軟件
黑客侵入企業内網最常用的手段之一(yī)就是使用遠程訪問和管理軟件包,比如PCAnywhere、Virtual Network Computing (VNC)或Secure Shell (SSH)。通常,這些應用軟件都缺乏最基本的保障措施,比如安全的密碼。
解決這一(yī)問題的最簡單方法就是對你的整個IP地址空間運行一(yī)個外(wài)部掃描,尋找PCAnywhere、Virtual Network Computing (VNC)或Secure Shell (SSH)。一(yī)旦檢測到這些應用,立刻對其增加額外(wài)的保障措施,比如令牌或證書(shū)。除此以外(wài),另一(yī)種方法就是掃描外(wài)部路由器的NetFlow數據,看看有沒有遠程訪問管理流量出現在你的網絡中(zhōng)。
根據Verizon Business的報告,不安全的遠程訪問和管理軟件所占的比例也是非常高的,達到了27%。
6、沒有對非關鍵應用進行基本漏洞掃描或測試
根據Verizon Business的研究結果,近80%的黑客攻擊都是由于Web應用存在安全漏洞造成的。網絡管理人員(yuán)知(zhī)道,系統最大(dà)的漏洞就在Web應用中(zhōng),所以他們用盡渾身解數對關鍵系統和Web系統進行測試。
現在的問題是,大(dà)多數黑客攻擊利用的都是企業内網非關鍵系統的安全漏洞。“主要問題是,我(wǒ)們瘋狂的測試核心網絡應用,而忽略了非Web應用測試,” Tippett說。因此,他建議網絡管理員(yuán)在做漏洞掃描或測試時應該把網撒的更大(dà)更廣泛。
“我(wǒ)們從小(xiǎo)受的教育就是一(yī)定要根據輕重緩解安排工(gōng)作,但是不良分(fēn)子卻不管所謂的輕重緩急,哪個容易攻破,他們就進入哪個。”Tippett說。“一(yī)旦他們進入你的網絡,他們就在裏面爲所欲爲。”
7、未能對服務器采取有效的保護措施,惡意軟件泛濫
Verizon Business的研究報告表明,服務器惡意軟件大(dà)約占到了所有安全漏洞的38%.大(dà)多數惡意軟件是由黑客遠程安裝的,用來竊取用戶的數據。通常情況下(xià),惡意軟件都是定制的,所以它們不能被防病毒軟件發現。網絡管理員(yuán)查找服務器惡意軟件(比如鍵盤記錄軟件或間諜軟件)的一(yī)個有效手段就是在自己的每台服務器上運行一(yī)個基于主機的入侵檢測系統軟件,而不僅僅是核心服務器。
Tippett表示,一(yī)些非常簡單的方法就可以避免許多這類攻擊,比如服務器鎖定,這樣新的應用就無法在它上面運行。“網絡管理人員(yuán)通常不願意這樣做,因爲他們認爲這可能會使安裝新軟件變得有些複雜(zá),”Tippett說。“而事實上,如果你要安裝新應用,你可以先開(kāi)鎖,安裝完畢後,再鎖上就OK了。”
8、沒有正确配置路由器,從而禁止不必要的流量
惡意軟件的一(yī)種很流行的破壞方式就是在服務器上安裝後門或命令腳本。而防止黑客利用後門或命令腳本進行破壞的方法之一(yī)就是使用訪問空盒子列表對網絡進行劃分(fēn)。這樣就可以防止服務器向非法的方向發送數據。例如,郵件服務器隻能發送郵件流,而不是SSH流。除此以外(wài),另一(yī)種方法就是将路由器用于缺省拒絕出口過濾,阻止所有出站流量,除非你想要留下(xià)某些有用信息。
“隻有2%的企業這樣做了。我(wǒ)感到困惑的是爲什麽這樣一(yī)項簡單的工(gōng)作其餘98%的企業沒有做,” Tippett說。
9、不清楚重要數據信息的存儲位置,沒有嚴格遵守支付卡行業數據安全标準
大(dà)多數企業網絡管理人員(yuán)認爲,他們确切地知(zhī)道關鍵數據的存儲位置,比如信用卡信息、社會安全号碼或其它個人身份識别信息,并且對這些存儲關鍵信息的服務器采用了最高級别的安全措施。但是,顯示情況卻是這些數據還有可能存儲在網絡上的其它地方,比如備份網站或軟件開(kāi)發部。
