在全球疫情爆發(fā)后，安全團隊都在努力保持網(wǎng)絡(luò)安全，現(xiàn)在已經(jīng)是第二年。隨著員工從辦公室轉(zhuǎn)移到家中，企業(yè)部署了各種遠程訪問功能，并培訓(xùn)員工如何安全地使用它們。

SSH是遠程訪問和管理的事實標準，它是所有這些遠程努力的核心。SSH由Tatu Ylönen于199年創(chuàng)建，它為用戶和系統(tǒng)管理員提供了安全的方式，以通過不安全網(wǎng)絡(luò)登錄另一臺計算機，以管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施、執(zhí)行命令以及訪問資源和應(yīng)用程序。

[[405412]]

SSH提供強大的加密，并且比登錄協(xié)議(例如Telnet)或文件傳輸方法(例如 FTP)安全得多。它使用公鑰密碼術(shù)來驗證SSH服務(wù)器的身份，并依靠強加密(例如高級加密標準)和安全散列算法(例如 Secure Hash Algorithm 2)來保護通信，并確保任何交換數(shù)據(jù)的隱私和完整性。

SSH的起源及其主要風(fēng)險

但是，由于可通過公共IP地址訪問大約2000萬個SSH服務(wù)，它顯然是黑客的目標。因此，SSH風(fēng)險正在增加。InterPlanetary Storm惡意軟件和加密貨幣挖礦團伙Golang和Lemon Duck都在利用SSH 漏洞，而復(fù)雜的FritzFrog點對點僵尸網(wǎng)絡(luò)已成功強行進入500多個SSH服務(wù)器。這些還只是企業(yè)面臨的持續(xù)攻擊中的小部分。

盡管該協(xié)議本質(zhì)上是安全的，但用于保護遠程連接的身份驗證機制、客戶端-服務(wù)器配置和機器身份(SSH 密鑰)很容易被濫用。

排名前六的 SSH 風(fēng)險如下：

• 密碼身份驗證
• 未跟蹤和未托管的密鑰
• 被泄漏的私鑰
• 未打補丁的SSH軟件
• 易受攻擊的SSH配置
• 影子SSH服務(wù)器

SSH允許基于密碼或公鑰的身份驗證。由于密碼容易受到暴力破解攻擊，因此應(yīng)始終選擇基于密鑰的身份驗證。也就是說，強大的密鑰管理是必不可少的。否則，私鑰可能會被泄露，并使攻擊者能夠?qū)λ借€受信任的服務(wù)器帳戶進行身份驗證。弱密鑰、粗心的用戶、未經(jīng)授權(quán)的密鑰以及系統(tǒng)和帳戶之間未跟蹤的信任關(guān)系都會增加未經(jīng)授權(quán)訪問的風(fēng)險。更重要的是，如果SSH服務(wù)器沒有打補丁，并且企業(yè)沒有定期檢查它們的配置設(shè)置，包括SSL/TLS 選項，黑客就會找到一種方法來破壞它們;企業(yè)不知道的SSH服務(wù)器特別容易受到攻擊。

如何控制SSH風(fēng)險

為確保SSH不會將企業(yè)的網(wǎng)絡(luò)和數(shù)據(jù)置于風(fēng)險之中，安全團隊?wèi)?yīng)執(zhí)行SSH風(fēng)險評估。這涉及掃描SSH服務(wù)器，并確保首先將它們作為合理的服務(wù)登記到資產(chǎn)登記冊中，然后確保正確配置。然后應(yīng)該盤點SSH密鑰，并驗證它們之間的信任關(guān)系。即使對于相對較小的企業(yè)，這也可能是一項非常具有挑戰(zhàn)性的任務(wù)。安全供應(yīng)商Venafi的一項調(diào)查發(fā)現(xiàn)，SSH密鑰管理存在嚴重差距，68%的CIO表示，隨著企業(yè)遷移到云原生環(huán)境，其中幾乎所有事情都使用SSH密鑰，管理SSH只會變得更加困難。

值得慶幸的是，現(xiàn)有工具和服務(wù)可幫助企業(yè)在每個密鑰的整個生命周期中進行風(fēng)險評估并實施密鑰管理最佳做法。這包括來自SSH Communications Security、Venafi、Userify、Keyfactor、Scout Suite和CloudSploit等公司的產(chǎn)品，這些產(chǎn)品提供一系列功能，從測試 SSH 服務(wù)器之間的配置弱點到查明云基礎(chǔ)設(shè)施帳戶中的潛在安全風(fēng)險。

與所有安全任務(wù)一樣，SSH風(fēng)險評估并非一次性任務(wù)，必須定期進行掃描。用戶和管理員可以更改某些配置，例如端口轉(zhuǎn)發(fā)和授權(quán)密鑰文件的位置，而他們其實并沒有或了解安全隱患，從而使這些系統(tǒng)暴露于更廣泛的攻擊中。

身份是新的防線，因為傳統(tǒng)的網(wǎng)絡(luò)邊界幾乎消失。保持遠程服務(wù)安全比以往任何時候都更重要，SSH可以保護對關(guān)鍵任務(wù)系統(tǒng)的特權(quán)訪問。但企業(yè)必須有效地管理SSH風(fēng)險。否則，這個協(xié)議可能會成為安全責(zé)任，而不是資產(chǎn)。