擴展企業(yè)的概念給IT安全組合帶來了越來越嚴重的問題,因為它們的敏感數(shù)據(jù)和有價值的數(shù)據(jù)往往流出傳統(tǒng)的網(wǎng)絡(luò)邊界。為了保護企業(yè)部署各種新型網(wǎng)絡(luò)安全設(shè)備:下一代防火墻、IDS和IPS設(shè)備��、安全信息事件管理(SIEM)系統(tǒng)和高級威脅檢測系統(tǒng),以保護企業(yè)免受多元化和低端低速適應(yīng)性的持久威脅��。理想情況下�����,這些系統(tǒng)將集中管理����,遵循集中安全戰(zhàn)略�����,屬于一般保護戰(zhàn)略�����。
如何避免企業(yè)網(wǎng)絡(luò)安全設(shè)備部署失敗的解決方案。
然而,在部署這些設(shè)備時,一些企業(yè)的常見錯誤會嚴重影響其實現(xiàn)普遍保護的能力���。本文將介紹在規(guī)劃和部署新的網(wǎng)絡(luò)安全設(shè)備時應(yīng)注意的問題,以及如何避免可能導致深度防御失敗的問題����。
一�����,不要依賴安全設(shè)備�����。
最大的錯誤之一是假設(shè)安全設(shè)備本身是安全的����。表面上看��,這似乎很容易理解���,但我們必須堅持這個立足點�����。所謂的“增強”操作系統(tǒng)有多安全?它的最新狀態(tài)是什么�����?它運行的“超穩(wěn)定”Web服務(wù)器有多安全?
在開始任何工作之前����,一定要制定一個測試計劃來驗證所有的網(wǎng)絡(luò)安全設(shè)備都是真正安全的��。首先,從一些基本測試開始:您是否在各設(shè)備及其支持的網(wǎng)絡(luò)����、服務(wù)器和存儲基礎(chǔ)設(shè)施上及時升級���、安裝補丁和修復錯誤?檢查當前已知漏洞信息的數(shù)據(jù)交換中心(如國家漏洞數(shù)據(jù)庫)����,必須定期升級和安裝設(shè)備補丁�����。
然后,轉(zhuǎn)向一些更難處理的方面:定期評估多個設(shè)備配置的潛在弱點。即使每個設(shè)備本身都能正常工作,加密系統(tǒng)和應(yīng)用交付優(yōu)化(ADO)設(shè)備的部署順序也會導致數(shù)據(jù)泄露�。該過程可與定期滲透試驗一起進行��。
二��,評估網(wǎng)絡(luò)安全設(shè)備的使用方式。
對于任何安全設(shè)備���,管理/控制通道最容易出現(xiàn)漏洞。因此���,一定要注意如何配置和修改安全設(shè)備,以及誰能執(zhí)行這些配置��。如果您準備通過Web瀏覽器訪問安全系統(tǒng)��,則安全設(shè)備將運行Web服務(wù)器���,并允許Web流量進出���。這些流量加密了嗎�?是否使用標準端口���?是否所有設(shè)備都使用相同的端口(因此入侵者很容易猜測)訪問是通過普通網(wǎng)絡(luò)連接(編內(nèi))還是獨立管理網(wǎng)絡(luò)連接(編外)�����?如果屬于編內(nèi)連接,則任何通過該接口發(fā)送流量的主機都可能攻擊該設(shè)備����。如果它在管理網(wǎng)絡(luò)上��,至少你只需要擔心網(wǎng)絡(luò)上的其他設(shè)備。(如果它配置為使用串口連接和KVM,則更加好���。)最佳場景如下:如果設(shè)備不能直接訪問,則必須使用加密和多因子身份驗證來確保所有配置變化。此外,還應(yīng)密切跟蹤和控制設(shè)備管理的身份信息���,以確保只有授權(quán)用戶才能獲得管理權(quán)限。
三,應(yīng)用標準滲透測試工具�����。
