網(wǎng)絡(luò)管理員常犯19大愚蠢錯(cuò)誤(一)
管理資訊保安服務(wù)領(lǐng)導(dǎo)供應(yīng)商Verizon Business對過去幾年里危害程度比較深的90個(gè)安全漏洞進(jìn)行了一次系統(tǒng)分析,發(fā)現(xiàn)與這90個(gè)安全漏洞相關(guān)的“犯案”記錄竟然高達(dá)2.85億條�,驚人的數(shù)字���,不是嗎���?其中大多數(shù)重頭案件都涉及有組織犯罪,比如非法登錄一個(gè)未加保護(hù)網(wǎng)絡(luò)�����,并竊取信用卡資料����、社會(huì)安全號碼或其他個(gè)人身份信息等等��。
而令人驚訝地是��,這些安全漏洞大多是由于網(wǎng)絡(luò)管理員沒有對自己負(fù)責(zé)的網(wǎng)絡(luò)系統(tǒng)�����,尤其是非關(guān)鍵服務(wù)器采取明顯的防護(hù)措施造成而造成的����。
“根本原因就在于網(wǎng)絡(luò)管理員沒有做好最基本的工作��,就這么簡單������! Verizon Business技術(shù)創(chuàng)新部副總裁Peter Tippett說,Tippett是安全領(lǐng)域的權(quán)威人士�,從事安全漏洞審計(jì)工作長達(dá)18年之久。
在Tippett的幫助下��,我們總結(jié)了以下網(wǎng)絡(luò)管理人員們最常見的錯(cuò)誤清單���,這些錯(cuò)誤將直接導(dǎo)致網(wǎng)絡(luò)一片混亂并導(dǎo)致嚴(yán)重的安全漏洞����。針對每個(gè)錯(cuò)誤,我們給出了最簡單的解決方案���,希望能眾多網(wǎng)絡(luò)管理員有所幫助�。
1.未更改網(wǎng)絡(luò)設(shè)備的缺省密碼
“我們發(fā)現(xiàn)���,很多企業(yè)的服務(wù)器�、交換機(jī)���、路由器以及其它網(wǎng)絡(luò)設(shè)備都使用缺省密碼——通常是‘password’或‘a(chǎn)dmin’����,這是多么令人難以置信��������! Tippett說。“大多數(shù)CIO們認(rèn)為�����,這個(gè)問題不可能發(fā)生在他們身上��,而事實(shí)則恰恰相反�������!
為了避免這個(gè)問題�,你需要對你網(wǎng)絡(luò)中的每一臺網(wǎng)絡(luò)設(shè)備進(jìn)行一次徹底的漏洞掃描,而不僅僅是核心或關(guān)鍵設(shè)備�����,Tippett說�����。然后修改每臺設(shè)備的缺省密碼��。根據(jù)Verizon Business的研究結(jié)果���,在過去的一年中所發(fā)生的網(wǎng)絡(luò)侵害案件中��,有一半以上是由于某個(gè)網(wǎng)絡(luò)設(shè)備使用缺省密碼而給犯案人員留下了可乘之機(jī)����。
2. 多臺網(wǎng)絡(luò)設(shè)備“共享”同一個(gè)密碼
企業(yè)的IT部門常常對多個(gè)服務(wù)器使用相同的密碼,并且很多人都知道這個(gè)密碼����。就密碼本省而言,它的安全性可能非常高——一個(gè)數(shù)字和字母的復(fù)雜組合�����,但是���,一旦它被多個(gè)系統(tǒng)共享�,那么所有這些系統(tǒng)都處于危險(xiǎn)之中��。
例如����,某個(gè)知道這一“通用”密碼的人離職了�,而他很有可能在新公司還是使用同一密碼���。或者某個(gè)負(fù)責(zé)部署非關(guān)鍵系統(tǒng)比如數(shù)據(jù)中心冷卻系統(tǒng)的外包人員�,很有可能對其負(fù)責(zé)的所有客戶的所有系統(tǒng)使用相同的密碼。在這些情況下��,如果密碼被某個(gè)黑客得到�����,那么他就可以進(jìn)入許多服務(wù)器并且造成很大的破壞���。
Tippett說�����,企業(yè)IT部門需要制定一個(gè)流程——無論是自動(dòng)還是手動(dòng)——以確保服務(wù)器密碼不會(huì)在多個(gè)系統(tǒng)之間共享�����,并且還要定期更換�,這樣才能保證密碼安全�����。最簡單也最有效的辦法就是專門找一個(gè)人負(fù)責(zé)保管企業(yè)目前服務(wù)器的所有密碼。
