如何保护企业免受攻击威胁

      在我们日常的电脑使用环境中，我们每天面临的威胁很大程度是由于客户或是终端用户造成的。用户有时不得不使用社会话的网络点击桌面上的图标(邮件，文件附件，URL地址或是下载的程序)，但是这种行为是不必要的。这并不是说真正的远程攻击不是威胁。它们是远程缓冲溢出和DoS攻击仍然是存在于你的电脑中的一个严重问题。相对客户机层面的攻击来说，这种形式还是很少的，一旦远程攻击者发动一系列针对你的电脑的字节，然后就会获得对计算机的控制，从而给计算机管理人员带来极大的恐慌而成为人们关注的头条。但是，其它针对收听服务和daemons (Internet中用于邮件收发的后台程序)程序的远程攻击也有很多。

　　交叉远程攻击

　　这种攻击形式最简单的就是额外的远程存取进入点。许多服务和daemons。譬如，FTP, Telnet(用于远程联接服务的标准协议或者实现此协议的软件), HTTP, SSH, RDP(Radar Data Processing 雷达数据处理), Rlogin(远程登录命令 用于登录远程主机)，这些都为黑客猜测上网信任提供了活动场所，要么是人工猜测，或是使用诸如Hydra一样的自动化工具。由于大多数管理员从来不检查网络日志也不使用复杂程度搞的密码或是帐号关闭机制，黑客要想得到密码并不是一件难事。找一个远程上网登录入口然后就可以直接进入了。即时密码很复杂，由于很大程度上系统并不监控日志，关闭帐号，或是督促密码修改，因此黑客可以在未被监测 的情况下进行长达数月或数年的密码猜测。

　　许多服务和daemons受中间人攻击和偷听的威胁，由于太多的服务并不需要终端的认证或是使用加密技术。只要使用监听技术，未经授权的组织就可以得到关于注册上网的信任或是机密信息。

　　不恰当的信息披露是另外一大威胁。只要使用Google搜索就足以让你冒冷汗。你会发现注册上网信任状于光天化日之下，花不了你多长时间你就会搜索到真正的绝密消息或是机密文件。

　　许多服务和daemons被错误的配置，这样就使得匿名的访问由网络进入。就在去年我在一个班上讲授Google堆砌技术的受，我发现美国一个州的健康和社会福利部门的数据库可以直接由网络进入，不需要任何的身份验证。它包含名字，社会保险号，电话号码，住址――利用这些信息就足以制造成功的身份**。

　　许多服务和daemons仍然没有补丁，但是却依然暴露在整个网络之中。就在上个星期，数据库安全专家David Litchfield发现数以10万计微软SQL服务器和Oracle数据库未受任何防火墙的保护。一些数据库甚至连三年之前补丁都没有下载。一些新的操作系统在发布的时候使用的都是过时的数据库和易受攻击的二进位。你可以下载零售商提供的补丁但是你的系统仍然存在漏洞。

　　你能做什么?

　　接受一些常用的安全防范建议，以下就是一些常用的建议：

　　盘点你的网络并且摸清每台计算机上运行的服务和daemons。放弃和移除一些不必要的服务。我曾经扫描过一个网络发现里面存在大量的不必要的程序，而IT管理人员并不知情。通常这些程序是恶意的或是存在潜在的威胁。

　　建立高风险和高价值的评估体系。如果有些程序没有必要，就坚决禁止使用。如果有疑问的话，就仔细研究一下。在网上你可以搜索到很多有价值的信息和指导原则。如果你找不到一个肯定的答案，就直接与零售商联系。如果你还不确定，就直接废除这个程序;如果废除这个程序后出现问题，你再安装一下。

　　确保你所有的系统都实时下载补丁，操作系统和其它的程序。这一步会大大减少由于错误配置而导致的潜在风险。许多管理员的操作系统的补丁下载方面做的无懈可击，可是他们却忽略了其它的电脑程序的补丁下载。我主要关注的就是运行收听服务的程序的下载问题。

　　保证所有的留下的服务和daemons程序在一个没有特权的环境中运行。那些将你的服务作为根管理或域名管理的日子应该一去不复反了。建立和使用限制更加严密的服务帐号。在Windows操作系统中，如果你不得不使用一个特权帐号的话，使用LocalSystem而不是域名管理。与一般人的看法相左的是，在LocalSystem运行的服务比在域名管理中的风险更小。LocalSystem并没有可以再次找回的密码设置也不可能在Active Directory海量信息中找的到。

　　要求所有的服务和daemon帐号使用复杂的密码。就是使用长度超过15个字母的密码。如果你使用复杂的密码的话，就可以减少更换密码的频率，也不需要帐号关闭机制(因为黑客根本就不可能成功)。

　　使用Google-hack搜索你的网络。 在你使用搜索引擎的时候，你经常可以发现你企业的机密信息现身于网络。我最喜欢的工具是Foundstone’s Site Digger(基石站点挖掘器).它可以自动运行Google-hack程序也会添加许多Foundstone独有的检查机制。

　　使用非默认端口安装服务程序，前提它们不必要默认端口;这是我觉得最有价值的建议。将SSH( Secure SHell。通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现)布置于端口22.将RDP (Radar Data Processing 雷达数据处理)置于3389端口。FTP是一个例外，我一直在非默认端口上运行大多数的服务，而黑客极少发现。

　　当然，首先你得使用漏洞分析扫描仪对你的网络进行彻底分析，你可以选择使用免费的或是收费软件。管理许可是最重要的，在也许时间进行测试，在扫描的过程中你也许会遇到一些重要的服务导致的风险。如果你真的想发现一些广为人知的漏洞的话，那么就使用fuzzer寻找未被发现的零天攻击。我一直使用收费的软件对户各种各样的安全漏洞，fuzzer时常可以发现一些经销商都不知道的漏洞。

　　当然了， 不要忘了恶意攻击的风险亦可能来自于客户方面的攻击。