業界 | 網路安全十大坑,坑坑致命!!!
網路安全專家正在承受巨大的壓力!就在最近幾周,我們發現了基於硬體晶元的兩個重漏洞——「Meltdown」和「Spectre」;此外,來自民族國家的黑客行為依然沒有放緩的趨勢,這不禁會讓人擔心美國是否有能力確保「中期選舉」的安全進行。
(*美國中期選舉——11月份將舉行美國中期選舉,即在總統任期過半時刻舉行的議會選舉,參議院三分之一的席位和眾議院全部議席都將更換,其結果往往會改變府院權力平衡。從以往慣例來看,如果是共和黨人任總統,所獲權力往往大於民主黨人,不過鑒於對特朗普的評價糟糕,局勢或將出現更大逆轉。除了政治較量,中期選舉也是對特朗普執政成績的評判,同時也是兩黨沖向2020年大選的發令槍)
而現在,即便是基礎環節也可能會出錯,就像上周在拉斯維加斯舉辦的2018年全球消費電子展(CES)上,全球各地科技公司研發的各種最先進的高科技產品紛紛亮相,然而一次斷電事故卻讓整個展覽幾乎陷入癱瘓狀態。
安全事故最直觀的後果就是巨額的經濟損失,據Ponemon估計,2017年違規事件的平均成本高達362萬美元,但是對於企業而言,攻擊帶來的成本損失遠非財務數據而已,對於品牌和公眾信任方面造成的損失更是難以預計。
而對於企業而言,最容易忽略的可能就是一些顯而易見的安全缺陷,例如,你可能很早就考慮過要為公司的數據中心配置一台備用發電機,但是行動上卻忽略遺忘了。
在與3位安全專家(SANS研究所新興安全趨勢總監John Pescatore、希臘INTRALOT集團安全主管Christos Dimitriadis以及ESET高級安全研究員Stephen Cobb)進行交談之後,我們總結了企業最容易忽略的網路安全10大坑,事實證明,想要確保安枕無憂我們還有很長一段路需要走。
網路安全10大坑
1. 不啟用DMARC來對抗網路釣魚攻擊
安全專家建議電子郵件/信息傳遞系統管理員使用DMARC協議進行電子郵件認證。
原始的SMTP沒有要求驗證發件人的合法性,DMARC的核心思想是郵件的發送方通過特定方式(DNS)公開標明自己會用到的發件伺服器(SPF),並對發出的郵件內容進行簽名(DKIM),而郵件的接受方則檢查收到的郵件是否來自發送方授權過的伺服器,並且核對簽名是否有效,從而有效避免偽造的釣魚郵件進入用戶的收件箱。
啟用DMARC協議是防禦釣魚郵件最廣為人知的方式之一,但是電子郵件安保公司Agari最近發布了的一份最新研究報告卻顯示,在「財富500強」企業中,三分之二(67%)的企業沒有發表過任何的DMARC政策,低於十分之一的企業開啟了DMARC功能,這其中只有百分之三實施了垃圾郵件的隔離政策、百分之五實施了拒絕政策。垂直行業中,商務服務(60%)、金融(57%)、技術(55%)和交通(53%)使用DMARC的比率相對較高。
2. 對可疑的DNS調用缺乏足夠重視
打擊網路釣魚攻擊另一種較為有效的方法就是更多地關注DNS調用的情況。例如,用戶可能會收到一封電子郵件,告訴他們已經贏得了一項大獎或有權獲取一份免費產品。
一旦用戶在點擊電子郵件中的鏈接後發現系統會進行DNS調用,那麼就說明該網站很有可能是惡意的。
安全管理人員現在正在使用諸如Cisco Umbrella、Infoblox或Nominum等工具,如此一來,一旦用戶被誘騙打開惡意鏈接,控制器將會停止DNS調用,並向用戶發送他們已經點擊惡意站點的警告信息。
3. 員工離開公司時僅刪除Active Directory帳戶
當人力資源通知你有員工已經離開公司時,你不能只是簡單地將該用戶的賬戶從Active Directory中刪除。如今,一名企業員工可能會擁有Google、Salesforce以及其他多達十幾個帳戶來實現工資單、時間表、差旅、工作任務以及項目管理等功能。
由於這些賬戶位於雲端,員工所需要的只是網路訪問,而不再需要通過企業VPN來獲得訪問許可權,因此那些離開公司的員工便能夠更為輕鬆地訪問這些賬戶。所以,一定要記得刪除所有離職員工的各類賬戶。
