Lindungi daripada ancaman luaran

Pada ruangan sebelumnya, saya mendedahkan bagaimana sebahagian besar ancaman keselamatan komputer yang menghadapi persekitaran anda tinggal di pihak pelanggan dan memerlukan penglibatan pengguna akhir. Pengguna harus direkayasa sosial untuk mengklik item di desktop mereka (e-mel, lampiran file, URL, atau aplikasi) yang tidak seharusnya mereka miliki. Ini bukan untuk mengatakan bahawa eksploitasi yang benar-benar terpencil bukanlah ancaman. Mereka adalah.

[ Lajur Roger Grimes kini menjadi blog! Dapatkan berita keselamatan IT terkini dari blog Security Adviser. ]

Overflow buffer jauh dan serangan DoS tetap menjadi ancaman serius terhadap komputer di bawah kawalan anda. Walaupun serangan ini kurang lazim daripada serangan pihak klien, gagasan bahawa penyerang jarak jauh dapat melancarkan serangkaian bait terhadap komputer anda, kemudian mendapatkan kendali terhadapnya selalu menimbulkan ketakutan terbesar kepada pentadbir dan menangkap berita utama. Tetapi ada juga jenis serangan jarak jauh terhadap perkhidmatan mendengar dan daemon juga.

Peluang eksploitasi jarak jauh

Banyak perkhidmatan dan daemon tertakluk kepada serangan dan pendengaran MitM (lelaki di tengah). Terlalu banyak perkhidmatan yang tidak memerlukan pengesahan titik akhir atau menggunakan penyulitan. Dengan menguping, pihak yang tidak sah dapat mempelajari kelayakan log masuk atau maklumat sulit.

Pendedahan maklumat yang tidak betul adalah ancaman lain. Hanya memerlukan sedikit peretasan Google untuk menakutkan anda. Anda akan mendapat bukti kelayakan logon dalam pandangan biasa, dan tidak akan lebih lama sebelum anda menemui dokumen rahsia dan rahsia sebenar.

Banyak perkhidmatan dan daemon sering salah konfigurasi, yang membolehkan akses istimewa tanpa nama dari Internet. Tahun lalu semasa mengajar kelas peretasan Google, saya dapati pangkalan data kesihatan dan kesejahteraan sosial (AS) di seluruh negara dapat diakses di Internet, tidak diperlukan bukti masuk. Itu termasuk nama, nombor Jaminan Sosial, nombor telefon, dan alamat - semua yang perlu berjaya dilakukan oleh pencuri identiti.

Banyak perkhidmatan dan daemon tetap tidak dapat ditandingi, tetapi terdedah kepada Internet. Baru minggu lalu, pakar keselamatan pangkalan data David Litchfield menemui beratus-ratus hingga ribuan pangkalan data Microsoft SQL Server dan Oracle di Internet yang tidak dilindungi oleh firewall. Beberapa tidak mempunyai masalah kelemahan yang telah diperbaiki lebih dari tiga tahun yang lalu. Beberapa sistem operasi baru secara sengaja dilepaskan dengan perpustakaan usang dan binari rentan. Anda boleh memuat turun setiap patch yang ditawarkan oleh vendor dan anda masih boleh dimanfaatkan.

Apa yang kau boleh buat?

* Buat inventori rangkaian anda dan dapatkan senarai semua perkhidmatan dan daemon mendengar di setiap komputer. 

* Lumpuhkan dan hapus perkhidmatan yang tidak diperlukan. Saya belum mengimbas rangkaian yang tidak menjalankan banyak perkhidmatan yang tidak diperlukan (dan sering berniat jahat, atau paling tidak berbahaya) yang tidak diketahui oleh pasukan sokongan IT.