3.未能有效找出Web服務(wù)器的SQL編碼錯(cuò)誤
根據(jù)Verizon Business的研究結(jié)果��,最常見的黑客攻擊是對連接到Web服務(wù)器的SQL數(shù)據(jù)庫的攻擊�,這大約占到了研究記錄的79%.而黑客侵入這些系統(tǒng)的方式是利用Web表單提交一個(gè)SQL命令。如果表單的編碼是正確的�����,那么它是不會(huì)接受SQL命令的��。但是��,有時(shí)開發(fā)人員的編碼食物就可能“創(chuàng)造”所謂的SQL注入漏洞�����,黑客可以一用這些漏洞直接從數(shù)據(jù)庫中查詢他們所需要的信息��。
Tippett說�,避免SQL注入攻擊的最簡單方法就是運(yùn)行一個(gè)應(yīng)用防火墻,首先把它設(shè)置為“學(xué)習(xí)”模式��,以便能夠觀察用戶如何把數(shù)據(jù)輸入字段中�,然后將該應(yīng)用防火墻設(shè)置為“操作”模式,這樣SQL命令就不能“注入”字段中了�。SQL編碼問題十分普遍��!叭绻粋(gè)企業(yè)對自己的100臺服務(wù)器進(jìn)行測試�,它們可能會(huì)發(fā)現(xiàn)其中90臺有SQL注入問題����! Tippett說。
通常情況下�,企業(yè)僅僅解決了核心服務(wù)器的SQL注入漏洞,但是他們忽略了很重要的一點(diǎn):黑客往往是通過非關(guān)鍵系統(tǒng)進(jìn)入到他們的網(wǎng)絡(luò)的�。Tippett建議網(wǎng)絡(luò)管理員利用訪問控制列表對網(wǎng)絡(luò)進(jìn)行劃分,限制服務(wù)器同非重要設(shè)備的通訊����。這樣就可以有些地防止黑客利用一個(gè)小小的SQL編碼錯(cuò)誤非法獲取數(shù)據(jù)。
管理資訊保安服務(wù)領(lǐng)導(dǎo)供應(yīng)商Verizon Business對過去幾年里危害程度比較深的90個(gè)安全漏洞進(jìn)行了一次系統(tǒng)分析�,發(fā)現(xiàn)與這90個(gè)安全漏洞相關(guān)的“犯案”記錄竟然高達(dá)2.85億條����,驚人的數(shù)字���,不是嗎?其中大多數(shù)重頭案件都涉及有組織犯罪����,比如非法登錄一個(gè)未加保護(hù)網(wǎng)絡(luò)��,并竊取信用卡資料��、社會(huì)安全號碼或其他個(gè)人身份信息等等����。
而令人驚訝地是����,這些安全漏洞大多是由于網(wǎng)絡(luò)管理員沒有對自己負(fù)責(zé)的網(wǎng)絡(luò)系統(tǒng),尤其是非關(guān)鍵服務(wù)器采取明顯的防護(hù)措施造成而造成的����。
“根本原因就在于網(wǎng)絡(luò)管理員沒有做好最基本的工作,就這么簡單��������! Verizon Business技術(shù)創(chuàng)新部副總裁Peter Tippett說���,Tippett是安全領(lǐng)域的權(quán)威人士�����,從事安全漏洞審計(jì)工作長達(dá)18年之久。
在Tippett的幫助下���,我們總結(jié)了以下網(wǎng)絡(luò)管理人員們最常見的錯(cuò)誤清單����,這些錯(cuò)誤將直接導(dǎo)致網(wǎng)絡(luò)一片混亂并導(dǎo)致嚴(yán)重的安全漏洞���。針對每個(gè)錯(cuò)誤����,我們給出了最簡單的解決方案�����,希望能眾多網(wǎng)絡(luò)管理員有所幫助�。
1.未更改網(wǎng)絡(luò)設(shè)備的缺省密碼
“我們發(fā)現(xiàn),很多企業(yè)的服務(wù)器����、交換機(jī)�、路由器以及其它網(wǎng)絡(luò)設(shè)備都使用缺省密碼——通常是‘password’或‘a(chǎn)dmin’����,這是多么令人難以置信��! Tippett說����。“大多數(shù)CIO們認(rèn)為����,這個(gè)問題不可能發(fā)生在他們身上,而事實(shí)則恰恰相反������!