4. 忽視供應鏈安全
安全專家由於過度地將目光鎖定在自身網路上,而往往忽略了大局。ISACA(國際信息系統審計協會)和其他安全組織建議安全分析師對其風險狀況進行更全面的關注。這包括關注服務提供商、其他第三方和各種供應商的安全。
現在,許多公司現在使用諸如BitSight、QuadMetrics以及SecurityScorecard等工具對其供應商進行安全檢查。
5. 沒有利用漏洞懸賞項目來發現軟體漏洞
安全專家總是在談論如何將安全性融入到代碼開發過程之中,但是當企業退後一步,去了解他們真正需要做什麼時,卻發現這一目標實際上很難實現。對於軟體開發初學者來說,通常需要花費大量的時間進行再培訓才能學會如何編碼。
但是,一些公司已經意識到他們的產品必須更加安全,因此已經開始在HackerOne和Bugcrowd這樣的漏洞懸賞平台上推出了自己的漏洞懸賞項目,邀請更多技能超群的黑客對他們正在開發的產品進行漏洞測試。
這種項目可能並不完美,無法從根本上避免漏洞的存在,但是它至少可以讓軟體開發商了解一些更為明顯的漏洞,以便在其產品出廠之前將其修復。
6. 未能自動化防火牆配置管理工具
安全專業人員似乎應該把注意力放在防火牆配置管理上,但要記住,設備能力再強,如果用不好也沒有意義。那麼什麼是防火牆管理的最大難題?
答案是防火牆的安全策略管理。
著名安全管理公司Skybox對北美/歐洲209家大中型企業調查的結果顯示:「58%的企業,每台FW部署超過100條策略;平均每月有超過270次的策略變更;90%的管理員認為他們的防火牆存在不必要的策略,造成性能問題和安全隱患」。
所以,解決這一問題必須實現防火牆配置管理自動化,對此,像Algosec、Firemon、Puppet、Tufin以及Titania等工具都可以提供幫助。
7. 打補丁不夠認真
安全專家正在努力修補漏洞,這麼說似乎沒錯,但是安全團隊發現想要讓IT運營更快地打補丁需要進行很多工作,這就是為什麼這麼多企業沒有真正做到這一點(補丁修復)的原因所在。
安全專家需要與他們的質量控制和工程部門更好地協調他們的補丁計劃,並利用廉價的IaaS雲服務在運行補丁程序之前快速地運行測試,以確保補丁會話不會降低網路或應用程序的速度。
8. 忽略來自內部的威脅
雖然公司將大部分安全工作的重點放在網路犯罪分子和民族國家間諜組織等外部威脅上,但內部人員的威脅依然存在。據Forrester Research調查發現,全球58%的企業在過去12個月中至少遇到一次違規行為,其中50%的企業至少遭受過一次由內部人員造成的違規行為。
數據丟失預防軟體可以幫助企業防止由內部人員造成的數據泄露事件,此外,關注員工的行為對於防止內部威脅也是存在意義的。盡量密切關注哪些員工是開心的,哪些員工可能是不滿的,並有可能竊取數據的。
9. 對影子IT失去控制
影子IT是指那些不在企業IT部門掌控下的IT 設備、軟體及服務。IDC調查指出,影子IT形成的兩大主因包括:IT供應商的推廣延伸至商業用戶,以及業務流程主管要求加快IT項目的進度。
如今,影子IT已經成為一個備受關注的話題,而對於IT部門來說,該問題仍然是一個真正的挑戰。
事實上,Gartner發現,到2017年,38%的IT採購將由業務部門(line-of-business,簡稱LOB)領導者完成。這將導致IT和安全分析師在如何保持組織安全方面摸不著頭腦。如果你甚至不知道一些東西的存在,談何保護這些東西。
解決這一問題需要投入大量的教育培訓,以及善於向業務部門解釋技術問題的人員。
10. 把一些基礎問題視為理所當然
你想過2018年如果沒有電,世界會怎樣?考慮到上周在拉斯維加斯舉行的消費電子展上發生的斷電事件,這一設想是完全有可能發生的。
配置多餘的不間斷電源(UPS)和備份發電機應該是必不可少的環節,但是由於所有的數據都分布在你的網路上,所以檢查硬體清單也是非常有必要的,此外,還要確保你的備份發電設備能夠提供足夠的電量來運行你所有的伺服器和設備。
推薦閱讀:
TAG:互聯網科技 |