Mulakan dengan aset berisiko tinggi dan bernilai tinggi. Sekiranya perkhidmatan atau daemon tidak diperlukan, matikan. Sekiranya ragu-ragu, teliti. Terdapat banyak sumber dan panduan berguna yang tersedia secara percuma di Internet. Sekiranya anda tidak dapat menemui jawapan pasti, hubungi vendor. Sekiranya anda masih tidak pasti, matikan program dan pulihkannya jika ada yang rosak.

* Pastikan semua sistem anda ditambal sepenuhnya, baik OS dan aplikasi. Langkah tunggal ini akan mengurangkan jumlah perkhidmatan yang dikonfigurasi dengan betul yang dapat dimanfaatkan. Sebilangan besar pentadbir melakukan tugas yang baik dalam menerapkan patch OS, tetapi mereka tidak melakukannya dengan baik memastikan aplikasi ditambal. Dalam ruangan ini, saya hanya mementingkan menambal aplikasi yang menjalankan perkhidmatan mendengar.

* Pastikan perkhidmatan dan daemon yang tersisa berjalan dalam konteks yang paling tidak istimewa. Hari-hari menjalankan semua perkhidmatan anda sebagai root atau admin domain akan hampir berakhir. Buat dan gunakan akaun perkhidmatan yang lebih terhad. Di Windows, jika anda harus menggunakan akaun yang sangat istimewa, gunakan LocalSystem dan bukannya pentadbir domain. Bertentangan dengan kepercayaan popular, menjalankan perkhidmatan di bawah LocalSystem kurang berisiko daripada menjalankannya sebagai pentadbir domain. LocalSystem tidak mempunyai kata laluan yang boleh diambil dan digunakan di hutan Active Directory.

* Wajibkan semua akaun perkhidmatan / daemon menggunakan kata laluan yang kuat. Ini bermaksud panjang dan / atau kompleks - 15 aksara atau lebih. Sekiranya anda menggunakan kata laluan yang kuat, anda perlu menukarnya dengan lebih kerap, dan anda tidak memerlukan penguncian akaun (kerana penggodam tidak akan pernah berjaya).

* Google hack rangkaian anda sendiri. Tidak ada salahnya untuk mengetahui sama ada rangkaian anda mengeluarkan maklumat sensitif. Salah satu alat kegemaran saya ialah Foundger's Site Digger. Ini pada dasarnya mengotomatisasi proses penggodaman Google dan menambahkan banyak pemeriksaan Foundstone sendiri.

* Pasang perkhidmatan pada port yang tidak berfungsi jika tidak diperlukan pada port lalai; ini adalah salah satu cadangan kegemaran saya. Letakkan SSH pada sesuatu yang lain daripada port 22. Letakkan RDP pada sesuatu yang lain daripada 3389. Dengan pengecualian FTP, saya dapat menjalankan kebanyakan perkhidmatan (yang tidak diperlukan oleh masyarakat umum) pada port yang tidak berfungsi, di mana penggodam jarang cari mereka.

Sudah tentu, pertimbangkan untuk menguji rangkaian anda dengan pengimbas analisis kerentanan, sama ada jenis percuma atau komersial. Terdapat banyak buah yang sangat baik yang menjumpai buah yang rendah. Sentiasa mempunyai kebenaran pengurusan terlebih dahulu, menguji pada waktu luar waktu, dan menerima risiko bahawa anda mungkin akan mengetuk beberapa perkhidmatan penting di luar talian semasa imbasan. Sekiranya anda benar-benar paranoid dan ingin mengatasi kerentanan yang didedahkan secara terbuka, gunakan alat samar untuk mencari eksploitasi hari kosong yang tidak didedahkan. Saya telah bermain dengan iklan komersial hari ini (mengawasi Pusat Uji untuk semakan saya) terhadap pelbagai peralatan keselamatan, dan alat samar mencari perkara yang saya syak tidak diketahui oleh vendor.

Dan tentu saja, jangan lupa bahawa risiko eksploitasi jahat anda berpunca daripada serangan pihak pelanggan.