為了避免這個(gè)問題,你需要對你網(wǎng)絡(luò)中的每一臺網(wǎng)絡(luò)設(shè)備進(jìn)行一次徹底的漏洞掃描���,而不僅僅是核心或關(guān)鍵設(shè)備�����,Tippett說���。然后修改每臺設(shè)備的缺省密碼�。根據(jù)Verizon Business的研究結(jié)果�����,在過去的一年中所發(fā)生的網(wǎng)絡(luò)侵害案件中�,有一半以上是由于某個(gè)網(wǎng)絡(luò)設(shè)備使用缺省密碼而給犯案人員留下了可乘之機(jī)��。
2. 多臺網(wǎng)絡(luò)設(shè)備“共享”同一個(gè)密碼
企業(yè)的IT部門常常對多個(gè)服務(wù)器使用相同的密碼�,并且很多人都知道這個(gè)密碼。就密碼本省而言����,它的安全性可能非常高——一個(gè)數(shù)字和字母的復(fù)雜組合,但是����,一旦它被多個(gè)系統(tǒng)共享,那么所有這些系統(tǒng)都處于危險(xiǎn)之中��。
例如,某個(gè)知道這一“通用”密碼的人離職了�,而他很有可能在新公司還是使用同一密碼�;蛘吣硞(gè)負(fù)責(zé)部署非關(guān)鍵系統(tǒng)比如數(shù)據(jù)中心冷卻系統(tǒng)的外包人員,很有可能對其負(fù)責(zé)的所有客戶的所有系統(tǒng)使用相同的密碼����。在這些情況下,如果密碼被某個(gè)黑客得到��,那么他就可以進(jìn)入許多服務(wù)器并且造成很大的破壞����。
Tippett說,企業(yè)IT部門需要制定一個(gè)流程——無論是自動(dòng)還是手動(dòng)——以確保服務(wù)器密碼不會(huì)在多個(gè)系統(tǒng)之間共享���,并且還要定期更換��,這樣才能保證密碼安全����。最簡單也最有效的辦法就是專門找一個(gè)人負(fù)責(zé)保管企業(yè)目前服務(wù)器的所有密碼�����。
3.未能有效找出Web服務(wù)器的SQL編碼錯(cuò)誤
根據(jù)Verizon Business的研究結(jié)果,最常見的黑客攻擊是對連接到Web服務(wù)器的SQL數(shù)據(jù)庫的攻擊���,這大約占到了研究記錄的79%.而黑客侵入這些系統(tǒng)的方式是利用Web表單提交一個(gè)SQL命令�。如果表單的編碼是正確的�����,那么它是不會(huì)接受SQL命令的�����。但是����,有時(shí)開發(fā)人員的編碼食物就可能“創(chuàng)造”所謂的SQL注入漏洞�����,黑客可以一用這些漏洞直接從數(shù)據(jù)庫中查詢他們所需要的信息�����。
Tippett說��,避免SQL注入攻擊的最簡單方法就是運(yùn)行一個(gè)應(yīng)用防火墻,首先把它設(shè)置為“學(xué)習(xí)”模式�����,以便能夠觀察用戶如何把數(shù)據(jù)輸入字段中�����,然后將該應(yīng)用防火墻設(shè)置為“操作”模式��,這樣SQL命令就不能“注入”字段中了��。SQL編碼問題十分普遍������!叭绻粋(gè)企業(yè)對自己的100臺服務(wù)器進(jìn)行測試,它們可能會(huì)發(fā)現(xiàn)其中90臺有SQL注入問題������! Tippett說。
通常情況下��,企業(yè)僅僅解決了核心服務(wù)器的SQL注入漏洞,但是他們忽略了很重要的一點(diǎn):黑客往往是通過非關(guān)鍵系統(tǒng)進(jìn)入到他們的網(wǎng)絡(luò)的���。Tippett建議網(wǎng)絡(luò)管理員利用訪問控制列表對網(wǎng)絡(luò)進(jìn)行劃分���,限制服務(wù)器同非重要設(shè)備的通訊。這樣就可以有些地防止黑客利用一個(gè)小小的SQL編碼錯(cuò)誤非法獲取數(shù)據(jù)�。
4.未正確配置訪問控制列表
使用訪問控制列表分割網(wǎng)絡(luò)是確保服務(wù)器不會(huì)越界的最簡單有效的方式,它能確保每臺網(wǎng)絡(luò)設(shè)備或系統(tǒng)只與它們需要的服務(wù)器或系統(tǒng)進(jìn)行通訊�。例如,如果你允許業(yè)務(wù)合作伙伴可以通過你的VPN訪問你內(nèi)網(wǎng)中的兩臺服務(wù)器����,那么你應(yīng)該在訪問控制列表中進(jìn)行設(shè)置,確保這些業(yè)務(wù)合作伙伴只能訪問這兩臺服務(wù)器����,而不能越界�。即便是某個(gè)黑客利用合作伙伴的這個(gè)通道進(jìn)入你的企業(yè)內(nèi)網(wǎng),那么他也僅僅能竊取這兩臺服務(wù)器上的數(shù)據(jù)��,危害范圍大大降低�����。
