管理资讯保安服务领导供应商Verizon Business对过去几年里危害程度比较深的90个安全漏洞进行了一次系统分析,发现与这90个安全漏洞相关的“犯案”记录竟然高达2.85亿条,惊人的数字,不是吗?其中大多数重头案件都涉及有组织犯罪,比如非法登录一个未加保护网络,并窃取信用卡资料、社会安全号码或其他个人身份信息等等。
而令人惊讶地是,这些安全漏洞大多是由于网络管理员没有对自己负责的网络系统,尤其是非关键服务器采取明显的防护措施造成而造成的。
“根本原因就在于网络管理员没有做好最基本的工作,就这么简单。” Verizon Business技术创新部副总裁Peter Tippett说,Tippett是安全领域的权威人士,从事安全漏洞审计工作长达18年之久。
在Tippett的帮助下,我们总结了以下网络管理人员们最常见的错误清单,这些错误将直接导致网络一片混乱并导致严重的安全漏洞。针对每个错误,我们给出了最简单的解决方案,希望能众多网络管理员有所帮助。
1.未更改网络设备的缺省密码
“我们发现,很多企业的服务器、交换机、路由器以及其它网络设备都使用缺省密码---通常是‘password’或‘admin’,这是多么令人难以置信。” Tippett说。“大多数CIO们认为,这个问题不可能发生在他们身上,而事实则恰恰相反。”
为了避免这个问题,你需要对你网络中的每一台网络设备进行一次彻底的漏洞扫描,而不仅仅是核心或关键设备,Tippett说。然后修改每台设备的缺省密码。根据Verizon Business的研究结果,在过去的一年中所发生的网络侵害案件中,有一半以上是由于某个网络设备使用缺省密码而给犯案人员留下了可乘之机。
2. 多台网络设备“共享”同一个密码
企业的IT部门常常对多个服务器使用相同的密码,并且很多人都知道这个密码。就密码本省而言,它的安全性可能非常高---一个数字和字母的复杂组合,但是,一旦它被多个系统共享,那么所有这些系统都处于危险之中。
例如,某个知道这一“通用”密码的人离职了,而他很有可能在新公司还是使用同一密码。或者某个负责部署非关键系统比如数据中心冷却系统的外包人员,很有可能对其负责的所有客户的所有系统使用相同的密码。在这些情况下,如果密码被某个黑客得到,那么他就可以进入许多服务器并且造成很大的破坏。
Tippett说,企业IT部门需要制定一个流程---无论是自动还是手动---以确保服务器密码不会在多个系统之间共享,并且还要定期更换,这样才能保证密码安全。最简单也最有效的办法就是专门找一个人负责保管企业目前服务器的所有密码。
3.未能有效找出Web服务器的SQL编码错误
根据Verizon Business的研究结果,最常见的黑客攻击是对连接到Web服务器的SQL数据库的攻击,这大约占到了研究记录的79%。而黑客侵入这些系统的方式是利用Web表单提交一个SQL命令。如果表单的编码是正确的,那么它是不会接受SQL命令的。但是,有时开发人员的编码食物就可能“创造”所谓的SQL注入漏洞,黑客可以一用这些漏洞直接从数据库中查询他们所需要的信息。
Tippett说,避免SQL注入攻击的最简单方法就是运行一个应用防火墙,首先把它设置为“学习”模式,以便能够观察用户如何把数据输入字段中,然后将该应用防火墙设置为“操作”模式,这样SQL命令就不能“注入”字段中了。SQL编码问题十分普遍。“如果一个企业对自己的100台服务器进行测试,它们可能会发现其中90台有SQL注入问题。” Tippett说。
通常情况下,企业仅仅解决了核心服务器的SQL注入漏洞,但是他们忽略了很重要的一点:黑客往往是通过非关键系统进入到他们的网络的。Tippett建议网络管理员利用访问控制列表对网络进行划分,限制服务器同非重要设备的通讯。这样就可以有些地防止黑客利用一个小小的SQL编码错误非法获取数据。
4.未正确配置访问控制列表
使用访问控制列表分割网络是确保服务器不会越界的最简单有效的方式,它能确保每台网络设备或系统只与它们需要的服务器或系统进行通讯。例如,如果你允许业务合作伙伴可以通过你的VPN访问你内网中的两台服务器,那么你应该在访问控制列表中进行设置,确保这些业务合作伙伴只能访问这两台服务器,而不能越界。即便是某个黑客利用合作伙伴的这个通道进入你的企业内网,那么他也仅仅能窃取这两台服务器上的数据,危害范围大大降低。
“但是,现实情况却是,利用VPN进入企业网络的黑客往往在内网中畅通无阻,” Tippett说。事实上,如果所有企业都能正确配置访问控制列表,那么过去的一年中所发生的网络侵害事件就能减少66%。配置访问控制列表是一件非常简单的工作,而CIO们不愿做这件事的理由是它涉及到将路由器用作防火墙,这是许多网络管理员并不希望的。
5.允许不安全的远程访问和管理软件
黑客侵入企业内网最常用的手段之一就是使用远程访问和管理软件包,比如PCAnywhere、Virtual Network Computing (VNC)或Secure Shell (SSH)。通常,这些应用软件都缺乏最基本的保障措施,比如安全的密码。
解决这一问题的最简单方法就是对你的整个IP地址空间运行一个外部扫描,寻找PCAnywhere、Virtual Network Computing (VNC)或Secure Shell (SSH)。一旦检测到这些应用,立刻对其增加额外的保障措施,比如令牌或证书。除此以外,另一种方法就是扫描外部路由器的NetFlow数据,看看有没有远程访问管理流量出现在你的网络中。
根据Verizon Business的报告,不安全的远程访问和管理软件所占的比例也是非常高的,达到了27%。