本文講的是<b>安全工程師們必看:加強網絡環境的9條建議</b>,
在過去半個月中,WannaCry已經讓那些網絡安全系統管理者的顔面盡掃,隻能事後做一些小修小補,客觀地講,截至目前就連安全專家們也無法預料WannaCry将會出現何種變種。對于配有專門的安保專家的大公司來說,網絡安全最起碼還有個基本的保障,但對個人使用者來說,就隻能靠自己來進行防護了。
在這篇文章中,我們就為大家提供9條建議,來加強你的網絡環境,這9條建議對組織和個人使用者來說,都非常有用,而且還易于操作。
建議1:簡化你的更新檔管理
許多攻擊包括WannaCry的基本攻擊機制,都是針對未修補的系統。是以,不管你的網絡是否對外開放,都應該定期更新作業系統和應用程式。雖然這個建議屬于老生常談,但從另一個側面也說明了該建議的重要性。許多攻擊就是利用未修複的漏洞和未更新的系統來大做文章。
對于Windows系統來說,利用Windows Server進行更新服務簡單而高效。利用WSUS部署更新程式時,WSUS易于設定,可以設定為自動或手動方式。而利用第三方軟體來管理更新就有點不靠譜了,比如一些商業插件就允許WSUS從其他供應商那裡修補軟體。還有一些比較小衆的工具,像Ninite這樣的第三方更新工具,既不是自動配置的,也不是免費使用的,但它允許使用者從其清單中選擇支援的應用程式和運作沒有完全標明的應用程式。 Flexera的企業軟體檢查器和Microsoft的系統中心配置管理器(SCCM)等工具也可以幫助管理第三方應用程式的修補。
Windows Server Update Services向導允許管理者選擇要管理的更新類型
使用WSUS,管理者可以自動準許更新檔到品質檢查環境,或手動準許并配置設定它們
相關的第三方更新工具下載下傳資源:
https://technet.microsoft.com/en-us/windowsserver/bb332157.aspx
https://technet.microsoft.com/en-us/library/hh852344(v=ws.11).aspx
https://www.flexerasoftware.com/enterprise/products/software-vulnerability-management/corporate-software-inspector/
https://ninite.com/pro
https://www.microsoft.com/en-us/cloud-platform/system-center-configuration-manager
建議2:稽核空白和預設密碼
Verizon釋出的《2016年資料洩露調查報告》顯示“63%的已确認的資料洩露事件均涉及到密碼密碼(password)的丢失、密碼密碼安全性過低或預設密碼未更改”,是以這個建議是非常重要的。當使用者在首次使用裝置時,應該先對預設的出廠密碼進行修改,如果沒有設定密碼的要先設定密碼,但往往人們會忽略這些關鍵的保護手段。攻擊者就是利用這些疏忽來進行攻擊的,因為一般的出廠預設密碼都可以在網絡上查到。攻擊者可以利用網絡裝置,如交換機和接入點上的預設密碼來重定向流量,執行中間人攻擊,或對網絡基礎設施執行拒絕服務攻擊。
更糟糕的是,内部系統所利用的Web控制台在包含敏感業務資料或系統配置的應用程式中通常使用的都是預設密碼。攻擊者利用網絡釣魚和常見的惡意軟體的攻擊向量就可以繞過安全防護,并且有時候真正的威脅是來自内部人員的惡意行為,是以借着 “内部”這個借口來放松對密碼的管理,這個觀念是非常錯誤的。正确的做法應該是,稽核所有登入密碼,并進行必要的修改和設定。現在,許多裝置和服務都支援雙因素身份驗證, 建議大家盡量開啟。
隻是用Google搜尋出來的一些預設密碼清單
建議3:使用LAPS保護你的本地管理者帳戶
密碼重用的常見原因是Windows工作站和伺服器上的本地管理者帳戶,這些密碼通常通過組政策設定為公用值,或者在建構系統映像時設定為标準值。是以,在一台機器上發現本地管理者密碼的攻擊者就可以利用這些值通路網絡上的所有計算機。
