在与 3 位安全专家进行交谈之后, 我们总结了企业最容易忽略的网络安全 10 大坑, 事实证明, 想要确保安枕无忧我们还有很长一段路需要走
网络安全专家正在承受巨大的压力! 就在最近几周, 我们发现了基于硬件芯片的两个重漏洞 Meltdown 和 Spectre; 此外, 来自民族国家的黑客行为依然没有放缓的趋势, 这不禁会让人担心美国是否有能力确保中期选举的安全进行
(* 美国中期选举 11 月份将举行美国中期选举, 即在总统任期过半时刻举行的议会选举, 参议院三分之一的席位和众议院全部议席都将更换, 其结果往往会改变府院权力平衡从以往惯例来看, 如果是共和党人任总统, 所获权力往往大于民主党人, 不过鉴于对特朗普的评价糟糕, 局势或将出现更大逆转除了政治较量, 中期选举也是对特朗普执政成绩的评判, 同时也是两党冲向 2020 年大选的发令枪)
而现在, 即便是基础环节也可能会出错, 就像上周在拉斯维加斯举办的 2018 年全球消费电子展 (CES) 上, 全球各地科技公司研发的各种最先进的高科技产品纷纷亮相, 然而一次断电事故却让整个展览几乎陷入瘫痪状态
安全事故最直观的后果就是巨额的经济损失, 据 Ponemon 估计, 2017 年违规事件的平均成本高达 362 万美元, 但是对于企业而言, 攻击带来的成本损失远非财务数据而已, 对于品牌和公众信任方面造成的损失更是难以预计
而对于企业而言, 最容易忽略的可能就是一些显而易见的安全缺陷, 例如, 你可能很早就考虑过要为公司的数据中心配置一台备用发电机, 但是行动上却忽略遗忘了
在与 3 位安全专家 (SANS 研究所新兴安全趋势总监 John Pescatore 希腊 INTRALOT 集团安全主管 Christos Dimitriadis 以及 ESET 高级安全研究员 Stephen Cobb) 进行交谈之后, 我们总结了企业最容易忽略的网络安全 10 大坑, 事实证明, 想要确保安枕无忧我们还有很长一段路需要走
网络安全 10 大坑
1. 不启用 DMARC 来对抗网络钓鱼攻击
安全专家建议电子邮件 / 信息传递系统管理员使用 DMARC 协议进行电子邮件认证
原始的 SMTP 没有要求验证发件人的合法性, DMARC 的核心思想是邮件的发送方通过特定方式 (DNS) 公开标明自己会用到的发件服务器(SPF), 并对发出的邮件内容进行签名(DKIM), 而邮件的接受方则检查收到的邮件是否来自发送方授权过的服务器, 并且核对签名是否有效, 从而有效避免伪造的钓鱼邮件进入用户的收件箱
启用 DMARC 协议是防御钓鱼邮件最广为人知的方式之一, 但是电子邮件安保公司 Agari 最近发布了的一份最新研究报告却显示, 在财富 500 强企业中, 三分之二 (67%) 的企业没有发表过任何的 DMARC 政策, 低于十分之一的企业开启了 DMARC 功能, 这其中只有百分之三实施了垃圾邮件的隔离政策百分之五实施了拒绝政策垂直行业中, 商务服务 (60%) 金融 (57%) 技术 (55%) 和交通 (53%) 使用 DMARC 的比率相对较高
2. 对可疑的 DNS 调用缺乏足够重视
打击网络钓鱼攻击另一种较为有效的方法就是更多地关注 DNS 调用的情况例如, 用户可能会收到一封电子邮件, 告诉他们已经赢得了一项大奖或有权获取一份免费产品
一旦用户在点击电子邮件中的链接后发现系统会进行 DNS 调用, 那么就说明该网站很有可能是恶意的
安全管理人员现在正在使用诸如 Cisco UmbrellaInfoblox 或 Nominum 等工具, 如此一来, 一旦用户被诱骗打开恶意链接, 控制器将会停止 DNS 调用, 并向用户发送他们已经点击恶意站点的警告信息
3. 员工离开公司时仅删除 Active Directory 帐户
当人力资源通知你有员工已经离开公司时, 你不能只是简单地将该用户的账户从 Active Directory 中删除如今, 一名企业员工可能会拥有 GoogleSalesforce 以及其他多达十几个帐户来实现工资单时间表差旅工作任务以及项目管理等功能
由于这些账户位于云端, 员工所需要的只是网络访问, 而不再需要通过企业 VPN 来获得访问权限, 因此那些离开公司的员工便能够更为轻松地访问这些账户所以, 一定要记得删除所有离职员工的各类账户
