2008年。Verizon Business从2.85亿次安全攻击记录中挑选出了90个安全泄露事件进行分析。这些事件均上过媒体头条,涉及有组织犯罪,一般情况下都是犯罪分子发现进入某个网络的未受到保护的入口,然后利用此入口盗走了信用卡数据、社会保险号或其他个人身份信息。
令人惊讶的是,这些安全事故往往都是网管员们没有执行保护系统安全、尤其是一些非关键性服务器安全的基本程序而引起的。
“之所以发生安全泄露事故,只是因为我们没有执行某些基本措施,”Verizon Business负责创新与技术的副总裁Peter Tippett说。他跟踪安全泄露事件已长达18年。
Tippett帮我们列出了为了消除重大安全泄露网管员们必须采取的一些较简单的步骤。如果没有遵循本列表所列出的这些相当简单的步骤,结果将是非常愚蠢和糟糕的。
1. 没有更改所有网络设备的缺省密码
Tippett说下列情况几乎“令人难以置信”——企业的服务器、交换机、路由器或网络设备一般都有缺省的密码,通常就是“password”或者“admin”,而这样的缺省密码在很多企业中居然一直在用。大多数CIO自认为这样的事情绝不可能发生,但Tippett却看到此类事情无处不在。
Tippett称,要避免这样的问题,只需要对每台设备执行一次漏洞扫描即可发现。然后要做的就是变更缺省密码。去年所发生的所有安全事件中,超不多一半以上的事件都是因为缺省密码未改而发生的。
2. 多台网络设备共用一个密码。
IT部门常常会对多台服务器共用相同的密码,结果是好几个人都知道这个密码。即便是再好的密码——复杂的数字与字符串——一旦在好几个系统上共用,那么这些系统都将处于危险之中。
举例来说,知道此密码的某人换了公司,他可能会在新的公司也设置这个密码。或者处理某个非关键系统比如数据中心冷却系统的外包人员,可能也会在他所有的客户系统上使用同一个密码。无论是哪种情况,一旦该密码被黑客所发现,那么黑客就能很轻松地进入多家企业的多个系统和多台服务器,实施更大规模的破坏。
Tippett说,IT部门需要制定一个流程——自动或手动——来保证各台服务器的密码没有在多个系统间共用,并定期更改密码以保障安全。他认为,较简单的办法就是把现有各台服务器的不同密码记录在卡片上,然后将卡片交由专人负责,放入带锁的盒子里。
3. 未能发现SQL编码错误。
较常见的黑客攻击——约占所有攻击记录的79%——都是针对与某台Web服务器相连接的SQL数据库的。黑客们进入这些系统的方法就是在一个Web窗口中输入SQL指令。假如该窗口的编码是正确的,那么它是不能接受SQL指令的。然而有时候,一些开发人员偶尔会犯所谓的SQL注入错误。
Tippett说,防范此类错误的较简单办法就是以“学习”模式运行应用防火墙,该防火墙便可观察用户是怎么在一个域里输入数据的,然后再把应用防火墙改成“operate”模式,这样就不会出现在某个域里注入SQL指令的问题了。SQL编码问题普遍存在,“某家企业如果测试100台服务器的话,就有可能发现其中90台都是有SQL注入问题的,”Tippett说。
通常情况下,企业只会修复关键服务器上的SQL注入错误,但却忘记了大多数黑客都是通过非关键系统进入网络的。Tippett建议,网管员应利用访问控制名单对网络实行分段管理,限制服务器与非关键设备进行会话。这种办法能够有效地防范黑客通过无法避免的SQL编码错误进入系统。
4. 访问控制名单配置不当。
利用访问控制名单将网络分段管理是保障各个系统只和那些应该通信的系统进行通信的较简单办法。比如说,如果允许业务合作伙伴通过VPN访问企业网络中的两台服务器,那你就应该用访问控制名单确保这些合作伙伴就只能访问这两台服务器。那么即便有黑客通过开放给业务合作伙伴的入口进来,也只能窃取这两台服务器上的数据。
“但是通常的情况却是,某个坏家伙通过VPN入口进来就能够访问企业所有的数据,”Tippett说。事实上,如果有适当配置的访问控制名单,那么去年有66%的攻击都是可以避免的。而CIO们之所以没有采取这一简单的步骤,是因为和需要牵扯到路由器以及防火墙的重新设置,而很多网管员不愿意干这事。
