Защита срещу външни заплахи

В предишна колона разкрих как по-голямата част от заплахите за компютърна сигурност, изправени пред вашата среда, живеят от страна на клиента и изискват участие на крайния потребител. Потребителите трябва да бъдат социално проектирани, за да щракнат върху елемент на работния си плот (имейл, прикачен файл, URL адрес или приложение), който не трябва да имат. Това не означава, че наистина отдалечените експлойти не са заплаха. Те са.

[ Колоната на Роджър Граймс вече е блог! Вземете последните новини за ИТ сигурност от блога на съветника по сигурността. ]

Отдалеченото препълване на буфера и DoS атаките остават сериозна заплаха срещу компютрите под ваш контрол. Въпреки че те са по-малко разпространени от атаките от страна на клиента, идеята, че отдалеченият нападател може да стартира поредица байтове срещу вашите компютри, след което да получи контрол над тях, винаги носи най-голям страх за администраторите и улавя най-големите заглавия. Но има и други видове отдалечени атаки срещу услуги за прослушване и демони.

Ръкавица от отдалечени подвизи

Много услуги и демони са обект на атаки и подслушване на MitM (човек в средата). Прекалено много услуги не изискват удостоверяване в крайна точка или използват криптиране. С подслушване неупълномощени страни могат да научат идентификационни данни за влизане или поверителна информация.

Неподходящото разкриване на информация е друга заплаха. Необходимо е само малко хакване на Google, за да ви изплаши глупостите. Ще откриете идентификационни данни за влизане в обикновен изглед и няма да мине много повече, преди да намерите истински строго секретни и поверителни документи.

Много услуги и демони често са неправилно конфигурирани, което позволява анонимен привилегирован достъп от Интернет. Миналата година, докато преподавах клас по хакерство в Google, открих цяла (САЩ) база данни за здравето и социалното осигуряване, достъпна в Интернет, без да са необходими идентификационни данни за влизане. Включваше имена, номера на социалното осигуряване, телефонни номера и адреси - всичко, което крадецът на самоличността ще трябва да бъде успешен.

Много услуги и демони остават неизправени, но изложени на Интернет. Само миналата седмица експертът по сигурността на бази данни Дейвид Личфийлд откри стотици до хиляди неизправени бази данни на Microsoft SQL Server и Oracle в Интернет, незащитени от защитна стена. Някои не разполагат с корекции за уязвимости, които са били отстранени преди повече от три години. Някои нови операционни системи са съзнателно пуснати с остарели библиотеки и уязвими двоични файлове. Можете да изтеглите всеки пластир, който продавачът предлага, и все още можете да го използвате.

Какво можеш да направиш?

* Инвентаризирайте мрежата си и вземете списък на всички услуги за слушане и демони, работещи на всеки компютър. 

* Деактивирайте и премахнете ненужните услуги. Все още не съм сканирал мрежа, която не е използвала тонове ненужни (и често злонамерени или поне потенциално опасни) услуги, за които екипът за ИТ поддръжка не е знаел.

Започнете с активи с висок риск и висока стойност. Ако услугата или демонът не са необходими, изключете ги. Когато се съмнявате, проучете го. В интернет има много полезни ресурси и ръководства, които се предлагат безплатно. Ако не можете да намерите окончателен отговор, свържете се с доставчика. Ако все още не сте сигурни, деактивирайте програмата и я възстановете, ако нещо се окаже счупено.

* Уверете се, че всичките ви системи са напълно закърпени, както OS , така и приложения. Тази една стъпка значително ще намали броя на правилно конфигурираните услуги, които могат да бъдат използвани. Повечето администратори се справят отлично с прилагането на кръпки за ОС, но не се справят добре, като се уверят, че приложенията са закърпени. В тази конкретна колона съм загрижен само за приложения за кръпка, които изпълняват услуги за слушане.

* Уверете се, че останалите услуги и демони се изпълняват в най-привилегирован контекст. Дните на стартиране на всички ваши услуги като администратор на root или домейн трябва да приключат. Създавайте и използвайте по-ограничени акаунти за услуги. В Windows, ако трябва да използвате силно привилегирован акаунт, използвайте LocalSystem вместо администратор на домейн. Противно на общоприетото схващане, стартирането на услуга под LocalSystem е по-малко рисковано от това да я използвате като администратор на домейн. LocalSystem няма парола, която може да бъде извлечена и използвана в гората на Active Directory.

* Изисквайте всички акаунти за услуги / демони да използват надеждни пароли. Това означава дълъг и / или сложен - 15 знака или повече. Ако използвате силни пароли, ще трябва да ги сменяте по-рядко и няма да имате нужда от блокиране на акаунта (защото хакерите никога няма да бъдат успешни).

* Google-хакнете вашата собствена мрежа. Никога не пречи да разберете дали вашата мрежа издава чувствителна информация. Един от любимите ми инструменти е Site Digger на Foundstone. По същество той автоматизира процеса на хакерство на Google и добавя много от собствените чекове на Foundstone.

* Инсталирайте услуги на портове без подразбиране, ако не са абсолютно необходими на портовете по подразбиране; това е една от любимите ми препоръки. Поставете SSH на нещо различно от порт 22. Поставете RDP на нещо различно от 3389. С изключение на FTP, успях да стартирам повечето услуги (които не са необходими на широката общественост) на нестандартни портове, където хакерите рядко намери ги.

Разбира се, помислете дали да не тествате мрежата си със скенер за анализ на уязвимости, безплатен или търговски. Има много отлични, които намират ниско висящите плодове. Винаги първо имайте разрешение за управление, тествайте по време на извънработно време и приемете риска, че вероятно ще скачате някоя важна услуга офлайн при сканирането. Ако наистина сте параноик и искате да преминете покрай публично разкритите уязвимости, използвайте разбъркано устройство, за да потърсите неразкрити експлойти с нулев ден. В наши дни играя с търговски (следете Тестовия център за преглед) срещу различни устройства за сигурност и разбърканото устройство намира неща, за които подозирам, че продавачите не знаят.

И разбира се, не забравяйте, че рискът от злонамерени експлойти идва предимно от атаки от страна на клиента.