正是這些次要的、非關鍵服務器才更容易受到攻擊,從而導緻核心數據被竊,給企業帶來嚴重的災難。查找所有關鍵數據存儲位置的一(yī)個簡單方法就是執行網絡發現過程。“我(wǒ)們通常會在網絡上安裝一(yī)個探測器,這樣我(wǒ)們就能看到關鍵數據從哪裏出來的,并且要用到哪裏去(qù),” Tippett說。
所謂的PCI DSS 實施包括對銀行信用卡/借記卡不同品牌12項非常嚴格的安全标準審查,審查其使用環境與信息安全問題的政策和程序,從而有效地保護持卡人的個人信息。“但大(dà)多數企業網絡管理人員(yuán)沒有遵守PCI标準。” Tippett說。有時,雖然網絡管理人員(yuán)對他們所知(zhī)道的信用卡數據存儲服務器執行了PCI标準,但是,在托管這些重要數據的其它未知(zhī)服務器上卻沒有采取任何措施。
根據Verizon Business的報告,98%的網絡犯案記錄都涉及到信用卡數據,但是,隻有19%的企業遵循PCI标準。“顯而易見的,遵循PCI标準真的很有效,” Tippett說。
10、沒有一(yī)個全面的備份/災難恢複計劃
并不是做備份有多麽困難。問題是很多時候你會因爲忙亂而忘記了他們。因爲大(dà)多數的系統管理員(yuán)往往一(yī)天下(xià)來都忙得頭昏腦漲,而備份看起 來是件浪費(fèi)時間,毫無意義的工(gōng)作直到你真正需要它們之前。
顯然,你需要備份企業的重要數據。我(wǒ)不是暗示大(dà)多數管理員(yuán)們沒有适當的備份策略。但是這些備份策略中(zhōng),有很多策略十年來從未改變過。 你按照規定的時間間隔,用磁帶備份了指定的重要文件,然後你就把它抛在腦後了。你沒有考慮過評估與校正備份策略,甚至你都沒有定期測 試備份磁帶,以确認你的數據的确被正确備份下(xià)來了。直到某一(yī)天你不得不這麽做(磁帶系統毀壞了,甚至更慘你遭遇了一(yī)次災難性的數 據損失,現在你不得不使用備份來恢複)
至于災難恢複,擁有一(yī)個完善考慮過的災難恢複計劃往往更糟。也許,在你的抽屜裏就躺着一(yī)份寫好的商(shāng)務持續性計劃,但是它真的是最新的 嗎(ma)?它的确考慮到了你的所有設備和人員(yuán)嗎(ma)?所有重要的人員(yuán)都了解該計劃嗎(ma)?(舉個例子,也許在計劃完成之後,又(yòu)有新人被提升到了關鍵 的位置上。)這個計劃已經覆蓋了所有的重要因素嗎(ma)?包括如何盡可能迅速的發現問題,如何提醒相關人員(yuán),如何隔離(lí)被影響的系統,以及如 何修複和恢複生(shēng)産?
11、忽視警報信号
UPS已經顯示了一(yī)周的警報,提醒你是時候更換這老古董了。郵件服務器突然每天都會重起好幾次。用戶投訴他們的網頁連接會突然神秘中(zhōng)斷幾 分(fēn)鍾而後再恢複正常。不過所有的一(yī)切似乎都還在正常運轉,所以你稍稍推遲了檢查問題的時間……直到某一(yī)天,你剛上班,網絡就癱瘓了。
正如對待我(wǒ)們自己的身體(tǐ)健康狀況一(yī)樣,你應當及早留心網絡故障的早期危險信号,并在問題變得嚴重之前及早将它揪出來。
12、從不記錄變動情況
當你對服務器的設置作過變動之後,應當花點時間把它記錄下(xià)來。當物(wù)理損壞的災難發生(shēng)時,或者你的操作系統損壞以緻你不得不從頭開(kāi)始重 做系統時,你會很高興你事先做了這個工(gōng)作。甚至有時候,情況根本沒剛才說的發生(shēng)災難這麽糟你隻是剛剛對服務器的設置作了變更,但 是看起來它并沒按照你的預期方式進行工(gōng)作,而不巧的是此時你卻又(yòu)忘記了原來的設置是什麽。
的确,做記錄花了你一(yī)點時間。但是就像備份一(yī)樣,它值得你花這些時間。
13、從不在LOG記錄上浪費(fèi)空間
節省磁盤空間的一(yī)個方法是放(fàng)棄使用LOG記錄功能,或者設置你的LOG記錄文件每增長到一(yī)個很小(xiǎo)的數值後就覆蓋舊(jiù)文件。但是實際問題是磁盤 空間其實相對便宜,但是相對于沒有了LOG文件後,你抓耳撓腮去(qù)查找問題所在并試圖解決問題所花費(fèi)的數小(xiǎo)時而言,無論是從金錢還是你所遭 受的挫折,所節省的空間都實在沒有多大(dà)價值。