4. 忽视供应链安全
安全专家由于过度地将目光锁定在自身网络上, 而往往忽略了大局 ISACA(国际信息系统审计协会)和其他安全组织建议安全分析师对其风险状况进行更全面的关注这包括关注服务提供商其他第三方和各种供应商的安全
现在, 许多公司现在使用诸如 BitSightQuadMetrics 以及 SecurityScorecard 等工具对其供应商进行安全检查
5. 没有利用漏洞悬赏项目来发现软件漏洞
安全专家总是在谈论如何将安全性融入到代码开发过程之中, 但是当企业退后一步, 去了解他们真正需要做什么时, 却发现这一目标实际上很难实现对于软件开发初学者来说, 通常需要花费大量的时间进行再培训才能学会如何编码
但是, 一些公司已经意识到他们的产品必须更加安全, 因此已经开始在 HackerOne 和 Bugcrowd 这样的漏洞悬赏平台上推出了自己的漏洞悬赏项目, 邀请更多技能超群的黑客对他们正在开发的产品进行漏洞测试
这种项目可能并不完美, 无法从根本上避免漏洞的存在, 但是它至少可以让软件开发商了解一些更为明显的漏洞, 以便在其产品出厂之前将其修复
6. 未能自动化防火墙配置管理工具
安全专业人员似乎应该把注意力放在防火墙配置管理上, 但要记住, 设备能力再强, 如果用不好也没有意义那么什么是防火墙管理的最大难题?
答案是防火墙的安全策略管理
著名安全管理公司 Skybox 对北美 / 欧洲 209 家大中型企业调查的结果显示: 58% 的企业, 每台 FW 部署超过 100 条策略; 平均每月有超过 270 次的策略变更; 90% 的管理员认为他们的防火墙存在不必要的策略, 造成性能问题和安全隐患
所以, 解决这一问题必须实现防火墙配置管理自动化, 对此, 像 AlgosecFiremonPuppetTufin 以及 Titania 等工具都可以提供帮助
7. 打补丁不够认真
安全专家正在努力修补漏洞, 这么说似乎没错, 但是安全团队发现想要让 IT 运营更快地打补丁需要进行很多工作, 这就是为什么这么多企业没有真正做到这一点 (补丁修复) 的原因所在
安全专家需要与他们的质量控制和工程部门更好地协调他们的补丁计划, 并利用廉价的 IaaS 云服务在运行补丁程序之前快速地运行测试, 以确保补丁会话不会降低网络或应用程序的速度
8. 忽略来自内部的威胁
虽然公司将大部分安全工作的重点放在网络犯罪分子和民族国家间谍组织等外部威胁上, 但内部人员的威胁依然存在据 Forrester Research 调查发现, 全球 58% 的企业在过去 12 个月中至少遇到一次违规行为, 其中 50% 的企业至少遭受过一次由内部人员造成的违规行为
数据丢失预防软件可以帮助企业防止由内部人员造成的数据泄露事件, 此外, 关注员工的行为对于防止内部威胁也是存在意义的尽量密切关注哪些员工是开心的, 哪些员工可能是不满的, 并有可能窃取数据的
9. 对影子 IT 失去控制
影子 IT 是指那些不在企业 IT 部门掌控下的 IT 设备软件及服务 IDC 调查指出, 影子 IT 形成的两大主因包括: IT 供应商的推广延伸至商业用户, 以及业务流程主管要求加快 IT 项目的进度
如今, 影子 IT 已经成为一个备受关注的话题, 而对于 IT 部门来说, 该问题仍然是一个真正的挑战
事实上, Gartner 发现, 到 2017 年, 38% 的 IT 采购将由业务部门 (line-of-business, 简称 LOB) 领导者完成这将导致 IT 和安全分析师在如何保持组织安全方面摸不着头脑如果你甚至不知道一些东西的存在, 谈何保护这些东西
解决这一问题需要投入大量的教育培训, 以及善于向业务部门解释技术问题的人员
10. 把一些基础问题视为理所当然
你想过 2018 年如果没有电, 世界会怎样? 考虑到上周在拉斯维加斯举行的消费电子展上发生的断电事件, 这一设想是完全有可能发生的
配置多余的不间断电源 (UPS) 和备份发电机应该是必不可少的环节, 但是由于所有的数据都分布在你的网络上, 所以检查硬件清单也是非常有必要的, 此外, 还要确保你的备份发电设备能够提供足够的电量来运行你所有的服务器和设备
来源: http://netsecurity.51cto.com/art/201804/569511.htm