论文部分内容阅读
对于IT系统和业务数据而言,任何有风险的举措都会被质疑,因此在IT环境的改造中,网络安全和终端安全或许不会是首先被考虑的。然而由于IT安全威胁的不断变化,很多时候只能另辟蹊径,才能不被不法分子抢占先机。而且有时候,为了IT安全不得不做一些看似疯狂的举措,有时非常规的操作可能会得到意外的收获。
本文介绍了十个不太合常理、但确实有助于保护公司IT资产的安全措施。而且率先尝试这些方法的公司已经获得了不错的成效。
第一招:
重命名管理员账户
把管理员账户重命名为与“administrator”相似,但不一样的账号,这一招常常被诟病为一种浪费时间的“隐藏式安全”(security by obscurity)防御措施。不过,这个简单的安全策略却很管用。如果黑客之前还没有入侵到网络或主机上,相信他们不会轻易发现管理员账户的新名称。显然如果不知道用户名,也就无从发动成功的密码猜测攻击。
在自动化恶意软件的发展史上,基本上都是使用内置的账户名称(这些攻击通常只针对工作站和服务器)。通过重命名管理员账户,可以一举击败黑客和恶意软件。此外,原始的管理员账户名称停用后,也更容易监控和报告企图登录到原始管理员账户的举动。
第二招:
摈弃管理员账户
摈弃所有的特权账户,包括管理员、域管理员、企业管理员,以及在默认情况下拥有内置特殊权限的每一个账户和群组。
这个方法受到很多网络管理员以及安全专家的认可。后来微软也采纳了这个建议,在Vista/Server 2008及以后的每一个Windows版本中都默认禁用本地管理员账户。
虽然Windows仍允许用户创建备用的管理员账户,不过许多安全专家都建议摈弃所有的内置特权账户,至少是全职员工的特权账户。不过,也有网络管理员认为这样做有些过犹不及,这样的措施过于严厉。
第三招:
使用非默认端口
降低安全风险的另一个办法就是把服务安装到非默认端口上。与重命名管理员账户一样,这个隐藏式安全策略极其有效。“零天攻击”以及由蠕虫、计算机病毒及其他恶意内容造成的远程缓冲器溢出一般只会攻击默认端口。像SQL注入攻击、HTTP蠕虫、SSH发现工具及其他常见的远程端口都是这样。
近来,赛门铁克的pcAnywhere和微软的远程桌面协议(RDP)均遭到了远程漏洞的攻击。如此情况下,安全人员必须得争分夺秒,赶在蠕虫来袭前打上补丁或阻止端口。如果这两项服务均运行在非默认端口上,就不会发生这样的情况。因为在自动化恶意软件发展史上,恶意软件一般只会尝试攻击默认端口。
不过对于这种方法也有质疑,比如黑客很容易查到默认端口移到了何处。事实也确实如此,只需借助端口扫描工具(如Nmap)或应用程序指纹识别工具(如Nikto),就能找出在非默认端口上运行的应用程序。不过,由于大多数攻击是使用恶意软件来自动执行的;而恶意软件只会攻击默认端口,且大多数黑客并不会去寻找非默认端口,因此使用非默认端口还是会起到一定的作用。
以前曾在测试中,故意把RDP端口从端口3889移到了端口50471,然后让几个人去找。结果有人马上就发现了新的端口,这并不惊奇。因为他知道移动了RDP端口,所以很容易找到。然而惊讶的是,成千上万立志成为黑客的人使用Nmap扫描系统查找新端口,却没有找到。因为如果处于默认状态下,Nmap并不会查找非默认端口。这说明只要简单地移动端口,就能够大幅降低风险。
第四招:安装文件
到自定义目录
如今的大多数攻击都出现在应用程序层面,因此安装文件到自定义目录的效果已不如前,但是它仍有一定的作用。与前面的隐藏式安全方法一样,把应用程序安装到自定义目录可以降低风险。因为除了默认目录,自动化恶意软件几乎不会关注其它位置。如果恶意软件钻系统或应用程序的空子的话,会企图通过查找默认目录来操控系统或应用程序。把操作系统或应用程序安装到自定义目录后,可使恶意软件阵脚大乱。
日常操作中应该注意上述的情况,比如把操作系统安装到非默认文件夹,像C:/Win7而不是C:/Windows。在安装软件时,不选择默认文件夹,而是建立与标准文件夹类似的“虚拟”文件夹。在计算机遭到攻击后,可以很容易地在C:/Windows/System32文件夹找到完整的、孤立的恶意软件。
更改默认文件夹虽然不如其它方法来得有效,但是它可以欺骗许多恶意软件,这无异于降低了风险。
第五招:
使用缓送技术
