当前位置:2019年全年资料免费公开i > 缺省共享 >

网络管理者最易犯的十大低级错误

  当你在考虑最恶劣的缺口时,显然网络管理者也在重复制造着同样的错误,而这些错误有很多是很容易就可以避免的。

  2008年,Verizon Business对代表2.85亿高风险记录的90种安全缺口进行了分析。这些总能成为新闻热点的事故中多数都涉及有组织犯罪,这些犯罪活动的足迹遍布未经保护的网络,利用这些网络来窃取信用卡数据,社会保险号码或者其他私人的身份信息。

  令人惊讶的是这些安全缺口频繁作祟的原因是网络管理者忘记采取显而易见的措施来保护他们的系统,尤其是非关键性服务器。

  Verizon Business公司的创新和技术副总裁彼得.提比特负责审计安全缺口长达18年之久,他表示我们只是没有去做最基本的工作。

  提比特帮助我们整理了一份清单,把网络管理者应该采取的消除多数安全缺口的最简单措施罗列在内。以下是清单中总结的项目,非常简单易懂:

  提比特表示企业的服务器,交换机路由器或者网络应用工具采用缺省密码的做法如此常见确实令人难以置信,那些常用密码或者管理员密码仍然处在激活状态。多数首席信息官认为这种问题绝不会在他们身上发生,但是提比特每天都在见证这些问题的发生。

  提比特称,为了避免这种问题,你必须对使用一种IP地址的网络上的每个设备都进行风险扫描,不仅是关键应用软件或者网络系统。然后你需要更改网络设备的缺省密码。根据Verizon Business的市场调研发现,去年存在安全风险的所有记录中有超过一半的数据风险是因为网络设备采用缺省密码而导致的。

  IT部门经常在多台服务器中使用同样的密码,而且知道密码的人不在少数。这可能是个比较强大的密码-是由一长串复杂的字符和数字组成,但是一旦由集中系统共享,这些系统就都暴露在风险之中。

  举例来说,知道密码的人员之一可能会换公司,在他的新公司中重新启用这个额密码。或者负责系统等非关键性系统的外包人员可以会在他们为所有用户操作的的所用系统上使用同样的密码。在任何一种情况下,如果密码被黑客所发现,黑客就会入侵许多服务器,造成更大的伤害。

  提比特认为IT部门需要一个流程(无论是自动的还是手动的)来确保服务器密码没有被多重系统所共享,定期进行更改来保证密码的安全。提比特表示这和把目前的服务器密码写在卡片上放在带锁的箱子里由一个人看管的做法一样简单。

  最常见的黑客攻击(占到所有危险记录的79%)是针对于网络服务器相连的SQL数据库的。黑客入侵系统的方法是在网络表格中键入SQL命令行。如果表格的编码正确,就不应该接受SQL命令行。但是有时研发人员偶尔也会犯下被称之为SQL注入的错误。

  提比特表示预防这些错误的最早方法是在学习模式中运行应用软件防火墙,以便于它能观测到用户如何在这个区域内键入数据,然后在运行模式下设置应用软件防火墙,这样SQL命令就不会被注入到这个区域。SQL代码问题是普遍存在的。提比特表示如果公司测试100台服务器,他们可能会在90台服务器中发现SQL注入问题的存在。

  企业经常只对他们的关键服务器上的SQL注入错误进行修正,而忘记了多数黑客是通过非关键性系统入侵他们的网络的。提比特建议说网络管理者应该利用访问控制清单分割他们的网络来限制服务器与不重要设备的互联。这种做法可以阻止黑客通过不可避免的SQL代码错误大范围入侵系统中的数据。

  利用访问控制清单来分隔网络是确保系统只和他们应该联系的系统连接的最简单方法。举例来说,如果你允许企业合作伙伴通过你的虚拟个人网络来访问网络上的两台服务器,你应该使用访问控制清单来确保这些企业合作伙伴只能访问这两台服务器。如果之后黑客通过向企业合作伙伴开放的入口入侵了你的网络,黑客也只能窃取这两台服务器上的数据。

  提比特表示犯罪分子经常会通过虚拟个人网络入侵网络系统来窥伺一切。根据Verizon的报告显示,确实采用正确的配置访问控制清单在去年为存在危险的记录中66%提供了保护。首席信息官们没有采取这种简单措施的原因是,这种方法会使用你的路由器作为防火墙,许多网络管理者不想这么做。

