Iepriekšējā slejā es atklāju, kā lielākā daļa datoru vides apdraudējumu, ar kuriem saskaras jūsu vide, dzīvo klienta pusē un prasa tiešo lietotāju iesaisti. Lai lietotāji darbvirsmā noklikšķinātu uz kāda vienuma (e-pasta, faila pielikuma, URL vai lietojumprogrammas), kas viņiem nevajadzētu būt, viņiem jābūt sociāli izstrādātiem. Tas nenozīmē, ka patiesi attāla izmantošana nav drauds. Viņi ir.
[RodžersGrimes sleja tagad ir emuārs! Iegūstiet jaunākās IT drošības ziņas no Drošības padomnieka emuāra. ]
Attālā bufera pārpilde un DoS uzbrukumi joprojām ir nopietni draudi jūsu kontrolētajiem datoriem. Lai gan tie nav tik izplatīti kā klienta puses uzbrukumi, ideja, ka attālais uzbrucējs var sākt baitu sēriju pret jūsu datoriem, pēc tam iegūt kontroli pār tiem, vienmēr rada vislielākās bailes administratoriem un uztver lielākos virsrakstus. Bet ir arī citi attāli uzbrukumi arī pret klausīšanās dienestiem un dēmoniem.
Attāls izmantošanas cimds
Daudzi dienesti un dēmoni ir pakļauti MitM (cilvēks vidū) uzbrukumiem un noklausīšanās. Pārāk daudziem pakalpojumiem nav nepieciešama gala punktu autentifikācija vai šifrēšana. Izmantojot noklausīšanos, nesankcionētas personas var uzzināt pieteikšanās akreditācijas datus vai konfidenciālu informāciju.
Vēl viens drauds ir neatbilstoša informācijas izpaušana. Lai nobiedētu ļaunumu, ir nepieciešams tikai nedaudz Google uzlaušanas. Pieteikšanās akreditācijas datus atradīsit vienkāršā skatā, un paies daudz ilgāks laiks, pirms atradīsit īstus slepenus un konfidenciālus dokumentus.
Daudzi pakalpojumi un dēmoni bieži tiek nepareizi konfigurēti, ļaujot anonīmai priviliģētai piekļuvei no interneta. Pagājušajā gadā, mācot klasi par Google uzlaušanu, es atklāju, ka visa (ASV) štata veselības un sociālās labklājības datu bāze ir pieejama internetā, un nav nepieciešami pieteikšanās akreditācijas dati. Tajā bija vārdi, sociālās apdrošināšanas numuri, tālruņu numuri un adreses - viss, kas identitātes zaglim būtu vajadzīgs, lai gūtu panākumus.
Daudzi pakalpojumi un dēmoni joprojām nav atjaunoti, bet ir pakļauti internetam. Tikai pagājušajā nedēļā datubāzu drošības eksperts Deivids Ličfīlds internetā atrada simtiem līdz tūkstošiem neaizsniedzamu Microsoft SQL Server un Oracle datu bāzu, kuras neaizsargāja ugunsmūris. Dažiem nebija ievainojamības ielāpu, kas tika novērsti pirms vairāk nekā trim gadiem. Dažas jaunās operētājsistēmas tiek apzināti izlaistas ar novecojušām bibliotēkām un neaizsargātiem bināriem failiem. Jūs varat lejupielādēt katru pārdevēja piedāvāto plāksteri, un jūs joprojām esat izmantojams.
Ko tu vari izdarīt?
* Inventarizējiet savu tīklu un iegūstiet sarakstu ar visiem klausīšanās pakalpojumiem un dēmoniem, kas darbojas katrā datorā.
* Atspējojiet un noņemiet nevajadzīgos pakalpojumus. Es vēl neesmu skenējis tīklu, kurā nedarbojās daudz nevajadzīgu (un bieži vien ļaunprātīgu vai vismaz potenciāli bīstamu) pakalpojumu, par kuriem IT atbalsta komanda nezināja.