首次接触的缓送(tarpit)产品是LaBrea Tarpit,它是在2001年“红色代码”IIS蠕虫肆虐期间开发出来的。LaBrea的工作原理是,响应空闲地址的连接请求,使蠕虫建立连接,然后设法阻碍蠕虫,比如使用TCP协议方面的各种技巧,像超时和多次重新传输等。
如今,许多网络和蜜罐具有缓送功能,可以响应任何无效连接。在对这些网络执行渗透测试时,攻击和网络全面扫描攻击会变得很慢,这正是缓送的目的所在。不过该产品也存在不足,如果缓送产品响应过于仓促,会给合法服务带来影响,因为合法服务响应缓慢。在使用时,需要对缓送功能进行调试,以免出现误报。
第六招:
使用屏幕保护程序
加密的屏幕保护程序是降低风险的一种简单方法。如果计算设备闲置太久,加密的屏幕保护程序就会开启。虽然过去屏幕保护程序由于干扰正常工作,长期遭到用户的诟病,而现在却是笔记本电脑、平板电脑以及手机等提高防护水平的必备工具。
第七招:禁用服务器的网页浏览功能
很多安全风险都是由于上网而引起的。如果企业禁用不必要上网服务器的网页浏览功能,就能大幅降低服务器受到恶意攻击的风险。相信大多数人都不希望看到这一幕:管理员在补丁下载的时候,因无聊而收取电子邮件、登录社交网络等,因此对于这类操作就应该阻止。而对于使用Windows服务器的用户来说,UAC(用户账户控制)的启用可能会带来一些安全问题,禁用UAC并不会对桌面造成影响,因此可以考虑禁用UAC。
第八招:巧用“蜜罐”
蜜罐系统好比是情报收集系统,引诱黑客前来攻击。蜜罐没有任何生产价值,而且随时受到监控。所以在攻击者入侵后,就可以知道他是如何得逞的,随时了解最新的攻击以及存在哪些漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,掌握他们的社交网络。
第九招:
开发软件时关注安全
编写自定义代码的企业都应该把安全措施集成到开发流程中,确保代码安全受到审查。
这个做法被称为安全开发生命周期(SDL),一般包括以下准则:使用安全编程语言;避免使用已知不安全的编程函数;进行代码审查;完善渗透测试;以及其他一系列最佳实践,旨在降低编写代码出现漏洞的可能性。这么做会降低企业环境中出现漏洞的风险。自实施SDL以来,微软旗下的产品的安全漏洞大幅减少。
第十招:
分析网络流量
当前黑客数量极多,要发现大规模窃取数据的行为,最佳方法之一就是借助网络流量分析。现在有很多免费软件和商用软件可以显示、分析网络流量。通过这些软件,如果发现数百GB的数据突然流向某处,就不得不小心采取措施了。
本文介绍了十个不太合常理、但确实有助于保护公司IT资产的安全措施。而且率先尝试这些方法的公司已经获得了不错的成效。
第一招:
重命名管理员账户
把管理员账户重命名为与“administrator”相似,但不一样的账号,这一招常常被诟病为一种浪费时间的“隐藏式安全”(security by obscurity)防御措施。不过,这个简单的安全策略却很管用。如果黑客之前还没有入侵到网络或主机上,相信他们不会轻易发现管理员账户的新名称。显然如果不知道用户名,也就无从发动成功的密码猜测攻击。
在自动化恶意软件的发展史上,基本上都是使用内置的账户名称(这些攻击通常只针对工作站和服务器)。通过重命名管理员账户,可以一举击败黑客和恶意软件。此外,原始的管理员账户名称停用后,也更容易监控和报告企图登录到原始管理员账户的举动。
第二招:
摈弃管理员账户
摈弃所有的特权账户,包括管理员、域管理员、企业管理员,以及在默认情况下拥有内置特殊权限的每一个账户和群组。
这个方法受到很多网络管理员以及安全专家的认可。后来微软也采纳了这个建议,在Vista/Server 2008及以后的每一个Windows版本中都默认禁用本地管理员账户。
虽然Windows仍允许用户创建备用的管理员账户,不过许多安全专家都建议摈弃所有的内置特权账户,至少是全职员工的特权账户。不过,也有网络管理员认为这样做有些过犹不及,这样的措施过于严厉。
第三招:
使用非默认端口
降低安全风险的另一个办法就是把服务安装到非默认端口上。与重命名管理员账户一样,这个隐藏式安全策略极其有效。“零天攻击”以及由蠕虫、计算机病毒及其他恶意内容造成的远程缓冲器溢出一般只会攻击默认端口。像SQL注入攻击、HTTP蠕虫、SSH发现工具及其他常见的远程端口都是这样。
近来,赛门铁克的pcAnywhere和微软的远程桌面协议(RDP)均遭到了远程漏洞的攻击。如此情况下,安全人员必须得争分夺秒,赶在蠕虫来袭前打上补丁或阻止端口。如果这两项服务均运行在非默认端口上,就不会发生这样的情况。因为在自动化恶意软件发展史上,恶意软件一般只会尝试攻击默认端口。