  对于黑客来说入侵网络的最常见方法之一就是利用软件访问和管理软件套装,诸如PCAnywhere, Virtual Network Computing或者SecureShell (SSH)。这些应用软件都缺乏最基本的安全措施防护,比如强大的密码。

  发现这种问题的最简单方法是对整个IT地址空间运行外部扫描来查找PCAnywhere, VNC或SSH流量。一旦你发现这些应用软件,就对他们设置外部安全措施,诸如令牌网或者证书加密码等方式。另一个选择是扫描你的外部路由器上的Netflow数据,看看是否在你的网络内存在任何远程访问管理流量的迹象。

  这个问题非常普遍,在Verizon Business的报告中的危险记录中占到了27%。

  根据Verizon Business报告的统计,大约有80%的黑客攻击是网络应用软件中存在安全漏洞的结果。网络管理者知道他们最大的风险就存在于网络应用软件,因此他们在测试关键应用软件和网络系统上用了最大的努力。

  问题是黑客攻击利用的是网络上非关键系统的安全错误。提比特表示主要问题是我们对关键性网络应用软件疯狂测试,却没有对非关键性应用软件进行测试。提比特推荐网络管理者对所有应用软件的基本风险都进行测试。

  提比特表示人们在危险程度方面总是屡遭教训,但是犯罪分子不知道什么是关键什么是不关键,他们只看哪里是薄弱环节。一旦他们入侵了你的网络,他们就会设置建立站点,观察你的流量。

  Verizon Business在报告中称,服务器上的木马占到了所有安全缺口的38%。多数木马是被远程攻击者安装的,主要用来窃取数据。具有代表性的是,木马是自定义的,因此他无法被防病毒软件查获。对于网络管理者来说发现服务器上诸如keylogger这样的木马或者间谍软件的方法是在每台服务器上运行基于主机的入侵检测系统软件,而不仅是针对关键服务器。

  提比特推荐了一种阻止这些攻击的简单方法:锁定这些服务器,以便新的应用软件无法在这些服务器上运行。网络管理者不喜欢这么做是因为他们可以之后会增加新的软件。我告诉大家只需解锁这个服务器锁定,安装新的软件,然后再重新锁定即可。

  木马程序常用的一种做法是在服务器上设置后门或者命令解释器。阻止黑客利用后门或者命令解释器的一种方法是使用访问控制清单的网络分割。这种方法可以阻止服务器发送不该发送的流量。举例来说,一台电子邮件服务器只该发送邮件流量,而不是SSH流量。另一种选择是利用你的路由器缺省拒绝出口过滤,阻止所有流向外部的流量,除非你打算离开网络。

  提比特表示只有2%的公司采取了这种做法。令我困惑的是另外的98%为什么不这么做。缺省拒绝出口过滤是非常简单的。

  多数企业认为他们知道诸如信用卡信息,社会保险号码或者其他私人身份信息等关键数据存储的位置,他们对这些服务器设置了最高级别的安全防御措施。但是通常,这种数据还会被存储在网络的某些地方,诸如备份网站或者软件研发部门。

  就是这些经常招致攻击的二级非关键服务器导致了多数数据的泄露。发现关键数据存储位置的一种简单方法是执行网络侦测。提比特表示我们通常会在网络上设置探测器,观察关键数据所在的位置,然后他们可能其他的流向。

  支付卡行业数据安全标准协议对保护持卡人信息设置了12条控制条款。提比特表示多数用户甚至不曾尝试去遵守支付卡行业数据安全标准协议。有时企业遵守了支付卡行业数据安全标准协议,按照条款规定了解服务器上存储的信用卡数据,但是在其他未知的服务器上也托管了这种关键数据。

  根据Verizon Business的报告,尽管所有存在风险的记录中有98%都涉及支付卡数据,但是存在安全缺口的企业中仅有19%在遵守支付卡行业数据安全标准协议。提比特表示很显然,遵循支付卡行业数据安全标准协议的规定,他们能起到基本的保障作用。

  比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。

  比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!

  比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。

  比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。

  比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。

  比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。

  新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。

  比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。

  比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。

  IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。

  X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。

http://bylaurene.com/queshenggongxiang/36.html
点击次数:??更新时间2019-05-17??【打印此页】??【关闭
  • Copyright © 2002-2017 DEDECMS. 织梦科技 版权所有  
  • 点击这里给我发消息
在线交流 
客服咨询
【我们的专业】
【效果的保证】
【百度百科】
【因为有我】
【所以精彩】