IT安全威胁在不断地发展。是时候让IT安全专家来获得巧妙
网络和端点安全可能不会让您感到第一个需要进行实验的地方。毕竟,保护公司的系统和数据应该对任何可能带来风险的行动提出质疑。但IT安全威胁不断演变,有时你必须跳出思维定式,以领先于那些更有独创性的破坏者。
有时候你得有点疯狂。
[了解如何阻止动手在InfoWorld的从专家撰稿人的意见,你的业务威胁的病毒,蠕虫和其他恶意软件,具有“恶意软件深潜水“PDF指南|。跟上与InfoWorld的关键安全问题安全顾问博客和安全中心通讯。]
现代计算机之父查尔斯·巴贝奇(Charles Babbage)曾经说过:“向一个人提出任何原则或工具,无论它多么令人钦佩,你都会发现,整个努力都是为了发现其中的困难、缺陷或不可能。”如果你对他说有一种削土豆皮的机器,他会说那是不可能的;如果你在他眼前削土豆皮,他会说那是没有用的,因为那不能切菠萝。”
网络安全领域也不例外。为IT防御提供了一种新的手段,并期望遇阻。然而,有时违背传统思维的浪潮是取得胜利的最可靠途径。
在这种情况下,我们提供了10个安全理念,这些理念因为太过另类而不适合工作,在很多情况下仍然被回避,但它们在帮助保护公司的IT资产方面起到了相当有效的作用。使用这些方法的公司不关心争论或安抚反对者。他们看到了结果,知道这些方法是有效的,而且效果很好。
创新的安全技术第1号:重命名管理员重命名特权帐户比“管理员”不太明显的东西往往穿好浪费,“安全通过隐藏”辩护。然而,这种简单的安全策略工作。如果攻击者尚未您的网络或主机内做到了,没有什么理由相信他们将能够很容易地辨别新名称为您的特权帐户。如果他们不知道的名字,他们不能对他们进行成功密码猜测活动。
更大的奖金?在自动恶意软件(通常针对工作站和服务器)的历史上,从来没有一次攻击试图使用内置的帐户名以外的任何东西。通过重命名您的特权帐户,您击败黑客和恶意软件一步。此外,当原始特权帐户名不再使用时,它更容易监视和警告登录尝试。
创新的安全技术,第2号:除暴安良的管理员另一个建议是摆脱所有批发特权帐户:管理员、域管理员、企业管理员和其他默认具有内置、广泛、特权权限的帐户和组。
当这一建议被提出时,大多数网络管理员大笑和抗议,就像安全专家建议在Windows电脑上禁用本地管理员帐户时得到的反应一样。随后,微软遵循了这一建议,在从Vista/Server 2008及以后的所有Windows版本上默认禁用本地管理员帐户。你瞧,几亿台电脑问世后,世界还没有崩溃。
诚然,Windows仍然允许你创建一个备用管理员帐户,但当今最激进的计算机安全卫士建议摆脱所有内置的特权帐户,至少是全职的。尽管如此,许多网络管理员还是认为这是走得太远了,是一种不会起作用的过于严厉的措施。至少有一家财富100强公司这么做了取消了所有内置特权帐户和它的工作很大。该公司提出了不通过已被破坏的证据APT(高级持续威胁)。没有人抱怨缺少的特权访问,无论是在用户端或者从IT。为什么他们会?他们没有得到砍死。
创新的安全技术,第3号:蜜罐现代电脑honeypot从克利福德·斯托尔的时代就开始了布谷鸟的蛋但它们仍然没有得到应有的尊重和广泛采用。“蜜罐”是专门为攻击而设置的任何计算机资产。蜜罐没有生产价值。他们坐着等待,被监视着。当黑客或恶意软件触摸到他们时,他们会向管理员发送一个警告,以便对触摸进行调查。它们提供低噪音和高价值。
使用蜜罐的商店很快就会收到主动攻击的通知。事实上,在预警方面,没有什么能比得上蜜罐——除了一堆被称为蜜网的蜜罐。不过,当我拿出蜜罐时,同事和顾客通常会表示怀疑。我的回答总是一样的:花一天的时间来旋转蜜罐,一个月后告诉我你对蜜罐的感觉。有时候你能做的最好的事情就是尝试一下。
创新的安全技术4:使用非默认端口为最大限度地减少安全风险的另一种技术是对非默认端口安装服务。如重命名特权帐户,此安全逐默默无闻的战术去势如破竹。当零时差,远程缓冲区溢出的威胁成为蠕虫,计算机病毒武器化,等等,他们总是 - 只有 - 去为默认端口。这是SQL注入冲浪,HTTP蠕虫,SSH发现者,以及任何其他常见的远程广告端口的情况。
最近赛门铁克的pcAnywhere和微软的远程桌面协议远程攻击。当这些漏洞被武器化的时候,防御者就必须在蠕虫到达之前给端口打补丁或者封锁端口,这是一场与时间的赛跑。如果任何一个服务都在非默认端口上运行,竞争甚至不会开始。这是因为在自动恶意软件的历史上,恶意软件只尝试过默认端口。
防御这种方法的批评者说,这很容易被黑客发现其中默认的端口已经被感动了,这是真的。它所需要的是一个端口扫描器,如NMAP,或应用指纹打印机,如Nikto,以识别在非默认端口上运行的应用程序。事实上,大多数攻击都是使用恶意软件自动进行的,恶意软件只针对默认端口,而大多数黑客不会费心去寻找非默认端口。他们发现在默认端口上有太多唾手可得的东西,因此无需为此付出额外的努力。
