網(wǎng)絡(luò)安全專(zhuān)家正在承受巨大的壓力!就在最近幾周，我們發(fā)現(xiàn)了基于硬件芯片的兩個(gè)重漏洞——“Meltdown”和“Spectre”;此外，來(lái)自民族國(guó)家的黑客行為依然沒(méi)有放緩的趨勢(shì)，這不禁會(huì)讓人擔(dān)心美國(guó)是否有能力確保“中期選舉”的安全進(jìn)行。

(*美國(guó)中期選舉——11月份將舉行美國(guó)中期選舉，即在總統(tǒng)任期過(guò)半時(shí)刻舉行的議會(huì)選舉，參議院三分之一的席位和眾議院全部議席都將更換，其結(jié)果往往會(huì)改變府院權(quán)力平衡。從以往慣例來(lái)看，如果是共和黨人任總統(tǒng)，所獲權(quán)力往往大于民主黨人，不過(guò)鑒于對(duì)特朗普的評(píng)價(jià)糟糕，局勢(shì)或?qū)⒊霈F(xiàn)更大逆轉(zhuǎn)。除了政治較量，中期選舉也是對(duì)特朗普?qǐng)?zhí)政成績(jī)的評(píng)判，同時(shí)也是兩黨沖向2020年大選的發(fā)令槍)

而現(xiàn)在，即便是基礎(chǔ)環(huán)節(jié)也可能會(huì)出錯(cuò)，就像上周在拉斯維加斯舉辦的2018年全球消費(fèi)電子展(CES)上，全球各地科技公司研發(fā)的各種最先進(jìn)的高科技產(chǎn)品紛紛亮相，然而一次斷電事故卻讓整個(gè)展覽幾乎陷入癱瘓狀態(tài)。

安全事故最直觀的后果就是巨額的經(jīng)濟(jì)損失，據(jù)Ponemon估計(jì)，2017年違規(guī)事件的平均成本高達(dá)362萬(wàn)美元，但是對(duì)于企業(yè)而言，攻擊帶來(lái)的成本損失遠(yuǎn)非財(cái)務(wù)數(shù)據(jù)而已，對(duì)于品牌和公眾信任方面造成的損失更是難以預(yù)計(jì)。

而對(duì)于企業(yè)而言，最容易忽略的可能就是一些顯而易見(jiàn)的安全缺陷，例如，你可能很早就考慮過(guò)要為公司的數(shù)據(jù)中心配置一臺(tái)備用發(fā)電機(jī)，但是行動(dòng)上卻忽略遺忘了。

[[224557]]

在與3位安全專(zhuān)家(SANS研究所新興安全趨勢(shì)總監(jiān)John Pescatore、希臘INTRALOT集團(tuán)安全主管Christos Dimitriadis以及ESET高級(jí)安全研究員Stephen Cobb)進(jìn)行交談之后，我們總結(jié)了企業(yè)最容易忽略的網(wǎng)絡(luò)安全10大坑，事實(shí)證明，想要確保安枕無(wú)憂我們還有很長(zhǎng)一段路需要走。

網(wǎng)絡(luò)安全10大坑

1. 不啟用DMARC來(lái)對(duì)抗網(wǎng)絡(luò)釣魚(yú)攻擊

安全專(zhuān)家建議電子郵件/信息傳遞系統(tǒng)管理員使用DMARC協(xié)議進(jìn)行電子郵件認(rèn)證。

原始的SMTP沒(méi)有要求驗(yàn)證發(fā)件人的合法性，DMARC的核心思想是郵件的發(fā)送方通過(guò)特定方式(DNS)公開(kāi)標(biāo)明自己會(huì)用到的發(fā)件服務(wù)器(SPF)，并對(duì)發(fā)出的郵件內(nèi)容進(jìn)行簽名(DKIM)，而郵件的接受方則檢查收到的郵件是否來(lái)自發(fā)送方授權(quán)過(guò)的服務(wù)器，并且核對(duì)簽名是否有效，從而有效避免偽造的釣魚(yú)郵件進(jìn)入用戶的收件箱。

啟用DMARC協(xié)議是防御釣魚(yú)郵件最廣為人知的方式之一，但是電子郵件安保公司Agari最近發(fā)布了的一份最新研究報(bào)告卻顯示，在“財(cái)富500強(qiáng)”企業(yè)中，三分之二(67%)的企業(yè)沒(méi)有發(fā)表過(guò)任何的DMARC政策，低于十分之一的企業(yè)開(kāi)啟了DMARC功能，這其中只有百分之三實(shí)施了垃圾郵件的隔離政策、百分之五實(shí)施了拒絕政策。垂直行業(yè)中，商務(wù)服務(wù)(60%)、金融(57%)、技術(shù)(55%)和交通(53%)使用DMARC的比率相對(duì)較高。

