DoSECU 安全分析 7月7日消息:当你在考虑最恶劣的企业安全缺口时,显然网络管理者也在重复制造着同样的错误,而这些错误有很多是很容易就可以避免的。
2008年,Verizon Business对代表2.85亿高风险记录的90种安全缺口进行了分析。这些总能成为新闻热点的事故中多数都涉及有组织犯罪,这些犯罪活动的足迹遍布未经保护的网络,利用这些网络来窃取信用卡数据,社会保险号码或者其他私人的身份信息。
令人惊讶的是这些安全缺口频繁作祟的原因是网络管理者忘记采取显而易见的措施来保护他们的系统,尤其是非关键性服务器。
Verizon Business公司的创新和技术副总裁彼得.提比特负责审计安全缺口长达18年之久,他表示"我们只是没有去做最基本的工作"。
提比特帮助我们整理了一份清单,把网络管理者应该采取的消除多数安全缺口的最简单措施罗列在内。以下是清单中总结的项目,非常简单易懂:
1.没有对所有网络设备的缺省密码进行更改
提比特表示企业的服务器,交换机,路由器或者网络应用工具采用缺省密码的做法如此常见确实令人难以置信,那些常用密码或者管理员密码仍然处在激活状态。多数首席信息官认为这种问题绝不会在他们身上发生,但是提比特每天都在见证这些问题的发生。
提比特称,为了避免这种问题,你必须对使用一种IP地址的网络上的每个设备都进行风险扫描,不仅是关键应用软件或者网络系统。然后你需要更改网络设备的缺省密码。根据Verizon Business的市场调研发现,去年存在安全风险的所有记录中有超过一半的数据风险是因为网络设备采用缺省密码而导致的。
2.在多重网络设备中共享一个密码
IT部门经常在多台服务器中使用同样的密码,而且知道密码的人不在少数。这可能是个比较强大的密码-是由一长串复杂的字符和数字组成,但是一旦由集中系统共享,这些系统就都暴露在风险之中。
举例来说,知道密码的人员之一可能会换公司,在他的新公司中重新启用这个额密码。或者负责数据中心制冷系统等非关键性系统的外包人员可以会在他们为所有用户操作的的所用系统上使用同样的密码。在任何一种情况下,如果密码被黑客所发现,黑客就会入侵许多服务器,造成更大的伤害。
提比特认为IT部门需要一个流程(无论是自动的还是手动的)来确保服务器密码没有被多重系统所共享,定期进行更改来保证密码的安全。提比特表示这和把目前的服务器密码写在卡片上放在带锁的箱子里由一个人看管的做法一样简单。
3.没有及时发现SQL代码错误
最常见的黑客攻击(占到所有危险记录的79%)是针对于网络服务器相连的SQL数据库的。黑客入侵系统的方法是在网络表格中键入SQL命令行。如果表格的编码正确,就不应该接受SQL命令行。但是有时研发人员偶尔也会犯下被称之为SQL注入的错误。
提比特表示预防这些错误的最早方法是在学习模式中运行应用软件防火墙,以便于它能观测到用户如何在这个区域内键入数据,然后在运行模式下设置应用软件防火墙,这样SQL命令就不会被注入到这个区域。SQL代码问题是普遍存在的。提比特表示"如果公司测试100台服务器,他们可能会在90台服务器中发现SQL注入问题的存在"。
企业经常只对他们的关键服务器上的SQL注入错误进行修正,而忘记了多数黑客是通过非关键性系统入侵他们的网络的。提比特建议说网络管理者应该利用访问控制清单分割他们的网络来限制服务器与不重要设备的互联。这种做法可以阻止黑客通过不可避免的SQL代码错误大范围入侵系统中的数据。
4.错误配置访问控制清单
利用访问控制清单来分隔网络是确保系统只和他们应该联系的系统连接的最简单方法。举例来说,如果你允许企业合作伙伴通过你的虚拟个人网络来访问网络上的两台服务器,你应该使用访问控制清单来确保这些企业合作伙伴只能访问这两台服务器。如果之后黑客通过向企业合作伙伴开放的入口入侵了你的网络,黑客也只能窃取这两台服务器上的数据。
提比特表示"犯罪分子经常会通过虚拟个人网络入侵网络系统来窥伺一切"。根据Verizon的报告显示,确实采用正确的配置访问控制清单在去年为存在危险的记录中66%提供了保护。首席信息官们没有采取这种简单措施的原因是,这种方法会使用你的路由器作为防火墙,许多网络管理者不想这么做。
