I en tidligere kolonne afslørede jeg, hvordan langt størstedelen af computersikkerhedstrusler over for dit miljø lever på klientsiden og kræver slutbrugerinddragelse. Brugere skal være socialt konstrueret til at klikke på et element på deres skrivebord (en e-mail, en vedhæftet fil, en URL eller en applikation), som de ikke burde have. Dette betyder ikke, at virkelig fjernbetjening ikke er en trussel. De er.
[RogerGrimes kolonne er nu en blog! Få de seneste it-sikkerhedsnyheder fra Security Adviser-bloggen. ]
Fjernbufferoverløb og DoS-angreb forbliver en alvorlig trussel mod de computere, der er under din kontrol. Selvom de er mindre udbredte end klient-side-angreb, giver ideen om, at en fjernangriber kan starte en række bytes mod dine computere, så altid få den største frygt for administratorer og fanger de største overskrifter. Men der er også andre slags fjernangreb mod lytningstjenester og dæmoner.
En handske med fjernbetjening
Mange tjenester og dæmoner er underlagt MitM (mand i midten) angreb og aflytning. Alt for mange tjenester kræver ikke slutpunktsgodkendelse eller bruger kryptering. Med aflytning kan uautoriserede parter lære loginoplysninger eller fortrolige oplysninger.
Uhensigtsmæssig videregivelse af oplysninger er en anden trussel. Det tager kun lidt Google-hacking at skræmme skidtet ud af dig. Du finder logonoplysninger i almindelig visning, og det varer ikke meget længere, før du finder ægte tophemmelige og fortrolige dokumenter.
Mange tjenester og dæmoner er ofte forkert konfigureret, hvilket giver anonym privilegeret adgang fra Internettet. Sidste år, mens jeg underviste i en klasse om Google-hacking, fandt jeg en hel (amerikansk) stats database over sundhed og social velfærd tilgængelig på Internettet, ingen logonoplysninger krævet. Det omfattede navne, personnumre, telefonnumre og adresser - alt, hvad en identitetstyv ville have brug for for at få succes.
Mange tjenester og dæmoner forbliver upatchede, men udsatte for Internettet. Bare i sidste uge fandt databasesikkerhedsekspert David Litchfield hundreder til tusinder af ikke-patchede Microsoft SQL Server- og Oracle-databaser på Internettet ubeskyttet af en firewall. Nogle havde ikke programrettelser for sårbarheder, der var blevet rettet for mere end tre år siden. Nogle nye operativsystemer frigives bevidst med forældede biblioteker og sårbare binære filer. Du kan downloade hver patch, som sælgeren har at tilbyde, og du kan stadig udnytte den.
Hvad kan du gøre?
* Inventar dit netværk og få en liste over alle lytningstjenester og dæmoner, der kører på hver computer.
* Deaktiver og fjern unødvendige tjenester. Jeg har endnu ikke scannet et netværk, der ikke kørte masser af unødvendige (og ofte ondsindede eller i det mindste potentielt farlige) tjenester, som IT-supportteamet ikke vidste om.
Start med aktiver med høj risiko og høj værdi. Hvis tjenesten eller dæmonen ikke er nødvendig, skal du slå den fra. Når du er i tvivl, skal du undersøge det. Der er masser af nyttige ressourcer og guider tilgængelige gratis på Internettet. Hvis du ikke kan finde et endeligt svar, skal du kontakte sælgeren. Hvis du stadig ikke er sikker, skal du deaktivere programmet og gendanne det, hvis noget ender med at være brudt.
* Sørg for, at alle dine systemer er fuldt patchede, både OS og applikationer. Dette enkelt trin reducerer antallet af korrekt konfigurerede tjenester betydeligt, der kan udnyttes. De fleste administratorer gør et fremragende stykke arbejde med at anvende OS-patches, men de klarer sig ikke så godt for at sikre, at applikationer er patched. I denne særlige kolonne er jeg kun bekymret for at lappe applikationer, der kører lyttetjenester.
* Sørg for, at de resterende tjenester og dæmoner kører i en mindst privilegeret sammenhæng. Dagen for kørsel af alle dine tjenester som root- eller domæneadministrator skal nærme sig slutningen. Opret og brug mere begrænsede servicekonti. I Windows, hvis du skal bruge en meget privilegeret konto, skal du gå med LocalSystem i stedet for domæneadministrator. I modsætning til almindelig opfattelse er det mindre risikabelt at køre en tjeneste under LocalSystem end at køre den som en domæneadministrator. LocalSystem har ikke en adgangskode, der kan hentes og bruges på tværs af Active Directory-skoven.
* Kræv, at alle service- / dæmonkonti bruger stærke adgangskoder. Dette betyder lang og / eller kompleks - 15 tegn eller mere. Hvis du bruger stærke adgangskoder, bliver du nødt til at ændre dem sjældnere, og du har ikke brug for konto-lockout (fordi hackerne aldrig får succes).
* Google-hack dit eget netværk. Det gør aldrig ondt at finde ud af, om dit netværk frigiver følsomme oplysninger. Et af mine yndlingsværktøjer er Foundstone's Site Digger. Det automatiserer i det væsentlige Google-hackingsprocessen og tilføjer mange af Foundstones egne checks.
* Installer tjenester på ikke-standardporte hvis de ikke er absolut nødvendige på standardporte; dette er en af mine foretrukne anbefalinger. Sæt SSH på noget andet end port 22. Sæt RDP på noget andet end 3389. Med undtagelse af FTP har jeg været i stand til at køre de fleste tjenester (som ikke er nødvendige af offentligheden) på ikke-standardporte, hvor hackere sjældent Find dem.
Overvej selvfølgelig at teste dit netværk med en sårbarhedsanalysescanner, enten den gratis eller kommercielle sort. Der er mange fremragende, der finder den lavhængende frugt. Har altid ledelsestilladelse først, test i åbningstider, og accepter risikoen for, at du sandsynligvis banker nogle vigtige tjenester offline under scanningen. Hvis du virkelig er paranoid og ønsker at gå forbi offentligt afslørede sårbarheder, skal du bruge en fuzzer til at se efter uoplyst nul dags udnyttelse. Jeg har spillet med en kommerciel en i disse dage (hold øje med testcentret for min anmeldelse) mod forskellige sikkerhedsapparater, og fuzzer finder ting, som jeg formoder, at sælgerne ikke ved om.
Og selvfølgelig skal du ikke glemme, at din risiko for ondsindet udnyttelse hovedsageligt kommer fra angreb på klientsiden.