如果你采取了前兩步�,現(xiàn)在就有了一個很好的開始——但是工作還沒有完成。黑客、攻擊和威脅載體仍在增長和發(fā)展�,你必須定期測試系統(tǒng)�����,以確保它們能夠抵抗發(fā)現(xiàn)的攻擊,除了修復漏洞。
那么��,攻擊和漏洞有什么區(qū)別呢�����?攻擊是一種專門攻破漏洞的有意行為�。系統(tǒng)漏洞造成攻擊的可能性,但攻擊的存在增加了其危害性——從理論到現(xiàn)實的漏洞暴露。
網(wǎng)絡(luò)安全設(shè)備是否容易受到攻擊,可以使用檢查滲透測試工具和服務(wù)����。一些開源工具和框架已經(jīng)出現(xiàn)了很長時間,包括NetworkMaper(Nmap)���、Nikto、開放漏洞評估系統(tǒng)(OpenvulnerabilityAssssstem���、Openvas)和Metasploit。當然���,也有很多商業(yè)工具,比如Mcafee(可以掃描軟件組件)和Qualys產(chǎn)品。
這些工具廣泛用于識別網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量的端口�;記錄其對標準測試數(shù)據(jù)包的響應(yīng)�����;并通過使用Openvas和Metasploit來測試它面臨的一些常見攻擊漏洞(更多出現(xiàn)在商業(yè)版本中)。
其他滲透測試工具主要關(guān)注Web服務(wù)器和應(yīng)用程序,如OWASPZedAttackProxy(ZAP)和Arachni�。通過使用標準工具和技術(shù)來確定安全設(shè)備的漏洞——例如����,通過Web管理界面進行SQL注入攻擊����,您可以更清楚地了解如何保護網(wǎng)絡(luò)安全設(shè)備本身。
四���,在部署網(wǎng)絡(luò)安全設(shè)備時的風險。
沒有什么是完美的�����,所以沒有系統(tǒng)是沒有漏洞的�。在部署和配置新的網(wǎng)絡(luò)安全設(shè)備時,如果不采取適當?shù)念A(yù)防措施�����,可能會給環(huán)境帶來風險��。采取正確措施保護設(shè)備,保護基礎(chǔ)設(shè)施的其他部分�����,包括以下常見的預(yù)防措施:
修改默認密碼和帳號名��。
禁用不必要的服務(wù)和帳號�。
確保底層操作系統(tǒng)和系統(tǒng)軟件按廠家要求更新���。
限制管理網(wǎng)絡(luò)的管理接口訪問����;如果不能這樣做,ACL應(yīng)用于上游設(shè)備(交換機和路由器)�,以限制管理會話的來源��。由于攻擊也在進化,滲透測試應(yīng)定期檢查����。Openvas和Metasploit等工具應(yīng)保持更新���,其可用攻擊庫也在穩(wěn)步增長�����。
什么是基線?制定一個普遍的保護策略只是開始��。為了保護設(shè)備和數(shù)據(jù)的無限增長���,你需要三件事:一個普遍的保護策略�、實現(xiàn)策略的工具和技術(shù),以及政策和過程,以確保這些工具和技術(shù)能夠達到最大的保護效果�����。所有的政策和過程不僅要考慮網(wǎng)絡(luò)安全設(shè)備本身(個人和整體)的漏洞�,還要考慮攻擊和威脅載體的不斷發(fā)展和變化。
以上信息來源于網(wǎng)上�����,由廣州軒轅宏邁編輯�,如有侵權(quán),請聯(lián)系刪除��,如需了解更多網(wǎng)絡(luò)工程方案的�,可在線客服或者來電咨詢,廣州軒轅宏邁為您提供一站式網(wǎng)絡(luò)工程/安防監(jiān)控工程/綜合布線工程/弱電智能化解決方案��,期待您的咨詢與合作?。?/span>
手機端網(wǎng)站