在2015年年中,微軟釋出了一個解決這個該問題的工具,即本地管理者密碼解決方案(LAPS)。此方案是将本地管理者密碼存儲在LDAP上,作為計算機賬戶的一個機密屬性,配合GPO,實作自動定期修改密碼、設定密碼長度、強度等,更重要是該方案可以将該密碼作為計算機帳戶屬性存儲在Active Directory中。該屬性“ms-Mcs-AdmPwd”可以通過ACL鎖定,以確定隻有經過準許的使用者,如控制台和系統管理者可以檢視密碼。 LAPS還包括一個PowerShell子產品和一個背景用戶端,LAPS UI,以簡化管理和檢索過程。
可以提供Microsoft LAPS UI Thick Client來支援可能需要通路本地管理者帳戶的人員
LAPS實作起來非常快速簡單,隻需要要求系統管理者建立一個定義密碼政策和本地帳戶名稱的GPO來管理,可以直接将單個檔案AdmPwd.dll添加到Windows上。
本地管理者密碼解決方案允許系統管理者定義符合其公司政策的密碼
建議4:限制漏洞資訊披露
查找過度冗長的錯誤消息可能是攻擊者的攻擊手段之一,雖然這些查找過程可能看起來是好的,但是詳細的錯誤消息可能會洩漏資訊,讓攻擊者利用這些資訊制定攻擊政策,例如内部IP位址,敏感檔案的本地路徑,伺服器名稱和檔案共享。從這些資訊可以推斷出其他的運作環境特征,并可以幫助攻擊者更清楚地了解你的操作環境。一般情況下,很少有使用者會檢視錯誤資訊的詳細原因,而是簡單地看一下簡單的錯誤報告消息。
對于攻擊者來說,隻需要通過顯示的軟體版本即可研究出對應的攻擊政策。例如,披露Tomcat 8.0.30版本 時,就很詳細的披露了十五個已釋出的漏洞,其中一些漏洞還附有漏洞證明。例如,顯示phpinfo()的頁面可能會顯示主機資訊,運作服務的本地使用者群組,伺服器的配置選項以及其他資訊。
顯示phpinfo()的頁面公開了資訊有可能導緻進一步有針對性的攻擊
在設定應用程式時,一定要檢查一下預設顯示的漏洞資訊是否就是你需要看到的資訊。如果不是,請重新設定。
建議5:禁用LLMNR和NetBIOS名稱解析
鍊路本地多點傳播名稱解析(LLMNR)和NetBIOS名稱服務(NBT-NS)都可以導緻在啟用時快速對域名進行攻擊。這些協定最常用在初始DNS查找失敗時查找所請求的主機,并且會在預設情況下啟用。在大多數網絡中,由于DNS的存在,是以LLMNR和NetBIOS名稱解析根本就沒有必要再用了。當對無法找到的主機送出請求時,例如嘗試通路 dc-01的使用者打算輸入 dc01,LLMNR和NBT-NS就會發送廣播,尋找該主機。這時攻擊者就會通過偵聽LLMNR和NetBIOS廣播,僞裝成使用者(用戶端)要通路的目标裝置,進而讓使用者乖乖交出相應的登陸憑證。在接受連接配接後,攻擊者可以使用Responder.py或Metasploit等工具将請求轉發到執行身份驗證過程的流氓服務(如SMB TCP:137)。 在身份驗證過程中,使用者會向流氓伺服器發送用于身份認證的NTLMv2哈希值,這個哈希值将被儲存到磁盤中,之後就可以使用像Hashcat或John Ripper(TJR)這樣的工具線上下破解,或直接用于 pass-the-hash攻擊。
攻擊者中斷了一個LLMNR請求,并捕獲了user01的密碼哈希值
由于這些服務通常不是必需的,是以最簡單的措施是完全禁用它們。大家可以順着計算機配置 – >政策 – >管理模闆 – >網絡 – > DNS用戶端 – >關閉多點傳播名稱解析來修改組政策,禁用LLMNR。
啟用“關閉多點傳播名稱解析”的組政策選項禁用LLMNR
禁用NetBIOS名稱解析并不是一件簡單的事情,因為我們必須在每個網絡擴充卡中手動禁用“啟用TCP / IP NetBIOS”選項,或者運作包含以下wmic指令的腳本:
不過要注意的是,雖然這些服務通常不是必需的,但一些過去的老軟體仍然可以依靠NetBIOS名稱解析來正常運作。在運作GPO之前,請務必測試以下禁用這些服務會對你的運作環境有哪些影響。
建議6:檢視目前賬戶是否具備管理者權限
攻擊者對具有漏洞的賬戶進行控制一樣可以獲得該裝置的管理權限,比如使用者有時會為了某種通路的需要,進行一些臨時通路,但在通路完畢後,使用者有時會忘了對這些通路進行删除或監控,以至于被黑客利用。根據我們的經驗,很少有使用者會把這些臨時通路權限進行删除。