几年前,作为一项实验,我将RDP端口从3889移动到50471,并对第一个找到新端口的人提供了奖励。两个人立刻发现了港口,这并不奇怪;因为我告诉他们我做了什么,所以很容易找到正确的位置。让我震惊的是,成千上万的黑客想要用Nmap扫描我的系统寻找新端口,却没有意识到,如果让Nmap保留默认值,它不会查看非默认端口。事实证明,只要做一个简单的端口移动,你就能显著降低风险。
创新的安全技术5:安装到自定义目录另一个安全逐默默无闻的防守是应用程序安装到非默认目录。
因为大多数袭击发生在今天的应用程序文件级这一个不工作,以及它用于,但它仍然具有价值。像以前的安全逐默默无闻的建议,在安装应用程序自定义目录可以降低风险 - 自动化恶意软件几乎从来不看任何地方,但默认的目录。如果恶意软件能够利用你的系统或应用程序,它会尝试通过查找默认目录操纵系统或应用程序。安装你的操作系统或应用程序在非标准目录,你搞砸了其编码。
在许多我的蜜罐,我安装的操作系统,以非默认的文件夹 - 例如,在C:/ Win7的,而不是C:/ Windows操作系统。我通常创建模拟以假乱真的“假”的文件夹,有我安装的软件,并采取默认值。当我的电脑遭到攻击,很容易找到的恶意软件在C挂出的完整和孤立副本:/在Windows / System32文件夹中。
更改默认的文件夹没有作为降压多邦的其他技术在这里被提及,但它愚弄一吨的恶意软件,这意味着风险降低。
创新的安全技术第6号:tarpit我对tarpit产品的第一次体验是LaBrea限定。它是于2001年蠕虫的红色代码蠕虫IIS的爆发期间开发容易复制到符合他们利用能力的任何系统。拉布雷工作回答连接尝试为尚未分配到合法的机器地址。然后,它会回答,并告诉蠕虫连接,然后再花时间休息试图蜗杆减速,利用各种TCP协议的技巧:长超时,多次重,等等。
如今,许多网络(和蜜罐)有那tarpit功能,对于任何nonvalid连接尝试其中的答案。当我渗透测试这些网络,我的攻击和网络扫描攻击缓慢到爬行——它们是不可用的,这正是目的。唯一的缺点是:由于合法服务器的响应较慢,如果tarpit过早地回答问题,那么tarpit可能会导致合法服务出现问题。记得调整tarpit以避免这些假阳性并享受其好处。
创新安全技术第7号:网络流量分析随着外国黑客的大量涌入,发现大量数据盗窃的最佳方法之一是通过网络流量分析。可以使用免费和商业的软件来绘制您的网络流,并为什么应该去哪里建立基线。这样,如果您看到数百gb的数据突然而意外地流向海外,您就可以进行调查。我调查过的大多数APT攻击都可以提前几个月识别出来,如果受害者知道哪些数据应该在什么时候到哪里。
创新的安全技术,第8号:屏幕保护程序密码保护的屏幕保护程序是一种最小化安全风险的简单技术。如果计算设备闲置太长时间,一个需要密码的屏幕保护程序就会启动。长期以来,用户一直批评电脑,认为它妨碍了他们的合法工作,但现在,电脑已经成为每一个电脑设备的主要设备,从笔记本电脑到平板电脑,再到手机。
我记得有一次,我和出租车司机因为账单的问题吵了一架(他带我走了一条比必要的长得多、迂回的路),然后把智能手机落在了出租车上。我立刻想到那部手机早就不见了。我很担心,因为我刚刚和妻子聊天,所以电话是开着的,暴露在外。我把密码和其他个人信息存储在手机里,不过做了一些修改,这样直接读取的人就不会知道真正的密码或号码。我更担心的是我妻子、女儿和其他亲人的联系方式。幸运的是,我知道我的屏幕保护程序将立即启动。我一直没有找到手机,但也没有收到任何奇怪的电话或费用。
创新的安全技术9:在服务器上禁用互联网浏览大多数计算机风险是由用户在互联网上的行为引起的。在不需要连接的服务器上禁用互联网浏览或所有互联网访问的组织大大降低了服务器被恶意攻击的风险。你不希望无聊的管理员在等待补丁下载的同时查收他们的邮件并发布到社交网站上。相反,阻止不需要的。对于使用Windows服务器的公司,考虑禁用UAC(用户帐户控制),因为UAC最小化的桌面风险并不存在。UAC会导致一些安全问题,因此在维护强大安全性的同时禁用它对许多组织来说是一种好处。
创新的安全技术第10号:安全意识的发展任何生产定制代码的组织都应该将安全实践集成到开发过程中——确保在任何编码项目中,从第一天开始就检查和内置代码安全性。这样做绝对会减少在你的环境中被剥削的风险。
这种实践有时被称为SDL(安全开发生命周期),不同的学者对此有所不同,但通常包括以下原则:使用安全编程语言;避免故意不安全的编程函数;代码评审;渗透测试;以及一长串的其他最佳实践,旨在减少产生安全bug肆虐的代码的可能性。
微软为一体,已能显著降低每运输产品的安全漏洞的数量,因为提起SDL。它提供了经验教训,免费工具,并指导其SDL网站。
这个故事,”10个疯狂的IT安全技巧真的有用,最初发表于InfoWorld.com。关注最新的发展安全在InfoWorld.com上。了解最新的商业技术发展新闻,请跟随在Twitter上InfoWorld.com。
了解更多关于安全在信息世界的安全频道。
这个故事,“10点疯狂的IT安全性的技巧,其实工作”最初发表信息世界 。