2. 對(duì)可疑的DNS調(diào)用缺乏足夠重視

打擊網(wǎng)絡(luò)釣魚(yú)攻擊另一種較為有效的方法就是更多地關(guān)注DNS調(diào)用的情況。例如，用戶可能會(huì)收到一封電子郵件，告訴他們已經(jīng)贏得了一項(xiàng)大獎(jiǎng)或有權(quán)獲取一份免費(fèi)產(chǎn)品。

一旦用戶在點(diǎn)擊電子郵件中的鏈接后發(fā)現(xiàn)系統(tǒng)會(huì)進(jìn)行DNS調(diào)用，那么就說(shuō)明該網(wǎng)站很有可能是惡意的。

安全管理人員現(xiàn)在正在使用諸如Cisco Umbrella、Infoblox或Nominum等工具，如此一來(lái)，一旦用戶被誘騙打開(kāi)惡意鏈接，控制器將會(huì)停止DNS調(diào)用，并向用戶發(fā)送他們已經(jīng)點(diǎn)擊惡意站點(diǎn)的警告信息。

3. 員工離開(kāi)公司時(shí)僅刪除Active Directory帳戶

[[224558]]

當(dāng)人力資源通知你有員工已經(jīng)離開(kāi)公司時(shí)，你不能只是簡(jiǎn)單地將該用戶的賬戶從Active Directory中刪除。如今，一名企業(yè)員工可能會(huì)擁有Google、Salesforce以及其他多達(dá)十幾個(gè)帳戶來(lái)實(shí)現(xiàn)工資單、時(shí)間表、差旅、工作任務(wù)以及項(xiàng)目管理等功能。

由于這些賬戶位于云端，員工所需要的只是網(wǎng)絡(luò)訪問(wèn)，而不再需要通過(guò)企業(yè)VPN來(lái)獲得訪問(wèn)權(quán)限，因此那些離開(kāi)公司的員工便能夠更為輕松地訪問(wèn)這些賬戶。所以，一定要記得刪除所有離職員工的各類(lèi)賬戶。

4. 忽視供應(yīng)鏈安全

[[224559]]

安全專(zhuān)家由于過(guò)度地將目光鎖定在自身網(wǎng)絡(luò)上，而往往忽略了大局。ISACA(國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì))和其他安全組織建議安全分析師對(duì)其風(fēng)險(xiǎn)狀況進(jìn)行更全面的關(guān)注。這包括關(guān)注服務(wù)提供商、其他第三方和各種供應(yīng)商的安全。

現(xiàn)在，許多公司現(xiàn)在使用諸如BitSight、QuadMetrics以及SecurityScorecard等工具對(duì)其供應(yīng)商進(jìn)行安全檢查。

5. 沒(méi)有利用漏洞懸賞項(xiàng)目來(lái)發(fā)現(xiàn)軟件漏洞

[[224560]]

安全專(zhuān)家總是在談?wù)撊绾螌踩匀谌氲酱a開(kāi)發(fā)過(guò)程之中，但是當(dāng)企業(yè)退后一步，去了解他們真正需要做什么時(shí)，卻發(fā)現(xiàn)這一目標(biāo)實(shí)際上很難實(shí)現(xiàn)。對(duì)于軟件開(kāi)發(fā)初學(xué)者來(lái)說(shuō)，通常需要花費(fèi)大量的時(shí)間進(jìn)行再培訓(xùn)才能學(xué)會(huì)如何編碼。

但是，一些公司已經(jīng)意識(shí)到他們的產(chǎn)品必須更加安全，因此已經(jīng)開(kāi)始在HackerOne和Bugcrowd這樣的漏洞懸賞平臺(tái)上推出了自己的漏洞懸賞項(xiàng)目，邀請(qǐng)更多技能超群的黑客對(duì)他們正在開(kāi)發(fā)的產(chǎn)品進(jìn)行漏洞測(cè)試。

這種項(xiàng)目可能并不完美，無(wú)法從根本上避免漏洞的存在，但是它至少可以讓軟件開(kāi)發(fā)商了解一些更為明顯的漏洞，以便在其產(chǎn)品出廠之前將其修復(fù)。

6. 未能自動(dòng)化防火墻配置管理工具

[[224561]]

安全專(zhuān)業(yè)人員似乎應(yīng)該把注意力放在防火墻配置管理上，但要記住，設(shè)備能力再?gòu)?qiáng)，如果用不好也沒(méi)有意義。那么什么是防火墻管理的最大難題?