某些軟件默認狀态下(xià),沒有自動打開(kāi)他們的LOG記錄功能。但是如果你想在問題出現後的衆多悲痛中(zhōng)解救自己的話(huà),記住這個原理:“任何可以 被記錄的東西都應該被記錄下(xià)來”。
14、不及時安裝重要的更新
“這不會發生(shēng)在我(wǒ)身上”的樂觀綜合症導緻了許多網絡的垮台。的确,某些更新和補丁有時會打斷重要的應用軟件,導緻連接故障,或者幹脆 癱瘓操作系統。因此你應該在部署之前徹底的測試這些升級程序,以避免上述現象的發生(shēng)。但是一(yī)旦确認這些更新或補丁安全後,你應當盡可 能快地安裝它們。
想想Nimda以及其他主要病毒、蠕蟲對系統造成的巨大(dà)損害吧,雖然針對它們的補丁早已被放(fàng)了出來。
15、推遲升級以節約時間和金錢
升級你的操作系統以及特殊應用軟件可能既費(fèi)時又(yòu)費(fèi)錢。但是推遲升級太久費(fèi)用可能會更加昂貴,特别是對安全而言。有2個原因:
新軟件通常内置更好的安全機制。與以前相比,現在對安全代碼的關注明顯高多了。
供應商(shāng)一(yī)般在一(yī)定時間之後就會停止對老版本軟件的支持。這意味着停止發布相應的安全補丁,所以如果你還繼續運行老版本的軟件,你将無 法抵禦新的攻擊威脅。
如果在你的企業内升級全部系統并不可行,那麽分(fēn)批進行升級,首先升級最容易受到攻擊的系統。
16、管理口令粗枝大(dà)葉
雖然多元認證(智能卡、指紋認證)等正變得日益流行,絕大(dà)多數企業依舊(jiù)在依靠用戶名和密碼來登錄網絡系統。不良的口令策略以及粗枝大(dà)葉 的口令管理會成爲安全系統最薄弱的一(yī)環,讓惡意攻擊者無需多少技術即可侵入你的系統。
要求口令必須足夠長度、足夠複雜(zá)(最好采用通行字短語),要求用戶定期更改口令,不許使用重複的口令。通過Windows的組策略或第三方軟 件産品執行口令策略。确保用戶已經進行過口令保密性教育,并事先警告他們社會學工(gōng)程師用于探取他們口令的相關技術。
如果可能,實行一(yī)個除口令或PIN碼之外(wài)的二次認證(你有什麽或你是什麽)。
17、無時無刻試圖取悅所有人
網絡管理員(yuán)的工(gōng)作并不需要每個人都喜歡你。你常常需要設定并執行人們不喜歡的規則。要抵禦“例外(wài)”的誘惑(比如“喔,看在你的份 上,我(wǒ)們會設置防火(huǒ)牆,讓你可以使用即時通信軟件”)
你的工(gōng)作隻是确保用戶可以正常工(gōng)作除此以外(wài)沒有别的。
18、從來不關心任何人
正如在網絡的安全性和完整性處于危險時你要堅守陣地一(yī)樣,聆聽(tīng)管理層和用戶們的需求也同樣重要。找出他們完成工(gōng)作所需的支持,并在你 的職責範圍内盡可能的讓他們的工(gōng)作變得更容易(你的職責就是确保一(yī)個安全可靠的網絡)。
不要忽略網絡首先存在的理由:爲了人們可以共享文件與設備,發送和接收郵件,訪問Internet,等等。如果你讓這些都變得分(fēn)外(wài)困難,他們 可能會尋找方法繞過你的保密措施,這也許會引發更厲害的安全威脅。
19、不教别人做你的工(gōng)作,以此确保自己的不可或缺
這是一(yī)個企業界的普遍誤解,而不僅僅是在IT界。你認爲,如果你是唯一(yī)知(zhī)道郵件服務器如何設置的人,是唯一(yī)知(zhī)道所有交換機所在的人,你的工(gōng)作就變得安全了。這也是許多系統管理員(yuán)不肯記錄網絡設置與變化的另一(yī)個原因。
悲哀的現實是:沒有人是不可或缺的。如果你因爲某種原因離(lí)開(kāi)了,公司會繼續運作。你的保密措施可能會對你的繼任者造成很大(dà)的困難,但 是最後他或她還是會解決的。
而在你工(gōng)作的這段時間内,如果你不訓練他人來接手你的工(gōng)作,你可能會将自己鎖定在當前的工(gōng)作崗位上,難以得到升遷……甚至難以獲得一(yī)次休假。
上一(yī)篇:2017年10月網絡安全回顧
下(xià)一(yī)篇:安全研究人員(yuán)發現了漏洞到底該不該分(fēn)享出來?