“但是,現(xiàn)實(shí)情況卻是����,利用VPN進(jìn)入企業(yè)網(wǎng)絡(luò)的黑客往往在內(nèi)網(wǎng)中暢通無阻,” Tippett說�����。事實(shí)上���,如果所有企業(yè)都能正確配置訪問控制列表��,那么過去的一年中所發(fā)生的網(wǎng)絡(luò)侵害事件就能減少66%.配置訪問控制列表是一件非常簡單的工作�����,而CIO們不愿做這件事的理由是它涉及到將路由器用作防火墻���,這是許多網(wǎng)絡(luò)管理員并不希望的。
5.允許不安全的遠(yuǎn)程訪問和管理軟件
黑客侵入企業(yè)內(nèi)網(wǎng)最常用的手段之一就是使用遠(yuǎn)程訪問和管理軟件包��,比如PCAnywhere����、Virtual Network Computing (VNC)或Secure Shell (SSH)����。通常�����,這些應(yīng)用軟件都缺乏最基本的保障措施����,比如安全的密碼。
解決這一問題的最簡單方法就是對你的整個(gè)IP地址空間運(yùn)行一個(gè)外部掃描���,尋找PCAnywhere���、Virtual Network Computing (VNC)或Secure Shell (SSH)。一旦檢測到這些應(yīng)用��,立刻對其增加額外的保障措施��,比如令牌或證書�。除此以外��,另一種方法就是掃描外部路由器的NetFlow數(shù)據(jù)���,看看有沒有遠(yuǎn)程訪問管理流量出現(xiàn)在你的網(wǎng)絡(luò)中��。
根據(jù)Verizon Business的報(bào)告���,不安全的遠(yuǎn)程訪問和管理軟件所占的比例也是非常高的����,達(dá)到了27%.
6.沒有對非關(guān)鍵應(yīng)用進(jìn)行基本漏洞掃描或測試
根據(jù)Verizon Business的研究結(jié)果����,近80%的黑客攻擊都是由于Web應(yīng)用存在安全漏洞造成的。網(wǎng)絡(luò)管理人員知道��,系統(tǒng)最大的漏洞就在Web應(yīng)用中�����,所以他們用盡渾身解數(shù)對關(guān)鍵系統(tǒng)和Web系統(tǒng)進(jìn)行測試��。
現(xiàn)在的問題是�,大多數(shù)黑客攻擊利用的都是企業(yè)內(nèi)網(wǎng)非關(guān)鍵系統(tǒng)的安全漏洞����!爸饕獑栴}是���,我們瘋狂的測試核心網(wǎng)絡(luò)應(yīng)用,而忽略了非Web應(yīng)用測試����,” Tippett說。因此���,他建議網(wǎng)絡(luò)管理員在做漏洞掃描或測試時(shí)應(yīng)該把網(wǎng)撒的更大更廣泛���。
“我們從小受的教育就是一定要根據(jù)輕重緩解安排工作,但是不良分子卻不管所謂的輕重緩急���,哪個(gè)容易攻破����,他們就進(jìn)入哪個(gè)���!盩ippett說���!耙坏┧麄冞M(jìn)入你的網(wǎng)絡(luò)���,他們就在里面為所欲為���!
7.未能對服務(wù)器采取有效的保護(hù)措施�,惡意軟件泛濫
Verizon Business的研究報(bào)告表明��,服務(wù)器惡意軟件大約占到了所有安全漏洞的38%.大多數(shù)惡意軟件是由黑客遠(yuǎn)程安裝的�����,用來竊取用戶的數(shù)據(jù)����。通常情況下,惡意軟件都是定制的���,所以它們不能被防病毒軟件發(fā)現(xiàn)����。網(wǎng)絡(luò)管理員查找服務(wù)器惡意軟件(比如鍵盤記錄軟件或間諜軟件)的一個(gè)有效手段就是在自己的每臺服務(wù)器上運(yùn)行一個(gè)基于主機(jī)的入侵檢測系統(tǒng)軟件�,而不僅僅是核心服務(wù)器����。
Tippett表示���,一些非常簡單的方法就可以避免許多這類攻擊��,比如服務(wù)器鎖定�,這樣新的應(yīng)用就無法在它上面運(yùn)行����������!熬W(wǎng)絡(luò)管理人員通常不愿意這樣做�,因?yàn)樗麄冋J(rèn)為這可能會(huì)使安裝新軟件變得有些復(fù)雜,”Tippett說����!岸聦(shí)上����,如果你要安裝新應(yīng)用���,你可以先開鎖,安裝完畢后�,再鎖上就OK了�!