Sāciet ar augsta riska un lielas vērtības aktīviem. Ja pakalpojums vai dēmons nav vajadzīgs, izslēdziet to. Ja rodas šaubas, izpētiet to. Internetā bez maksas ir pieejami daudzi noderīgi resursi un ceļveži. Ja nevarat atrast galīgu atbildi, sazinieties ar pārdevēju. Ja joprojām neesat pārliecināts, atspējojiet programmu un atjaunojiet to, ja kaut kas beidzas.
* Pārliecinieties, vai visas jūsu sistēmas ir pilnībā salāpītas, gan OS, gan lietojumprogrammas. Šis viens solis ievērojami samazinās pareizi konfigurētu pakalpojumu skaitu, kurus var izmantot. Lielākā daļa administratoru lieliski strādā ar OS ielāpu lietošanu, taču tikpat labi viņi nepārliecinās, vai lietojumprogrammas tiek ielāpītas. Šajā konkrētajā slejā mani uztrauc tikai tādu lietojumprogrammu labošana, kurās darbojas klausīšanās pakalpojumi.
* Pārliecinieties, ka atlikušie pakalpojumi un dēmoni darbojas vismazāk priviliģētā kontekstā. Tuvojas dienām, kad visi jūsu pakalpojumi darbojas kā root vai domēna administratori. Izveidojiet un izmantojiet ierobežotākus pakalpojumu kontus. Ja sistēmā Windows ir jāizmanto ļoti privileģēts konts, domēna administratora vietā dodieties uz LocalSystem. Pretstatā vispārpieņemtajam uzskatam, pakalpojuma palaišana LocalSystem sistēmā ir mazāk riskanta nekā palaist to kā domēna administratoru. Vietnei LocalSystem nav paroles, kuru var izgūt un izmantot visā Active Directory mežā.
* Pieprasiet, lai visos pakalpojumu / dēmonu kontos izmantotu stingras paroles. Tas nozīmē garu un / vai sarežģītu - 15 vai vairāk rakstzīmes. Ja izmantojat stingras paroles, tās būs jāmaina retāk, un jums nebūs nepieciešama konta bloķēšana (jo hakeriem nekad nebūs panākumu).
* Google uzlauzt savu tīklu. Nekad nav sāpīgi uzzināt, vai jūsu tīkls izdod konfidenciālu informāciju. Viens no maniem iecienītākajiem rīkiem ir Foundstone's Site Digger. Tas būtībā automatizē Google uzlaušanas procesu un pievieno daudzas pašas Foundstone pārbaudes.
* Instalējiet pakalpojumus noklusējuma portos ja noklusējuma portos tie nav absolūti nepieciešami; šis ir viens no maniem iecienītākajiem ieteikumiem. Ievietojiet SSH uz kaut ko citu, nevis 22. portu. Ielieciet RDP uz kaut ko citu, nevis 3389. Izņemot FTP, esmu varējis palaist lielāko daļu pakalpojumu (kas nav nepieciešami plašākai sabiedrībai) noklusējuma portos, kur hakeri reti Atrodi viņus.
Protams, apsveriet iespēju pārbaudīt savu tīklu ar ievainojamības analīzes skeneri - gan bezmaksas, gan komerciālu. Ir daudz izcilu, kas atrod zemu karājošos augļus. Vispirms vispirms jums ir jābūt pārvaldības atļaujai, pārbaudiet ārpus darba laika un uzņemieties risku, ka skenēšanas laikā jūs, iespējams, izsauksit kādu svarīgu pakalpojumu bezsaistē. Ja jums patiešām ir paranoja un vēlaties iet garām publiski atklātām ievainojamībām, izmantojiet fuzeru, lai meklētu neatklātus nulles dienu izmantojumus. Šajās dienās esmu spēlējies ar komerciālu (uzmanīgi sekojiet Testa centram), lai apskatītu dažādas drošības ierīces, un fuzers atrod lietas, par kurām man ir aizdomas, ka pārdevēji nezina.
Un, protams, neaizmirstiet, ka ļaunprātīgas izmantošanas risks galvenokārt rodas no klienta puses uzbrukumiem.