敏感帳戶,如具有管理者權限的帳戶應與普通賬戶,如員工的賬戶在檢視電子郵件和浏覽網頁時進行帳戶區分。如果使用者帳戶被惡意軟體或網絡釣魚進行了攻擊,或者在密碼已被洩密的情況下,帳戶區分将有助于防止對管理者的權限造成進一步損壞。
具有域管理者或企業管理者資格的帳戶應受到高度限制,比如隻能用于登入域控制器,具有這些權限的帳戶不應再在其他系統上進行登入了。在此,我們建議大家可以基于不同的管理功能來為每個賬戶設定不同的權限的管理賬戶,比如 “工作站管理”和“伺服器管理”組,這樣每個管理者就不具有通路整個域的權限了,這将有助于對整個域的權限保護。
建議7:及時了解你的網絡裝置是否被攻擊
如果你登陸過https://www.shodan.io這個網站,你一定會被其中所曝光的敏感漏洞和服務而震驚。與谷歌不同的是,Shodan不是在網上搜尋網址,而是直接進入網際網路的背後通道。Shodan可以說是一款“黑暗”谷歌,一刻不停的在尋找着所有和網際網路關聯的伺服器、攝像頭、列印機、路由器等等。Shodan所搜集到的資訊是極其驚人的。凡是連結到網際網路的紅綠燈、安全攝像頭、家庭自動化裝置以及加熱系統等等都會被輕易的搜尋到。Shodan的使用者曾發現過一個水上公園的控制系統,一個加油站,甚至一個酒店的葡萄酒冷卻器。而網站的研究者也曾使用Shodan定位到了核電站的指揮和控制系統及一個粒子回旋加速器。
Shodan真正值得注意的能力就是能找到幾乎所有和網際網路相關聯的東西。而Shodan真正的可怕之處就是這些裝置幾乎都沒有安裝安全防禦措施,其可以随意進入。
是以如果沒有必要就不要把你的裝置連接配接到網際網路,不過要知道網絡上有哪些型号的裝置已經被攻擊了,建議大家嘗試使用端口掃描之王——nmap進行掃描,端口掃描是指某些别有用心的人發送一組端口掃描消息,試圖以此侵入某台計算機,并了解其提供的計算機網絡服務類型(這些網絡服務均與端口号相關),但是端口掃描不但可以為黑客所利用,同時端口掃描還是網絡安全工作者的必備的利器,通過對端口的掃描,了解網站中出現的漏洞以及端口的開放情況。比如,像“nmap -sV -Pn -top-ports 10000 1.2.3.4/24”這樣的簡單掃描可以讓我們快速了解攻擊者可能看到的内容,利用Shodan和Censys.io這樣的工具就可以做到自動搜尋這些内容。
Shodan提供了有關公共服務和端口的大量資訊
你知道你裝置在網絡上的運作狀态嗎?例如,你是否運作了IPv6,更重要的是,該運作狀态是你打開的還是黑客打開的? SMBv1是否在你的環境中啟用了一個裝置?當你對這些運作情況有一個清晰地了解之後,請考慮一下你是否有必要禁用這些監控服務。
建議8:盡量使用專有的裝置管理網絡
扁平網絡 (Flat Network)雖然易于管理和使用,但是對于攻擊者來說也一樣非常友善進行攻擊。是以為了加強對裝置的管理和安全預防,目前,主流廠商售出的大部分伺服器都使用專用硬體子產品或特殊的遠端管理卡提供管理接口,通過專用的資料通道對裝置進行遠端維護和管理,完全獨立于裝置作業系統之外,甚至可以在裝置關機狀态下進行遠端監控與管理。
主流廠商的裝置都具備某些類型的外帶管理工具或護闆管理控制器。或許,你已經使用過惠普的Integrated Lights-Out(iLO),戴爾的Integrated Dell Remote Access Controller(iDRAC)或聯想的ThinkServer EasyManage。
建議9:進行滲透測試
雖然進行滲透測試的成本會很大,但是對于組織機構來說,我們還是覺得有必要這樣做。比如一家企業在執行網絡安全檢測時,可能會傾向于或固定使用某一種方法,時間一長就會形成一種定性思維,對某些潛在問題或某一類問題忽略。雇用安全專家來模拟一個攻擊者的行為來對你的組織進行一次攻擊,會讓你産生不同的防禦思路,并及時和最新的安全趨勢進行對接。
原文釋出時間為:2017年5月27日
本文作者:xiaohui
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/info/observation/5003.html" target="_blank">原文連結</a>