不过对于这种方法也有质疑,比如黑客很容易查到默认端口移到了何处。事实也确实如此,只需借助端口扫描工具(如Nmap)或应用程序指纹识别工具(如Nikto),就能找出在非默认端口上运行的应用程序。不过,由于大多数攻击是使用恶意软件来自动执行的;而恶意软件只会攻击默认端口,且大多数黑客并不会去寻找非默认端口,因此使用非默认端口还是会起到一定的作用。
以前曾在测试中,故意把RDP端口从端口3889移到了端口50471,然后让几个人去找。结果有人马上就发现了新的端口,这并不惊奇。因为他知道移动了RDP端口,所以很容易找到。然而惊讶的是,成千上万立志成为黑客的人使用Nmap扫描系统查找新端口,却没有找到。因为如果处于默认状态下,Nmap并不会查找非默认端口。这说明只要简单地移动端口,就能够大幅降低风险。
第四招:安装文件
到自定义目录
如今的大多数攻击都出现在应用程序层面,因此安装文件到自定义目录的效果已不如前,但是它仍有一定的作用。与前面的隐藏式安全方法一样,把应用程序安装到自定义目录可以降低风险。因为除了默认目录,自动化恶意软件几乎不会关注其它位置。如果恶意软件钻系统或应用程序的空子的话,会企图通过查找默认目录来操控系统或应用程序。把操作系统或应用程序安装到自定义目录后,可使恶意软件阵脚大乱。
日常操作中应该注意上述的情况,比如把操作系统安装到非默认文件夹,像C:/Win7而不是C:/Windows。在安装软件时,不选择默认文件夹,而是建立与标准文件夹类似的“虚拟”文件夹。在计算机遭到攻击后,可以很容易地在C:/Windows/System32文件夹找到完整的、孤立的恶意软件。
更改默认文件夹虽然不如其它方法来得有效,但是它可以欺骗许多恶意软件,这无异于降低了风险。
第五招:
使用缓送技术
首次接触的缓送(tarpit)产品是LaBrea Tarpit,它是在2001年“红色代码”IIS蠕虫肆虐期间开发出来的。LaBrea的工作原理是,响应空闲地址的连接请求,使蠕虫建立连接,然后设法阻碍蠕虫,比如使用TCP协议方面的各种技巧,像超时和多次重新传输等。
如今,许多网络和蜜罐具有缓送功能,可以响应任何无效连接。在对这些网络执行渗透测试时,攻击和网络全面扫描攻击会变得很慢,这正是缓送的目的所在。不过该产品也存在不足,如果缓送产品响应过于仓促,会给合法服务带来影响,因为合法服务响应缓慢。在使用时,需要对缓送功能进行调试,以免出现误报。
第六招:
使用屏幕保护程序
加密的屏幕保护程序是降低风险的一种简单方法。如果计算设备闲置太久,加密的屏幕保护程序就会开启。虽然过去屏幕保护程序由于干扰正常工作,长期遭到用户的诟病,而现在却是笔记本电脑、平板电脑以及手机等提高防护水平的必备工具。
第七招:禁用服务器的网页浏览功能
很多安全风险都是由于上网而引起的。如果企业禁用不必要上网服务器的网页浏览功能,就能大幅降低服务器受到恶意攻击的风险。相信大多数人都不希望看到这一幕:管理员在补丁下载的时候,因无聊而收取电子邮件、登录社交网络等,因此对于这类操作就应该阻止。而对于使用Windows服务器的用户来说,UAC(用户账户控制)的启用可能会带来一些安全问题,禁用UAC并不会对桌面造成影响,因此可以考虑禁用UAC。
第八招:巧用“蜜罐”
蜜罐系统好比是情报收集系统,引诱黑客前来攻击。蜜罐没有任何生产价值,而且随时受到监控。所以在攻击者入侵后,就可以知道他是如何得逞的,随时了解最新的攻击以及存在哪些漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,掌握他们的社交网络。
第九招:
开发软件时关注安全
编写自定义代码的企业都应该把安全措施集成到开发流程中,确保代码安全受到审查。
这个做法被称为安全开发生命周期(SDL),一般包括以下准则:使用安全编程语言;避免使用已知不安全的编程函数;进行代码审查;完善渗透测试;以及其他一系列最佳实践,旨在降低编写代码出现漏洞的可能性。这么做会降低企业环境中出现漏洞的风险。自实施SDL以来,微软旗下的产品的安全漏洞大幅减少。
第十招:
分析网络流量
当前黑客数量极多,要发现大规模窃取数据的行为,最佳方法之一就是借助网络流量分析。现在有很多免费软件和商用软件可以显示、分析网络流量。通过这些软件,如果发现数百GB的数据突然流向某处,就不得不小心采取措施了。