答案是防火墻的安全策略管理。

著名安全管理公司Skybox對(duì)北美/歐洲209家大中型企業(yè)調(diào)查的結(jié)果顯示：“58%的企業(yè)，每臺(tái)FW部署超過(guò)100條策略;平均每月有超過(guò)270次的策略變更;90%的管理員認(rèn)為他們的防火墻存在不必要的策略，造成性能問(wèn)題和安全隱患”。

所以，解決這一問(wèn)題必須實(shí)現(xiàn)防火墻配置管理自動(dòng)化，對(duì)此，像Algosec、Firemon、Puppet、Tufin以及Titania等工具都可以提供幫助。

7. 打補(bǔ)丁不夠認(rèn)真

[[224562]]

安全專(zhuān)家正在努力修補(bǔ)漏洞，這么說(shuō)似乎沒(méi)錯(cuò)，但是安全團(tuán)隊(duì)發(fā)現(xiàn)想要讓IT運(yùn)營(yíng)更快地打補(bǔ)丁需要進(jìn)行很多工作，這就是為什么這么多企業(yè)沒(méi)有真正做到這一點(diǎn)(補(bǔ)丁修復(fù))的原因所在。

安全專(zhuān)家需要與他們的質(zhì)量控制和工程部門(mén)更好地協(xié)調(diào)他們的補(bǔ)丁計(jì)劃，并利用廉價(jià)的IaaS云服務(wù)在運(yùn)行補(bǔ)丁程序之前快速地運(yùn)行測(cè)試，以確保補(bǔ)丁會(huì)話不會(huì)降低網(wǎng)絡(luò)或應(yīng)用程序的速度。

8. 忽略來(lái)自內(nèi)部的威脅

[[224563]]

雖然公司將大部分安全工作的重點(diǎn)放在網(wǎng)絡(luò)犯罪分子和民族國(guó)家間諜組織等外部威脅上，但內(nèi)部人員的威脅依然存在。據(jù)Forrester Research調(diào)查發(fā)現(xiàn)，全球58%的企業(yè)在過(guò)去12個(gè)月中至少遇到一次違規(guī)行為，其中50%的企業(yè)至少遭受過(guò)一次由內(nèi)部人員造成的違規(guī)行為。

數(shù)據(jù)丟失預(yù)防軟件可以幫助企業(yè)防止由內(nèi)部人員造成的數(shù)據(jù)泄露事件，此外，關(guān)注員工的行為對(duì)于防止內(nèi)部威脅也是存在意義的。盡量密切關(guān)注哪些員工是開(kāi)心的，哪些員工可能是不滿的，并有可能竊取數(shù)據(jù)的。

9. 對(duì)影子IT失去控制

[[224564]]

影子IT是指那些不在企業(yè)IT部門(mén)掌控下的IT 設(shè)備、軟件及服務(wù)。IDC調(diào)查指出，影子IT形成的兩大主因包括：IT供應(yīng)商的推廣延伸至商業(yè)用戶，以及業(yè)務(wù)流程主管要求加快IT項(xiàng)目的進(jìn)度。

如今，影子IT已經(jīng)成為一個(gè)備受關(guān)注的話題，而對(duì)于IT部門(mén)來(lái)說(shuō)，該問(wèn)題仍然是一個(gè)真正的挑戰(zhàn)。

事實(shí)上，Gartner發(fā)現(xiàn)，到2017年，38%的IT采購(gòu)將由業(yè)務(wù)部門(mén)(line-of-business，簡(jiǎn)稱LOB)領(lǐng)導(dǎo)者完成。這將導(dǎo)致IT和安全分析師在如何保持組織安全方面摸不著頭腦。如果你甚至不知道一些東西的存在，談何保護(hù)這些東西。

解決這一問(wèn)題需要投入大量的教育培訓(xùn)，以及善于向業(yè)務(wù)部門(mén)解釋技術(shù)問(wèn)題的人員。

10. 把一些基礎(chǔ)問(wèn)題視為理所當(dāng)然

[[224565]]

你想過(guò)2018年如果沒(méi)有電，世界會(huì)怎樣?考慮到上周在拉斯維加斯舉行的消費(fèi)電子展上發(fā)生的斷電事件，這一設(shè)想是完全有可能發(fā)生的。

配置多余的不間斷電源(UPS)和備份發(fā)電機(jī)應(yīng)該是必不可少的環(huán)節(jié)，但是由于所有的數(shù)據(jù)都分布在你的網(wǎng)絡(luò)上，所以檢查硬件清單也是非常有必要的，此外，還要確保你的備份發(fā)電設(shè)備能夠提供足夠的電量來(lái)運(yùn)行你所有的服務(wù)器和設(shè)備。