5.允许不安全的运程访问和管理软件
对于黑客来说入侵网络的最常见方法之一就是利用软件访问和管理软件套装,诸如PCAnywhere, Virtual Network Computing或者Secure Shell (SSH)。这些应用软件都缺乏最基本的安全措施防护,比如强大的密码。
发现这种问题的最简单方法是对整个IT地址空间运行外部扫描来查找PCAnywhere, VNC或SSH流量。一旦你发现这些应用软件,就对他们设置外部安全措施,诸如令牌网或者证书加密码等方式。另一个选择是扫描你的外部路由器上的Netflow数据,看看是否在你的网络内存在任何远程访问管理流量的迹象。
这个问题非常普遍,在Verizon Business的报告中的危险记录中占到了27%。
6.没有对非关键应用软件做基本风险测试
根据Verizon Business报告的统计,大约有80%的黑客攻击是网络应用软件中存在安全漏洞的结果。网络管理者知道他们最大的风险就存在于网络应用软件,因此他们在测试关键应用软件和网络系统上用了最大的努力。
问题是黑客攻击利用的是网络上非关键系统的安全错误。提比特表示"主要问题是我们对关键性网络应用软件疯狂测试,却没有对非关键性应用软件进行测试"。提比特推荐网络管理者对所有应用软件的基本风险都进行测试。
提比特表示"人们在危险程度方面总是屡遭教训,但是犯罪分子不知道什么是关键什么是不关键,他们只看哪里是薄弱环节。一旦他们入侵了你的网络,他们就会设置建立站点,观察你的流量"。
7.没有为服务器防御木马提供足够的保护
Verizon Business在报告中称,服务器上的木马占到了所有安全缺口的38%。多数木马是被远程攻击者安装的,主要用来窃取数据。具有代表性的是,木马是自定义的,因此他无法被防病毒软件查获。对于网络管理者来说发现服务器上诸如keylogger这样的木马或者间谍软件的方法是在每台服务器上运行基于主机的入侵检测系统软件,而不仅是针对关键服务器。
提比特推荐了一种阻止这些攻击的简单方法:锁定这些服务器,以便新的应用软件无法在这些服务器上运行。"网络管理者不喜欢这么做是因为他们可以之后会增加新的软件。我告诉大家只需解锁这个服务器锁定,安装新的软件,然后再重新锁定即可"。
8.没有配置禁止非法外界流量的路由器
木马程序常用的一种做法是在服务器上设置后门或者命令解释器。阻止黑客利用后门或者命令解释器的一种方法是使用访问控制清单的网络分割。这种方法可以阻止服务器发送不该发送的流量。举例来说,一台电子邮件服务器只该发送邮件流量,而不是SSH流量。另一种选择是利用你的路由器缺省拒绝出口过滤,阻止所有流向外部的流量,除非你打算离开网络。
提比特表示"只有2%的公司采取了这种做法。令我困惑的是另外的98%为什么不这么做。缺省拒绝出口过滤是非常简单的"。
9.不了解信用卡或者其他管件用户数据存储的位置
多数企业认为他们知道诸如信用卡信息,社会保险号码或者其他私人身份信息等关键数据存储的位置,他们对这些服务器设置了最高级别的安全防御措施。但是通常,这种数据还会被存储在网络的某些地方,诸如备份网站或者软件研发部门。
就是这些经常招致攻击的二级非关键服务器导致了多数数据的泄露。发现关键数据存储位置的一种简单方法是执行网络侦测。提比特表示"我们通常会在网络上设置探测器,观察关键数据所在的位置,然后他们可能其他的流向"。
10.没有遵守支付卡行业数据安全标准协议
支付卡行业数据安全标准协议对保护持卡人信息设置了12条控制条款。提比特表示"多数用户甚至不曾尝试去遵守支付卡行业数据安全标准协议"。有时企业遵守了支付卡行业数据安全标准协议,按照条款规定了解服务器上存储的信用卡数据,但是在其他未知的服务器上也托管了这种关键数据。
根据Verizon Business的报告,尽管所有存在风险的记录中有98%都涉及支付卡数据,但是存在安全缺口的企业中仅有19%在遵守支付卡行业数据安全标准协议。提比特表示"很显然,遵循支付卡行业数据安全标准协议的规定,他们能起到基本的保障作用"。