5. 允许不安全的远程访问和管理软件
黑客们较流行的做法之一就是利用远程访问和管理软件包,如PCAnywhere、虚拟网络计算(VNC)或Secure Shell(SSH)等进入企业网络。这些软件应用通常都缺乏较基本的安全措施,比如设计良好的密码等。
查出这一问题的较简单办法就是在企业的全部IP地址范围内做一次外部扫描,看看是不是存在PCAnywhere、VNC或SSH流量。一旦发现有这些应用存在,就得为它们设置额外的安全控制措施,例如令牌或密码外加身份认证。另一种办法是扫描进入路由器的Netflow数据,看看是否有任何远程访问管理流量通过你的网络。
根据Verizon Business的报告,去年的攻击记录中有27%的事件是可以这样避免的。
6. 没有测出非关键应用的基本漏洞。
根据Verizon Business的报告,有大约80%的黑客攻击都是各类Web应用的安全漏洞造成的。网管员们也知道较大的漏洞就是各类Web应用,然而他们却把功夫下在了测试其关键性的和面向互联网的系统上了。
但问题在于,大多数黑客攻击都针对的是网络中的那些非关键系统。“主要的问题就在于我们迷恋于去测试关键的Web应用,而忽视了很多非关键的Web应用,”Tippett说。他建议,网管员们应当测试所有应用的基本安全漏洞。
“人们总是认为应当关注关键性应用,但是黑客们并不知道什么关键,什么不关键。只要能进来的就是关键,”Tippett说。
7. 防范恶意软件的方法不适当。
Verizon Business的报告称,有38%的安全泄密事件是因为服务器上有恶意软件。大多数恶意软件都是由远程攻击者安装的,用于捕捉数据。典型情况下,恶意软件都是定制的,所以不容易被防病毒软件所发现。要想在服务器上找出类似keylogger(键盘跟踪器)或间谍件等恶意软件,网管员们可在每台服务器上运行IDS软件,而不是只限于关键服务器。
Tippett提出了一种简单地防止此类攻击的方法:给服务器加锁,就不会有新的应用可以在上面运行了。“网管员之所以不愿意这么做,就是因为他们常常要增加新的软件,”Tippett说。“我告诉他们,安装新的软件时,只需解锁便可,安装完了再加锁就是了。”
8. 路由器配置不当,未能阻止不必要的外向流量。
在服务器上开后门或者安装指令外壳,是恶意软件比较流行的做法。要防范此类黑客,一种办法还是利用访问控制名单。这样可以防止服务器向外发送它们本不该发送的流量。举例来说,邮件服务器只能发送邮件流量,不能发送SSH流量。另一个办法是将路由器设定为缺省拒绝外向过滤,这就能禁止所有的外向流量,除非你选择某种流量流出。
“但是只有2%的企业会这么做。我搞不明白,为什么98%的企业就不这么做呢?”Tippett说。“设置缺省拒绝外向过滤真的是小事一桩啊。”
9. 不清楚信用卡数据或其他关键客户的数据存放在何处。
大多数企业自认为知道诸如信用卡信息、社会保险号或其他个人身份信息存储在什么地方关键数据,然后它们便会对存放这些数据的服务器施以较高级别的安全措施。但是通常情况下,这些数据却很有可能也存放到了别的什么地方,比如备份网站,或者软件开发部门。
这些次级的、非关键的服务器常常会遭到攻击,导致重要数据泄漏。要找出关键数据都存放在什么地方也很简单,只要执行网络发现程序就可以了。“我们一般都是在网上进行嗅探,便可找出哪里存放着关键数据,然后再看看哪里可能还会找到它们,”Tippett说。
10. 没有遵循支付卡行业(PCI)的数据安全标准(DSS)。
Tippett说,保护持卡人信息的PCI DSS共有12种控制手段。“而大多数人根本不想尝试去满足PCI标准,”Tippett说。有时候一家企业如果其服务器上存放着信用卡数据,那他们可能会会遵循这些控制手段,但他们并不知道还有一些服务器上也存放着此类关键数据。
在去年的所有攻击案件中,高达98%的攻击涉及到了支付卡数据,但却只有19%的机构遵从PCI标准。“事情很明显,必须遵循PCI标准,它们是较基本的工作之一,”Tippett说。(波波编译)